shiro SecurityUtils.getSubject()深度分析

最新推荐文章于 2024-06-04 10:08:47 发布
最新推荐文章于 2024-06-04 10:08:47 发布
阅读量2w 收藏 30
点赞数 4
分类专栏: shiro 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39575279/article/details/86702171
版权

1.总的来说,SecurityUtils.getSubject()是每个请求创建一个Subject, 并保存到ThreadContext的resources(ThreadLocal<Map<Object, Object>>)变量中,也就是一个http请求一个subject,并绑定到当前线程。 

问题来了:.subject.login()登陆认证成功后,下一次请求如何知道是那个用户的请求呢? 

友情提示:本文唯一可以读一下的就是分析这个疑问,如果你已经明白就不用往下看了。 

首先给出内部原理:1个请求1个Subject原理:由于ShiroFilterFactoryBean本质是个AbstractShiroFilter过滤器,所以每次请求都会执行doFilterInternal里面的createSubject方法。 

猜想:因为subject是绑定到当前线程,这肯定需要一个中介存储状态 
 

Java代码 

 收藏代码

  1. public static Subject getSubject() {  
  2.     Subject subject = ThreadContext.getSubject();  
  3.     if (subject == null) {  
  4.         subject = (new Builder()).buildSubject();  
  5.         ThreadContext.bind(subject);  
  6.     }  
  7.   
  8.     return subject;  
  9. }  


 

Java代码 

 收藏代码

  1. public abstract class ThreadContext {  
  2.     private static final Logger log = LoggerFactory.getLogger(ThreadContext.class);  
  3.     public static final String SECURITY_MANAGER_KEY = ThreadContext.class.getName() + "_SECURITY_MANAGER_KEY";  
  4.     public static final String SUBJECT_KEY = ThreadContext.class.getName() + "_SUBJECT_KEY";  
  5.     private static final ThreadLocal<Map<Object, Object>> resources = new ThreadContext.InheritableThreadLocalMap();  
  6.   
  7.     protected ThreadContext() {  
  8.     }  
  9.   
  10.     public static Map<Object, Object> getResources() {  
  11.         return (Map)(resources.get() == null ? Collections.emptyMap() : new HashMap((Map)resources.get()));  
  12.     }  
  13.   
  14.     public static void setResources(Map<Object, Object> newResources) {  
  15.         if (!CollectionUtils.isEmpty(newResources)) {  
  16.             ensureResourcesInitialized();  
  17.             ((Map)resources.get()).clear();  
  18.             ((Map)resources.get()).putAll(newResources);  
  19.         }  
  20.     }  
  21.   
  22.     private static Object getValue(Object key) {  
  23.         Map<Object, Object> perThreadResources = (Map)resources.get();  
  24.         return perThreadResources != null ? perThreadResources.get(key) : null;  
  25.     }  
  26.   
  27.     private static void ensureResourcesInitialized() {  
  28.         if (resources.get() == null) {  
  29.             resources.set(new HashMap());  
  30.         }  
  31.   
  32.     }  
  33.   
  34.     public static Object get(Object key) {  
  35.         if (log.isTraceEnabled()) {  
  36.             String msg = "get() - in thread [" + Thread.currentThread().getName() + "]";  
  37.             log.trace(msg);  
  38.         }  
  39.   
  40.         Object value = getValue(key);  
  41.         if (value != null && log.isTraceEnabled()) {  
  42.             String msg = "Retrieved value of type [" + value.getClass().getName() + "] for key [" + key + "] bound to thread [" + Thread.currentThread().getName() + "]";  
  43.             log.trace(msg);  
  44.         }  
  45.   
  46.         return value;  
  47.     }  
  48.   
  49.     public static void put(Object key, Object value) {  
  50.         if (key == null) {  
  51.             throw new IllegalArgumentException("key cannot be null");  
  52.         } else if (value == null) {  
  53.             remove(key);  
  54.         } else {  
  55.             ensureResourcesInitialized();  
  56.             ((Map)resources.get()).put(key, value);  
  57.             if (log.isTraceEnabled()) {  
  58.                 String msg = "Bound value of type [" + value.getClass().getName() + "] for key [" + key + "] to thread [" + Thread.currentThread().getName() + "]";  
  59.                 log.trace(msg);  
  60.             }  
  61.   
  62.         }  
  63.     }  
  64.   
  65.     public static Object remove(Object key) {  
  66.         Map<Object, Object> perThreadResources = (Map)resources.get();  
  67.         Object value = perThreadResources != null ? perThreadResources.remove(key) : null;  
  68.         if (value != null && log.isTraceEnabled()) {  
  69.             String msg = "Removed value of type [" + value.getClass().getName() + "] for key [" + key + "]from thread [" + Thread.currentThread().getName() + "]";  
  70.             log.trace(msg);  
  71.         }  
  72.   
  73.         return value;  
  74.     }  
  75.   
  76.     public static void remove() {  
  77.         resources.remove();  
  78.     }  
  79.   
  80.     public static SecurityManager getSecurityManager() {  
  81.         return (SecurityManager)get(SECURITY_MANAGER_KEY);  
  82.     }  
  83.   
  84.     public static void bind(SecurityManager securityManager) {  
  85.         if (securityManager != null) {  
  86.             put(SECURITY_MANAGER_KEY, securityManager);  
  87.         }  
  88.   
  89.     }  
  90.   
  91.     public static SecurityManager unbindSecurityManager() {  
  92.         return (SecurityManager)remove(SECURITY_MANAGER_KEY);  
  93.     }  
  94.   
  95.     public static Subject getSubject() {  
  96.         return (Subject)get(SUBJECT_KEY);  
  97.     }  
  98.   
  99.     public static void bind(Subject subject) {  
  100.         if (subject != null) {  
  101.             put(SUBJECT_KEY, subject);  
  102.         }  
  103.   
  104.     }  
  105.   
  106.     public static Subject unbindSubject() {  
  107.         return (Subject)remove(SUBJECT_KEY);  
  108.     }  
  109.   
  110.     private static final class InheritableThreadLocalMap<T extends Map<Object, Object>> extends InheritableThreadLocal<Map<Object, Object>> {  
  111.         private InheritableThreadLocalMap() {  
  112.         }  
  113.   
  114.         protected Map<Object, Object> childValue(Map<Object, Object> parentValue) {  
  115.             return parentValue != null ? (Map)((HashMap)parentValue).clone() : null;  
  116.         }  
  117.     }  
  118. }  



subject登陆成功后,下一次请求如何知道是那个用户的请求呢? 

经过源码分析,核心实现如下DefaultSecurityManager类中: 

Java代码 

 收藏代码

  1. public Subject createSubject(SubjectContext subjectContext) {  
  2.       SubjectContext context = this.copy(subjectContext);  
  3.       context = this.ensureSecurityManager(context);  
  4.       context = this.resolveSession(context);  
  5.       context = this.resolvePrincipals(context);  
  6.       Subject subject = this.doCreateSubject(context);  
  7.       this.save(subject);  
  8.       return subject;  
  9.   }  



每次请求都会重新设置Session和Principals,看到这里大概就能猜到:如果是web工程,直接从web容器获取httpSession,然后再从httpSession获取Principals,本质就是从cookie获取用户信息,然后每次都设置Principal,这样就知道是哪个用户的请求,并只得到这个用户有没有人认证成功,--本质:依赖于浏览器的cookie来维护session的 

扩展,如果不是web容器的app,如何实现实现无状态的会话 

1.一般的作法会在header中带有一个token,或者是在参数中,后台根据这个token来进行校验这个用户的身份,但是这个时候,servlet中的session就无法保存,我们在这个时候,就要实现自己的会话创建,普通的作法就是重写session与request的接口,然后在过滤器在把它替换成自己的request,所以得到的session也是自己的session,然后根据token来创建和维护会话 

2.shiro实现: 

重写shiro的sessionManage 

代码实现转自:http://www.cnblogs.com/zhuxiaojie/p/7809767.html 

实现代码: 
 

Java代码 

 收藏代码

  1. import org.apache.shiro.session.mgt.SessionKey;  
  2. import org.apache.shiro.web.servlet.ShiroHttpServletRequest;  
  3. import org.apache.shiro.web.session.mgt.DefaultWebSessionManager;  
  4. import org.apache.shiro.web.util.WebUtils;  
  5. import org.slf4j.Logger;  
  6. import org.slf4j.LoggerFactory;  
  7.   
  8. import javax.servlet.ServletRequest;  
  9. import javax.servlet.ServletResponse;  
  10. import javax.servlet.http.HttpServletRequest;  
  11. import javax.servlet.http.HttpServletResponse;  
  12. import java.io.Serializable;  
  13. import java.util.UUID;  
  14.   
  15. /** 
  16.  * @author zxj<br> 
  17.  * 时间 2017/11/8 15:55 
  18.  * 说明 ... 
  19.  */  
  20. public class StatelessSessionManager extends DefaultWebSessionManager {  
  21.     /** 
  22.      * 这个是服务端要返回给客户端, 
  23.      */  
  24.     public final static String TOKEN_NAME = "TOKEN";  
  25.     /** 
  26.      * 这个是客户端请求给服务端带的header 
  27.      */  
  28.     public final static String HEADER_TOKEN_NAME = "token";  
  29.     public final static Logger LOG = LoggerFactory.getLogger(StatelessSessionManager.class);  
  30.   
  31.   
  32.     @Override  
  33.     public Serializable getSessionId(SessionKey key) {  
  34.         Serializable sessionId = key.getSessionId();  
  35.         if(sessionId == null){  
  36.             HttpServletRequest request = WebUtils.getHttpRequest(key);  
  37.             HttpServletResponse response = WebUtils.getHttpResponse(key);  
  38.             sessionId = this.getSessionId(request,response);  
  39.         }  
  40.         HttpServletRequest request = WebUtils.getHttpRequest(key);  
  41.         request.setAttribute(TOKEN_NAME,sessionId.toString());  
  42.         return sessionId;  
  43.     }  
  44.   
  45.     @Override  
  46.     protected Serializable getSessionId(ServletRequest servletRequest, ServletResponse servletResponse) {  
  47.         HttpServletRequest request = (HttpServletRequest) servletRequest;  
  48.         String token = request.getHeader(HEADER_TOKEN_NAME);  
  49.         if(token == null){  
  50.             token = UUID.randomUUID().toString();  
  51.         }  
  52.   
  53.         //这段代码还没有去查看其作用,但是这是其父类中所拥有的代码,重写完后我复制了过来...开始  
  54.         request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_SOURCE,  
  55.                 ShiroHttpServletRequest.COOKIE_SESSION_ID_SOURCE);  
  56.         request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID, token);  
  57.         request.setAttribute(ShiroHttpServletRequest.REFERENCED_SESSION_ID_IS_VALID, Boolean.TRUE);  
  58.         request.setAttribute(ShiroHttpServletRequest.SESSION_ID_URL_REWRITING_ENABLED, isSessionIdUrlRewritingEnabled());  
  59.         //这段代码还没有去查看其作用,但是这是其父类中所拥有的代码,重写完后我复制了过来...结束  
  60.         return token;  
  61.     }  
  62.   
  63. }  

 

Java代码 

 收藏代码

  1. @RequestMapping("/")  
  2.     public void login(@RequestParam("code")String code, HttpServletRequest request){  
  3.         Map<String,Object> data = new HashMap<>();  
  4.         if(SecurityUtils.getSubject().isAuthenticated()){  
  5.         //这里代码着已经登陆成功,所以自然不用再次认证,直接从rquest中取出就行了,  
  6.             data.put(StatelessSessionManager.HEADER_TOKEN_NAME,getServerToken());  
  7.             data.put(BIND,ShiroKit.getUser().getTel() != null);  
  8.             response(data);  
  9.         }  
  10.         LOG.info("授权码为:" + code);  
  11.         AuthorizationService authorizationService = authorizationFactory.getAuthorizationService(Constant.clientType);  
  12.         UserDetail authorization = authorizationService.authorization(code);  
  13.   
  14.   
  15.   
  16.         Oauth2UserDetail userDetail = (Oauth2UserDetail) authorization;  
  17.   
  18.         loginService.login(userDetail);  
  19.         User user = userService.saveUser(userDetail,Constant.clientType.toString());  
  20.         ShiroKit.getSession().setAttribute(ShiroKit.USER_DETAIL_KEY,userDetail);  
  21.         ShiroKit.getSession().setAttribute(ShiroKit.USER_KEY,user);  
  22.         data.put(BIND,user.getTel() != null);  
  23.       //这里的代码,必须放到login之执行,因为login后,才会创建session,才会得到最新的token咯  
  24.         data.put(StatelessSessionManager.HEADER_TOKEN_NAME,getServerToken());  
  25.         response(data);  
  26.     }  


 

Java代码 

 收藏代码

  1. import org.apache.shiro.mgt.SecurityManager;  
  2. import org.apache.shiro.realm.Realm;  
  3. import org.apache.shiro.spring.LifecycleBeanPostProcessor;  
  4. import org.apache.shiro.spring.web.ShiroFilterFactoryBean;  
  5. import org.apache.shiro.web.mgt.DefaultWebSecurityManager;  
  6. import org.springframework.context.annotation.Bean;  
  7. import org.springframework.context.annotation.Configuration;  
  8.   
  9. import java.util.LinkedHashMap;  
  10. import java.util.Map;  
  11.   
  12. /** 
  13.  * @author zxj<br> 
  14.  * 时间 2017/11/8 15:40 
  15.  * 说明 ... 
  16.  */  
  17. @Configuration  
  18. public class ShiroConfiguration {  
  19.   
  20.     @Bean  
  21.     public LifecycleBeanPostProcessor lifecycleBeanPostProcessor(){  
  22.         return new LifecycleBeanPostProcessor();  
  23.     }  
  24.   
  25.     /** 
  26.      * 此处注入一个realm 
  27.      * @param realm 
  28.      * @return 
  29.      */  
  30.     @Bean  
  31.     public SecurityManager securityManager(Realm realm){  
  32.         DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();  
  33.         securityManager.setSessionManager(new StatelessSessionManager());  
  34.         securityManager.setRealm(realm);  
  35.         return securityManager;  
  36.     }  
  37.   
  38.     @Bean  
  39.     public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){  
  40.         ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();  
  41.         bean.setSecurityManager(securityManager);  
  42.   
  43.         Map<String,String> map = new LinkedHashMap<>();  
  44.         map.put("/public/**","anon");  
  45.         map.put("/login/**","anon");  
  46.         map.put("/**","user");  
  47.         bean.setFilterChainDefinitionMap(map);  
  48.   
  49.         return bean;  
  50.     }  
  51. }  

转载出处:https://ahua186186.iteye.com/blog/2407608

东谌
关注
  • 4
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【SpringBoot · Vue · Shiro · 前后端分离】关于登录认证后isAuthenticated依旧为false的问题
揣兜兜儿嘞Blog
06-24 4875
1 前 言 最近在使用 SpringBoot+Vue+Shiro 练习,但写到登录模块时,却遇到了 session 无法保存的问题,也就是前端提交登录请求后,后台通过 subject.login(usernamePasswordToken) 登录认证完响应给前端,但是前端想再请求后台判断是否登录时 (登录响应时我没有使用 Vuex 保存登录响应的数据) subject.isAuthenticated() 一直为 false。 提示: 若你所遇到的情况与上述类似,请查看一下前端Vue组件是否配置以下代码,
shiro1.7.1.zip
04-12
在使用Shiro 1.7.1时,开发者可以根据具体需求选择合适的模块进行集成,例如,Web应用可能会主要依赖`shiro-core`、`shiro-web`和`shiro-spring`,而需要进行复杂加密操作的应用可能需要`shiro-crypto-hash`和`shiro...
SecurityUtils.getSubject()是怎么获取到当前用户信息的?
热门推荐
narutots的博客
08-15 6万+
项目中我们习惯直接使用SecurityUtils.getSubject() 获取当前登录用户的信息 /** * 获取当前登录者对象 */ public static Principal getPrincipal(){ try{ Subject subject = SecurityUtils.getSubject(); Principal principal = (P...
Shiro subject.getPrincipal()类型转换异常 java.lang.ClassCastException
最新发布
qq_30255033的博客
06-04 145
热部署后 Shiro subject.getPrincipal()类型转换异常 java.lang.ClassCastException
使用shiro中 工具类方法SecurityUtils.getSubject()和方法subject.getPrincipal()获取当前登录用户
weixin_52654493的博客
12-17 2039
Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果系统默认的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
ShiroSecurityUtils.getSubject()是如何获取到正确的用户信息
qq_61592687的博客
02-09 2071
ShiroSecurityUtils.getSubject()是如何获取到正确的用户信息的呢?每次调用SecurityUtils.getSubject()方法,它会去当前所处线程获取用户信息,组装subject返回。如果是没有登录过的,他就会为当前访问的JSESSIONID创建一个subject,只是这个的就是未登录状态。
shiro SecurityUtils.getSubject()获取的信息由来
SeptDays的博客
11-07 3781
shiro 管理登录,获取登录信息的方式常用的是: subject sub = SecurityUtils.getSubject(); Object obj = sub.getPrincipal(); 这里的 obj 是字符串,还是某个实体,取决于 ShiroRealm 类的设置值,代码如下: @Override protected AuthenticationInfo doGetAu...
JAVA Sercurity ,Shiro源码学习(1)---------SecurityUtils.getSubject()
qq_42738957的博客
08-02 994
最近在学习shiro的源码,所以记录下来自己的心得。 学习源码查看网上教程一直都是很迷,源码这种东西需要自己不断去定位去看才能看明白。 那么我们现在开始:这次我们主要讲解SecurityUtils.getSubject()并从这个方法入手看看到底怎么获取到我们要的subject。 private static SecurityManager securityManager; ...
ShiroConfig.java
03-23
ShiroConfig.java 看博客吧
shiro认证.docx
06-23
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/> ``` 同时,如果使用了 Spring AOP,还需要配置自动代理创建器: ```xml <bean class="org.springframework...
ShiroDemo.zip
08-17
Subject subject = SecurityUtils.getSubject(); // 登录逻辑 } @RequiresRoles("admin") @GetMapping("/admin") public String adminPage() { return "管理员页面"; } } ``` **三、注意事项** 1. **密码...
Shiro入门.rar
06-12
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。在这个"Shiro入门"压缩包中,包含了笔记和源码,是学习Shiro基础知识的好资源。 **一...
shiro 认证
快乐的小三菊的博客
05-12 2118
shiro 认证源码探究
异步导入中使用SecurityUtils.getSubject().getPrincipal()获取LoginUser对象导致的缓存删除失败问题
weixin_43975276的博客
12-13 2000
但当异步的时候,就没有set用户信息的过程,线程内的用户信息还是上一次进入Controller用该线程的用户的用户信息。也就存在数据对不上的情况。(其实是因为只有一个用户,用来用去都只有一个用户,各个线程里面存的都是该用户,当然获取到的是一致的)因为新实现的导入都是直接用一个key作为判断是否存在正常导入的依据,并且异步之后删除key用的也是通过传参传入的LoginUser,而校验用的是ThreaLocal,自然不会出现这种问题。再去看半个小时内是否有导入,还真有,再细看过期时间和导入时间,居然还对的上。
spring-boot整合shiro安全框架
qiumin的博客
04-01 2728
安全是很要考虑的问题,shiro安全框架可定制性高,可以更好地起到安全和拦截、授权的作用
shiro认证及授权的执行流程分析及图解(一)
有一种信仰叫海阔天空
04-06 5404
一,认证 1、先建两个class文件 ①、一个写AuthRealm (授权与认证方法,并继承)extends AuthorizingRealm获取其默认方法doGetAuthorizationInfo(授权方法)doGetAuthenticationInfo(认证方法) ②、一个写PasswordMatcher(密码验证器,并继承)extends SimpleCredentia...
Apache shiro源码解读——Realm调用过程(从SecurityUtils.getSubject().login(token)开始)
南熏门前一只喵
07-30 2649
文章目录shiro是啥shiro中的三个核心模型抽象从SecurityUtils.getSubject().login(token)开始一段源码解读自定义Realm的两种轻松实现方式方式一方式二 shiro是啥 根据官网介绍,“Apache Shiro™ is a powerful and easy-to-use Java security framework that performs auth...
自我理解。
qq_33421151的博客
09-15 424
身份验证策略( org.apache.shiro.authc.pam.AuthenticationStrategy ) 如果Realm配置了多个,AuthenticationStrategy则将协调领域以确定身份验证尝试成功或失败的条件(例如,如果一个领域成功但其他领域失败,尝试成功了吗?Apache Shiro 的首要目标是易于使用和理解。主题( org.apache.shiro.subject.Subject) 当前与软件交互的实体(用户、第 3 方服务、cron 作业等)的特定于安全性的“视图”。
记录一个关于SecurityUtils.getSubject();的小问题
zh_chong的博客
11-08 4195
我们在使用shiro的时候使用SecurityUtils.getSubject();来获取当前登录用户; 但是我这次一直获取到的是用户表里面的第一条数据,查找原因,原来是前端用户名写成了了userName,而后台接收端写成了username。修改一致后就好了。 ...
SecurityUtils.getSubject()
02-03
SecurityUtils.getSubject()是Apache Shiro框架中的一个静态方法,用于获取当前用户的Subject对象。Subject对象代表了当前用户的安全操作主体,可以用于进行身份认证、授权和会话管理等操作。 通过调用SecurityUtils.getSubject()方法,可以获取到当前执行代码的用户Subject对象。通过Subject对象,可以进行一系列的安全操作,例如: 1. 身份认证:可以使用Subject对象进行用户身份认证,验证用户的用户名和密码是否正确。 2. 授权:可以使用Subject对象进行权限控制,判断用户是否具有执行某个操作的权限。 3. 会话管理:可以使用Subject对象进行会话管理,例如创建、销毁和获取当前用户的会话信息。 需要注意的是,使用SecurityUtils.getSubject()方法前,需要先配置好Shiro框架,并且在当前环境中已经进行了用户身份认证。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值