Shiro 框架 createSubject 的过程分析

最新推荐文章于 2023-03-19 21:09:27 发布
最新推荐文章于 2023-03-19 21:09:27 发布
阅读量532 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39291919/article/details/108314003
版权

调用顺序

>> AbstractShiroFilter.doFilterInternal(ServletRequest, ServletResponse, FilterChain) 

>> AbstractShiroFilter.createSubject(ServletRequest, ServletResponse)

>> WebSubject.Builder.buildWebSubject()

>> Subject.Builder.buildSubject()

>> SecurityManager.createSubject(SubjectContext)

 

具体流程

AbstractShiroFilter.doFilterInternal() 方法中调用了 createSubject(),观察这个方法。

protected WebSubject createSubject(ServletRequest request, ServletResponse response) {
	return new WebSubject.Builder(getSecurityManager(), request, response).buildWebSubject();
}

该方法使用了 WebSubject,可以推测,它需要创建一个 Web 类型的 Subject。

PS:使用 Builder 设计模式。

下面观察 WebSubject.Builder.buildWebSubject() 源码:

public WebSubject buildWebSubject() {
	Subject subject = super.buildSubject();
	if (!(subject instanceof WebSubject)) {
		String msg = "Subject implementation returned from the SecurityManager was not a "
				+ WebSubject.class.getName() + " implementation.  Please ensure a Web-enabled SecurityManager "
				+ "has been configured and made available to this builder.";
		throw new IllegalStateException(msg);
	}
	return (WebSubject) subject;
}

上面方法调用了 super.buildSubject(),继续观察 super.buildSubject():

public Subject buildSubject() {
	return this.securityManager.createSubject(this.subjectContext);
}

至此,我们发现,原来是 secuirtyManager 创建了 Subject。

其实在 Shiro-Spring Web 框架中,securityManager 的实现类只可能是 DefaultWebSecurityManager(因为只有这个实现类是 WebSecurityManager 接口的实现类),那我们下面就只看它的 createSubject() 方法:

public Subject createSubject(SubjectContext subjectContext) {
	SubjectContext context = copy(subjectContext);

	context = ensureSecurityManager(context);

	context = resolveSession(context);

	context = resolvePrincipals(context);

	Subject subject = doCreateSubject(context);

	save(subject);

	return subject;
}

见明知意,应该知道,doCreateSubject() 就是创建 Subject 的真正方法:

protected Subject doCreateSubject(SubjectContext context) {
    return getSubjectFactory().createSubject(context);
}

方法获取了 SubjectFactory(工厂设计),然后调用了工厂的 createSubject() 方法:

public Subject createSubject(SubjectContext context) {
	if (!(context instanceof WebSubjectContext)) {
		return super.createSubject(context);
	}
	WebSubjectContext wsc = (WebSubjectContext) context;
	SecurityManager securityManager = wsc.resolveSecurityManager();
	Session session = wsc.resolveSession();
	boolean sessionEnabled = wsc.isSessionCreationEnabled();
	PrincipalCollection principals = wsc.resolvePrincipals();
	boolean authenticated = wsc.resolveAuthenticated();
	String host = wsc.resolveHost();
	ServletRequest request = wsc.resolveServletRequest();
	ServletResponse response = wsc.resolveServletResponse();

	return new WebDelegatingSubject(principals, authenticated, host, session, sessionEnabled, request, response,
			securityManager);
}

上面的方法主要是以 context 出发,从而获得各种各样的参数,进而传递给 WebDelegatingSubject 构造器。

罐装面包
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
(2)shiro架构图之Subject的构建过程
weixin_38312719的博客
03-11 1130
用过shiro的人都知道,对于我们开发人员来说,都是和Subject这个对象来打交道的,所以我们要对于Subject这个接口进行深入的了解。但是这里我们主要讲解Subject这个对象里面各个属性值的赋值过程,因为后面使用Subject.isAuthenticated()这个方法来判断是否当前认证主体是否经过认证,在isAuthenticated()方法中其实就是判断Subject对象的bool...
shiro构建subject流程
jtf19901223的博客
11-08 244
AbstractShiroFilter 中执行流程 Throwable t = null; try { // 包装 request 和 response final ServletRequest request = prepareServletRequest(servletRequest, servletResponse, chain); final ServletResponse response = prepareServletResponse(request, serv.
shiroSubject对象创建过程
你就像甜甜的益达
01-05 1763
文章目录Subject是怎么创建的Subject创建入口具体创建subject方法返回Subject Subject是怎么创建的 首先前面讲了,shiro其实就是一连串的过滤器链,过滤器链的话就是依次执行doFilter方法:我们直接找doFilter的shiro包的实现: 注意,spring包也有个叫做OncePerRequestFilter的类; Subject创建入口 我们看OncePer...
Shiro源码-创建subject
caiqianzhigai0859的博客
09-26 1157
用了shiro很长时间了,但是一直也没有深入了解,最近再一次使用到的时候,决定深入了解一下它的源码。主要是网上的资料太乱了,每次查的东西都是乱七八糟的,还是要自己去了解,去解决问题。申明一下,这篇博文主要是为了自己作记录,不是为了让谁看懂,所以会比较乱。另外,我使用的场景是web,所以我了解到的是webSubjectshiro本质上就是过滤器,所以要理解他的请求过程,按照过滤器的请求过程就行...
shiro源码_ShiroSubject创建的内部流程
weixin_39911056的博客
12-08 150
我们在使用shiro进行编程时,使用的subject.login()等方法,但是查看org.apache.shiro.subject.Subject之后,你会发现Subject其实不是一个java class,而是interface,它里面的login()只是方法的声明,没有函数体,那么我们调用的Subject.login()方法最终由什么类去执行呢?因此我开始去了解shirosubject的生...
shiro源码分析
06-01
本文将继续上一篇文章的案例,深入分析ShiroSubject和Session机制,以及SecurityManager在创建Subject时所扮演的角色和过程。 首先,Shiro中的Subject代表了当前与软件交互的用户,可以是人、第三方服务、定时...
Shiro框架 filter&realm绑定 多登陆入口,区分前后台
Yihy的博客
08-20 8131
# Shiro框架 filter&realm绑定这种实现方式有问题,会影响到后续的角色验证。不建议看了新的实现方式 : 自定义Token shiro filter与Realm绑定 使用Spring整合Shiro 多登陆入口,成功后跳转到不同地址 - 重写Realm获取方式 最近在项目中使用了apache的轻量级Shiro框架进行权限管理,使用了多个filter,Shiro会默认迭代Realm进行
Shiro框架 Subject、SecurityManager、线程之间的关系
谢耀眼
10-17 1222
文章目录Subject、SecurityManager与线程之间的关系Subject与SecurityManager之间的关系 Subject、SecurityManager与线程之间的关系 Subject与SecurityManager之间的关系
Apache Shiro 全面源码解析汇总
wangxi06的专栏
03-21 351
什么是shiro? Apache Shiro官网上对Shiro的解释如下: Apache Shiro (pronounced “shee-roh”, the Japanese word for ‘castle’) is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management and can ..
Shiro框架Web环境下过滤器结构分析
需求驱动技术学习
12-02 8212
Shiro的过滤器的配置是结合使用Spring的DelegatingFilterProxy与FactoryBean2种技术来完成自身过滤器的植入的,所以理解Shiro的过滤器首先要理解这2者的使用。 1. DelegatingFilterProxy Spring提供的一个简便的过滤器的处理方案,它将具体的操作交给内部的Filter对象delegate去处理,而这个delegate对象通
apache shiro中文教程
09-17
Shiro 是一个 Apache Incubator 项目,旨在简化身份验证和授权. 中文文档
shirosubject创建,以及shiro如何保证用户登录状态
最新发布
qq_45507768的博客
03-19 1629
在该仓库下的adminsys项目)。重要概念什么是subjectsubject是一个主体,用于保存一个用户或者是一个对象,指代和当前应用交互的任何对象。它更像是一个门面,只要是关于认证和授权的操作都需要委托它去完成。提出问题问题背景:在一个springboot项目中整合了shiro做认证授权,由于srpingboot的web-starter中内嵌了tomcat,而tomcat是使用线程池去处理浏览器发来的每一个请求。已知条件:假如这是用户第一次登陆,访问对应login接口。
CreateSubject------方法五doCreateSubject
Entodie的博客
09-03 284
关键参数: principle authenticated host sesion seesionEnabled request response securitymanager
shiro框架源码解析与改造(六)---Subject创建
ljz2016的博客
07-26 419
在AbstractShiroFilter中创建subject protected WebSubject createSubject(ServletRequest request, ServletResponse response) { return (new WebSubject.Builder(this.getSecurityManager(), request, respon...
CreateSubject------方法六saveSubject(创建session关键)
Entodie的博客
09-03 258
开始储存subject 1、调用的是DefaultSecurityManager 中的SybjectDao: 该对象可以自定定义, 重复判断有没有session,有没有个人信息,有放入更新session 创建sesion的关键: 身份信息: currenexistIngPrincipal:当前subject的身份信息 existIngPrincipal:sess...
CreateSubject-------方法三resolveSession详解(重要)
Entodie的博客
09-03 389
方法三: 功能: 1、查询有没session 更新session 2、查看sessionid 通过cookie存有session对应的id 通过遍历所有cookie查询自定义的cookie 3、获取默认的 resolveSession详解 内部有两个session方法 1、if中判断方法: 通过如下的id类型从容器获取session 通过...
Shiro源码研究之构建Subject实例
夫礼者的专栏
12-16 4487
接上一篇博客Shiro源码研究之处理一次完整的请求,其中的第二小节中的这样一行代码final Subject subject = createSubject(request, response);直接略过了。这篇文章就专门来对这段代码后面所发生的事情进行一下探讨。
17-java安全——shiro1.2.4反序列化分析(CVE-2016-4437)
网络安全
09-06 1879
漏洞原理 在shiro1.2.4版本中,用户认证信息rememberMe通常会进行Base64编码和AES加密存储在cookie中,当shiro安全框架对用户身份进行认证时,会对rememberMe的内容进行Base64解码和AES解密,然后反序列化还原成java对象,由于rememberMe可控,攻击者则可以利用rememberMe来构造恶意数据,产生反序列化漏洞。 漏洞环境 shiro1.2.4 jdk7u80 漏洞复现 在github下载shiro1.2.4版本,下载链接:
Shiro 深度理解解析
嗜血幽灵的专栏
05-10 475
SessionFactory SessionFactory是创建会话的工厂,根据相应的Subject上下文信息来创建会话;默认提供了SimpleSessionFactory用来创建SimpleSession会话 public interface SessionFactory { /** * 创建一个新的session */ Sessi...
Shiro框架核心组件和认证过程详解
Shiro 框架中,认证过程是通过 Authenticator 实现的。Authenticator 负责认证用户身份,Authorizer 负责授权和访问控制。SessionManager 负责管理会话,CacheManager 负责提供缓存支持。 Shiro 认证过程可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

罐装面包

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值