shiro认证流程分析

最新推荐文章于 2022-06-01 13:33:51 发布
最新推荐文章于 2022-06-01 13:33:51 发布
阅读量199 收藏
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiuxinfa123/article/details/105323942
版权

        在上一篇博文 springboot整合shiro入门 中,简单介绍了如何使用shiro进行认证和授权,下面通过debug的方式(示例代码还是上一篇博客使用的代码),分析一下shiro是如何进行认证的:

      首先,回顾一下,处理登录的方法:

    @PostMapping("/doLogin")
    @ResponseBody
    public String doLogin(String username,String password){
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        try {
            subject.login(token);
            return "登录成功";
        }catch (UnknownAccountException|IncorrectCredentialsException e){
            e.printStackTrace();
            return "账号或密码错误";
        }catch (LockedAccountException e){
            e.printStackTrace();
            return "账号已被锁定,请联系管理员";
        }catch (AuthenticationException e){
            e.printStackTrace();
            return "未知异常,请联系管理员";
        }

    }

可以发现,登录过程,调用的方法是:

subject.login(token);

这里要debug的话,有两种方式:

(1)通过一步步debug跟进去看看它做了什么,这种方法比较通用,但是如果跟得很深的话,很容易晕。。。

(2)另外一种就是比较取巧的方法,因为认证,肯定是要拿到用户名和密码进行比较的,而我们的用户名和密码都封装到了          UsernamePasswordToken这个类中,那么我们完全可以把断点打在UsernamePasswordToken的获取用户名和密码的方法上,然后看看方法调用栈即可知道其调用了哪些类的哪些方法了:

 

现在就可以启动项目,访问登录接口进行登录认证了,然后发现很顺利的进入了获取用户名的断点了:

那么,我们从doLogin的subject.login(token)方法,一路看到UsernamePasswordToken获取用户名的方法,看看它做了什么:

1. 首先是调用主体subject的login方法,把UsernamePasswordToken作为参数传入进去了:

subject.login(token);

2.进入到 DefaultSecurityManager 的login方法:

    public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException {
        AuthenticationInfo info;
        try {
            info = authenticate(token);
        } catch (AuthenticationException ae) {
            try {
                onFailedLogin(token, ae, subject);
            } catch (Exception e) {
                if (log.isInfoEnabled()) {
                    log.info("onFailedLogin method threw an " +
                            "exception.  Logging and propagating original AuthenticationException.", e);
                }
            }
            throw ae; //propagate
        }

        Subject loggedIn = createSubject(token, info, subject);

        onSuccessfulLogin(token, info, loggedIn);

        return loggedIn;
    }

并且停在了:

 info = authenticate(token);

其中,info就是要返回的认证信息,看一下DefaultSecurityManager的继承关系,会发现它继承了SessionsSecurityManager,而SessionsSecurityManager继承了AuthenticatingSecurityManager,所以接下来它调用的是父类的认证方法

3.调用父类AuthenticatingSecurityManager的authenticate()方法:

    public AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {
        return this.authenticator.authenticate(token);
    }

发现它调用的是authenticator的authenticate()方法,那么authenticator是什么呢?它其实是ModularRealmAuthenticator,在构造方法里面进行了初始化:

4. 调用ModularRealmAuthenticator的doAuthenticate()方法:

    protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
        assertRealmsConfigured();
        //获取所有的realm
        Collection<Realm> realms = getRealms();
        if (realms.size() == 1) {
            return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);
        } else {
            return doMultiRealmAuthentication(realms, authenticationToken);
        }
    }

它会先获取所有的realm,然后判断,如果只有个一个realm的话,就执行doSingleRealmAuthentication()方法,否则的话就执行doMultiRealmAuthentication()方法,这里因为只有一个realm,所以执行的doSingleRealmAuthentication

5.调用ModularRealmAuthenticator的doSingleRealmAuthentication()方法:

    protected AuthenticationInfo doSingleRealmAuthentication(Realm realm, AuthenticationToken token) {
        if (!realm.supports(token)) {
            String msg = "Realm [" + realm + "] does not support authentication token [" +
                    token + "].  Please ensure that the appropriate Realm implementation is " +
                    "configured correctly or that the realm accepts AuthenticationTokens of this type.";
            throw new UnsupportedTokenException(msg);
        }
        AuthenticationInfo info = realm.getAuthenticationInfo(token);
        if (info == null) {
            String msg = "Realm [" + realm + "] was unable to find account data for the " +
                    "submitted AuthenticationToken [" + token + "].";
            throw new UnknownAccountException(msg);
        }
        return info;
    }

可以发现,它会调用:

AuthenticationInfo info = realm.getAuthenticationInfo(token);

这里的realm,就是我们自定义的realm,而realm.getAuthenticationInfo(token);会先从缓存中取用户信息,如果没有,就会调用doGetAuthenticationInfo()方法:

info = doGetAuthenticationInfo(token);

而这个doGetAuthenticationInfo()就是我们自定义realm时重写的方法。

6.执行自定义realm的doGetAuthenticationInfo方法,获取用户信息:

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = (String) token.getPrincipal();
        //这里模拟数据库查询用户,根据用户名查询
        User dbUser = userService.getUserByUsername(username);
        if (dbUser == null){
            //账号不存在
            throw new UnknownAccountException();
        }
        if (dbUser.getEnable()==0){
            //账号被锁定
            throw new LockedAccountException();
        }
        return new SimpleAuthenticationInfo(dbUser, dbUser.getPassword(), getName());
    }

到了这里,就会根据前端传入的用户名到数据库查询用户信息,封装成SimpleAuthenticationInfo返回。

其实,现在只是验证了该用户是否存在,以及账号是否被锁定等,并没有通过验证,因为密码都还没有比对。

所以放开获取用户名的断点,看看接下来的密码是如何比对的,现在到了获取密码的这个断点:

 

回到AuthenticatingRealm的getAuthenticationInfo()方法,

    public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //从缓存中获取用户信息

        AuthenticationInfo info = getCachedAuthenticationInfo(token);
        if (info == null) {
            //如果缓存中没有,则调用自定义realm的doGetAuthenticationInfo获取
            info = doGetAuthenticationInfo(token);
            log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);
            if (token != null && info != null) {
                cacheAuthenticationInfoIfPossible(token, info);
            }
        } else {
            log.debug("Using cached authentication info [{}] to perform credentials matching.", info);
        }

        if (info != null) {
            //断言密码是匹配的
            assertCredentialsMatch(token, info);
        } else {
            log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);
        }

        return info;
    }

可以看到,有这么一行代码:

//断言密码是匹配的
 assertCredentialsMatch(token, info);

那么,它肯定会在这里进行密码比对的,判断密码是否正确,我们跟下去看一下assertCredentialsMatch()方法:

    protected void assertCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) throws AuthenticationException {
        CredentialsMatcher cm = getCredentialsMatcher();
        if (cm != null) {
            if (!cm.doCredentialsMatch(token, info)) {
                //not successful - throw an exception to indicate this:
                String msg = "Submitted credentials for token [" + token + "] did not match the expected credentials.";
                throw new IncorrectCredentialsException(msg);
            }
        } else {
            throw new AuthenticationException("A CredentialsMatcher must be configured in order to verify " +
                    "credentials during authentication.  If you do not wish for credentials to be examined, you " +
                    "can configure an " + AllowAllCredentialsMatcher.class.getName() + " instance.");
        }
    }

其中,cm是SimpleCredentialsMatcher类的实例,所以会调用它的doCredentialsMatch进行密码匹配:

    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        //获取前端传入的密码,也就是用户输入的密码
        Object tokenCredentials = getCredentials(token);
        //获取数据库或者内存中存储的密码
        Object accountCredentials = getCredentials(info);
        //比对两个密码,判断是否一致
        return equals(tokenCredentials, accountCredentials);
    }

       这里思路也很清晰,就是获取用户输入的密码和存储的密码,然后比较两个密码是否相同。如果密码相同,那么身份认证就成功完成了。否则就会抛出异常。

 

到这里,就完成了身份认证。

简单总结一下认证流程:

1、调用Subject.login()方法
2、委托给DefaultSecurityManager的login方法
3、DefaultSecurityManager进一步委托给ModularRealmAuthenticator,调用其doAuthenticate()方法:
4、ModularRealmAuthenticator则会获取到所有的realm,来获取用户信息
5、调用具体的realm的getAuthenticationInfo获取用户信息,缓存有则返回,否则通过doGetAuthenticationInfo来获取用户信息
6、获取完用户信息之后,则会调用SimpleCredentialsMatcher的doCredentialsMatch()方法进行密码匹配,如果密码相同,那么身份认证就成功完成了,否则就会抛出异常。

 

qiuxinfa123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro登陆失败提示_Shiro认证失败
weixin_39663593的博客
12-22 979
org.apache.shiro.authc.UnknownAccountException: Realm [org.apache.shiro.realm.SimpleAccountRealm@2d6a9952] was unable to find account data for the submitted AuthenticationToken [org.apache.shiro.authc...
在 Web 项目中应用 Apache Shiro
Tomorrow never comes
07-25 364
转:http://www.ibm.com/developerworks/cn/java/j-lo-shiro/ Apache Shiro 是功能强大并且容易集成的开源权限框架,它能够完成认证、授权、加密、会话管理等功能。认证和授权为权限控制的核心,简单来说,“认证”就是证明你是谁? Web 应用程序一般做法通过表单提交用户名及密码达到认证目的。“授权”即是否允许已认证用户访问受保护资源。关于 S...
org.apache.shiro.authc.UnknownAccountException
jq1223的博客
01-11 3624
Shiro身份验证抛出AuthenticationException异常 这个异常是在登录的时候出现错误时抛出的异常,比如账户锁定,证书失效等,先来看下 AuthenticationException常用的的子类: 1.UsernameNotFoundException 用户找不到 2.BadCredentialsException 坏的凭据 3.AccountStatusException 用户状态异常它包含如下子类 4.AccountExpiredException 账户过期 5.Locked
shiro: Odd number of characters.
ITHomeZSL的博客
10-21 1673
java.lang.IllegalArgumentException: Odd number of characters. at org.apache.shiro.codec.Hex.decode(Hex.java:128) at org.apache.shiro.codec.Hex.decode(Hex.java:107) at org.apache.shiro.code...
java web 之springboot教程之十六----shiro权限管理
Eric
04-16 250
一、架构 (1)使用用户的登录信息创建令牌 UsernamePasswordToken token = new UsernamePasswordToken(username, password); (2)执行登陆动作 SecurityUtils.setSecurityManager(securityManager); // 注入SecurityManager Subj...
shiro认证授权
08-03
当用户尝试登录时,Shiro 会调用 `Subject.login(token)` 方法,启动认证流程。 在 `shiro-demo` 中,你可能会看到类似以下的代码: ```java Subject subject = SecurityUtils.getSubject(); ...
shiro认证授权的过程
05-01
Shiro认证和授权流程主要集中在`DefaultSubjectExecutor`、`AuthenticationManager`、`AuthorizingRealm`等类中。这些类通过回调接口和事件驱动的方式协调工作。 **4. 工具使用** Shiro 提供了一些工具类和配置...
shiro认证绕过漏洞分析(CVE-2020-13933)1
08-03
CVE-2020-13933是一个关于Shiro认证绕过的安全漏洞,它可能导致攻击者无需正确凭证就能通过认证。具体来说,该漏洞可能出现在以下情况: - Shiro在处理特定的认证请求时,可能存在逻辑错误,导致认证检查失效。 - ...
Apache Shiro 身份认证例子-源码
01-17
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了身份认证、授权、加密和...通过分析和理解这个源码示例,你将能够更好地掌握 Apache Shiro 在实际项目中的应用,为你的 Java 应用提供可靠的身份认证机制。
java shiro权限认证demo
09-10
Java Shiro是一个强大的安全框架,主要用于处理应用中的身份验证、授权和会话管理。这个"java shiro权限认证demo...通过运行和分析这个示例,你可以更好地理解Shiro在实际项目中的应用,从而在自己的项目中灵活运用。
Shiro Authentication身份认证/登录
xk147258的博客
08-23 2398
1、前台页面点击登录后进入后台处理方法,在方法中使用用户名、密码创建token 创建Subject对象。调用login()方法 @PostMapping("/login") @ResponseBody public AjaxResult ajaxLogin(String username, String password, Boolean rememberMe) ...
shiro登陆失败提示_shiro 不管登录成功还是失败都出现这个bug
weixin_29914581的博客
01-13 2215
28 回复package com.coracle.fast.service.impl.shiro;import org.apache.shiro.authc.AuthenticationException;import org.apache.shiro.authc.AuthenticationInfo;import org.apache.shiro.authc.AuthenticationToke...
SpringBoot整合Shiro ShiroRealm类中 @Autowired注入 Service为 null 问题
单身狗的清香
06-28 7883
    今天在整合 SpringBoot 与 Shiro时候,一直提示@Autowired 注入的Service为空 ,很纳闷;这是摘抄出来的错误java.lang.NullPointerExceptionat com.lu.vote1.config.ShiroRealm.doGetAuthenticationInfo(ShiroRealm.java:67)org.apache.shiro.aut...
Shiro 登录认证源码详解
热门推荐
acherie的博客
12-10 1万+
Apache Shiro 是一个强大且灵活的 Java 开源安全框架,拥有登录认证、授权管理、企业级会话管理和加密等功能,相比 Spring Security 来说要更加的简单。本文主要从源码实现的角度去介绍 Shiro 的登录认证(Authentication)功能。
shiro认证登录
AC_XI的博客
03-19 334
问题:Shrio是如何通过认证的 背景:使用DefultWebSecurityManage实现用户登录认证,并且自定义一个Realm 线索: (1)在配置文件中,ShiroFilterFactoryBean依赖与SecurityManager,SecurityManager依赖于Realm,也就是说在代码中这几个之间构成了某种关系 (2)先弄清楚Realm的实现类,Subject的实现类更加容易理解方法的调用,他们贯穿了整个认证流程 基于Shiro实现的登录逻辑 1.用户输入login.do并且加入user
shiro权限入门(二)
GMaya的博客
07-24 302
这个是用的自带的登录验证:shiro权限入门(一) 这次又搞了一个基于token的,没有使用redis缓存,用了一个ehcache缓存 直接使用上面的mp项目框架加了一个模块 思路: ① 登录调用登录接口,生成token,将权限,token等返回,并存入缓存 ② 登录之后调用其他任意接口,首先会经过shiroFilter,然后调用shiroRealm认证,在这里面只需要判断缓存中有没...
springboot集成shiro用户登录认证
sinat_40693969的博客
06-01 333
1、创建数据库表结构 CREATE TABLE `t_user` ( `ID` int(11) NOT NULL AUTO_INCREMENT, `USERNAME` varchar(128) NOT NULL COMMENT '用户名', `PASSWD` varchar(128) NOT NULL COMMENT '密码', `CREATE_TIME` datetime DEFAULT NULL COMMENT '创建时间', `STATUS` char(1) NOT NULL ...
shiro源码(二)——login方法源码解读
敲代码的小小酥的博客
12-31 3392
一、shiro认证流程源码 使用shiro框架做登录,只需调用subject的login方法即可,代码如下: public AjaxResult ajaxLogin(String username, String password, Boolean rememberMe) { UsernamePasswordToken token = new UsernamePasswordToken(username, password, rememberMe); Subject
shiro-550 漏洞原理分析
最新发布
06-06
Apache Shiro是一个开源的安全框架,用于认证、授权和加密等安全操作。该漏洞的原理是由于Shiro框架在反序列化时存在漏洞,攻击者可以通过构造恶意的序列化数据包,触发远程代码执行漏洞,从而实现对目标系统的完全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值