shiro登录流程源码追踪

最新推荐文章于 2023-06-15 19:19:29 发布
最新推荐文章于 2023-06-15 19:19:29 发布
阅读量250 收藏 3
点赞数 4
文章标签: shiro java 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42331001/article/details/104412469
版权
本文深入探讨了Shiro框架的登录流程,从自定义过滤器方法开始,详细跟踪了登录验证过程,包括如何通过父类AuthenticatingFilter的login方法,以及自定义Token在 Realm 中的验证路径。通过对DefaultSecurityManager、RealmSecurityManager和Authenticator的分析,揭示了Shiro如何处理认证信息并委托给自定义Realm进行验证。最后,指出了在自定义 Realm 中实现登录逻辑的重要性。
摘要由CSDN通过智能技术生成

最近研究shiro这个框架,这个框架的优点就不用说了,每个业务都有登录的过程,今天来探究一下这个登录流程。

首先来理清一下流程,我的是一个web项目,当请求来的时候首先被过滤器拦下,验证token,当token验证通过之后到达controller层。在这个过程中会继承shiro的AuthenticatingFilter然后在其中重载方法中进行登录逻辑也就是shiro的login(),执行login之后会进入我们自定义的Realm中进行token验证。那他是如何走的这一边流程的呢,今天来探究一下。

重写自定义过滤器方法

继承自shiro的AuthenticatingFilter然后重写其中的三个方法
在这里插入图片描述
当请求来的时候首先进入AccessControlFilter这个类的onPreHandle()这个方法,这个方法是在进入之前进行一些判断

public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
   
        return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);
}

首先判断isAccessAllowed()这个方法,这个方法是验证有没有登录过,如果登录过返回true跳过验证,过滤器放行,没有登录过则进入onAccessDenied()这个方法进行登录,如果登录成功则过滤器放行,登陆失败则要处理登录失败的逻辑,可以重写onLoginFailure()方法进行失败逻辑处理,所以自定义的过滤器实现了这两个方法。
这里解释一下,当请求来临时我们都要对token进行验证,所以我们默认判断他为false,然后在onAccessDenied()这个方法进行登录

@Override
protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
   
    // 获取请求token,如果token不存在,则表示登录失败
    String token = getRequestToken((HttpServletRequest) request);
    if(StringUtils.isBlank(token)){
   
        // 失败逻辑处理
        return false;
    }
    // executeLogin执行登录 失败则会执行 onLoginFailure
    return executeLogin(request, response);
}
父类AuthenticatingFilter查看登录方法

点进executeLogin()之中会进入AuthenticatingFilter之中也就是自定义过滤器的父类

protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
   
    // 获取token
    AuthenticationToken token = createToken(request, response);
    if (token == null) {
   
        String msg = "异常信息";
        throw new IllegalStateException(msg);
    }
    try {
最低0.47元/天 解锁文章
液!
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro登录流程源码分析
末贵的CSDN个人博客
09-08 169
分析整个登录流程,以token去向为线索,层层追踪,直到跟我们自定义的realm验证方法结合。
shiro认证调试过程跟踪
实践求真知
05-13 518
一问题提出 看代码时候,我看到下面一个函数verify,我想弄清楚代码是怎么跑到这个函数。 /** * @className: JwtUtil * @description: JwtUtil工具类 * @date: 2020/5/13 * @author: cakin */ public class JwtUtil { /** * 过期时间为一周 */ private static final long EXPIRE_TIME = 7 * 12 * 3600 * .
Shiro__认证过程__源码跟踪分析
qq_37432174的博客
07-21 675
shiro认证过程源码 public static void main(String[] args) { // 1.获取SecurityManager工厂对象 Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini"); // 2.通过Factory对象获取S...
从代码分析shiro的登陆验证流程
远行的博客
03-27 275
功能: 认证,授权,加密,会话管理,,缓存。。。。 我的理解:什么是shiro,它就是一个基于cookie和session会话技术,采用mvc思想来完成用户的登陆注册和应用资源权限管理的安全框架。它的mvc三层模型分别是jsp/html 【v视图层】 realm【m模型层】 subject+securityManager【门面+管理=c=(控制层+业务层)】 shiro是一个...
前后端分离架构使用shiro框架进行登录的两种实现
热门推荐
lijunfeng的博客
02-25 2万+
方法一:重写FormAuthenticationFilter原理:假设在shiro.xml中配置了 /** = authc而默认authc对应org.apache.shiro.web.filter.authc.FormAuthenticationFilter过滤器则表示所有路径都被此过滤器拦截 当未登录请求被拦截,会调用FormAuthenticationFilter.onAccessDeny()...
shiro过滤器详解分析
weixin_34177064的博客
03-11 1230
(原) shiro最核心的2个操作,一个是登录的实现,一就是过滤器了。登录有时间再补录说明,这里分析下shiro过滤器怎样玩的。 1、目标 这里会按如下顺序逐一看其实原理,并尽量找出其出处。 先看一下shiro过滤器有哪些及它们的别名分别对应哪些类:点这里 这里只分析平时用的最多的一个:authc过滤器,对应的处理器的类是FormAuthenticationFilter。 2...
源码分析Apache Shiro 加密与登录验证
Kenny的博客
07-21 1638
前言 最近项目中用到Shiro安全框架,做加密验证的时候遇到一些问题,网上的多数Shiro的环境搭建只是简单的明文密码匹配,甚至有些文章的注释也不尽正确。在这里通过源码解析来还原真相。 大纲 使用Shiro提供的类进行密码加密 验证用户输入的账号密码的流程 使用Shiro提供的类进行密码加密 Shiro提供了org.apache.shiro.crypto.hash.SimpleH...
基于Spring+SpringMVC+Mybatis+Shiro的商城分布式系统架构源码.zip
最新发布
02-20
基于Spring+SpringMVC+Mybatis+Shiro的商城分布式系统架构源码.zip my-shop基于Spring+SpringMVC+Mybatis+ Shiro分布式敏捷开发系统架构,提供整套公共微服务服务模块:内容管理、支付中心、用户管理(包括第三方)...
springboot+shiro+jwt实现登录+权限验证
liu649983697的专栏
03-06 1507
一、简介: JWT优点: 1.基于Token的身份认证是无状态的,服务器或者Session中不会存储任何用户信息-应用程序可以根据需要扩展和添加更多的机器,而不必担心用户登录的位置。 2.支持跨域访问: Cookie是不允许垮域访问的,token支持。 3.解耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在 你的API被调用的时候, 你可以进行Token生成调用即可。 4.更适用于移动应用: Cookie不支持手机端访问,token支持。 5.性能: token生成
学习随笔——Springboot中整合shiro+jwt
TIANQIcode
10-21 253
1、创建token实体 2、自定义过滤器,继承AuthenticatingFilter类 重写createToken方法,返回一个AuthenticationToken接口的实现类。 @Override protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) throws Exception { //获取请求token String token = getReques
SpringBoot整合Shiro + JWT实现用户认证
qq_44709990的博客
02-28 4271
SpringBoot整合Shiro + JWT实现用户认证   登录和用户认证是一个网站最基本的功能,在这篇博客里,将介绍如何用SpringBoot整合Shiro + JWT实现登录及用户认证   Shiro相较于Spring Security而言是一款轻量级的安全框架,使用它我们可以不在数据库中设计权限相关的表,如果我们只需要处理匿名可访问接口和登录后可访问接口,那么使用Shiro将会很方便。在之前的博客里,我介绍了Spring Security的使用,以及JWT的由来等,有需要的可以传送: 【全网最细致
Shiro登录机制验证,自定义FormAuthenticationFilter
涛哥盛世
09-16 2万+
自定义登录form拦截器:org.apache.shiro.web.filter.authc.FormAuthenticationFilter 问题描述 使用shiro进行系统身份验证-权限控制,登录界面进行登录操作何时触发 boolean org.apache.shiro.web.filter.authc.AuthenticatingFilter.execute
Shiro登录时请求跳转问题
qq_38410795冰淇淋的博客
10-19 847
问题:未登录时浏览器发送的请求都会重定向,导致前端无法捕捉重定向后的消息。 原因:FormAuthenticationFilter.onAccessDenied()中做的重定向 解决:继承FormAuthenticationFilter,重写onAccessDenied方法,在config中配置filter import com.alibaba.fastjson.JSONObject; import org.apache.shiro.web.filter.authc.FormAuthenticati
权限验证框架之Shiro
`or 1 or 不正经の泡泡
06-15 1124
交替换个脑子,一直搞考研的东西,实在是无聊。所以顺便把工程上的东西,拿来遛一遛。你问我,为啥不是机器学习,深度学习,那玩意搞起来头更大,累了。权当是打游戏放松了,那么废话不多说,这里要玩玩的是Shiro,其实一开始我还是喜欢玩这个Security,不过后来,经常用这个人人开源,也就接触这个玩意了,说实话,先前用那个玩意的时候,也是习惯性的把shiro改成security,但是实话实说,太麻烦了,懒得改,所以的话,干脆就是直接使用这个Shiro
SpringBoot项目中shiro过滤器的重写以及配置
yao_1996的博客
11-23 5249
跨域访问导致shiro拦截失效的问题问题解决方案1.重写shiro 登录 过滤器2.重写role权限 过滤器3.配置过滤器 问题 遇到问题:在前后端分离跨域访问的项目中shiro进行权限拦截失效 (即使有正确权限的访问也会被拦截) 时造成302重定向错误等问题 报错:Response for preflight is invalid (redirect) 1.302原因:使用ajax访问后端项目...
springboot项目中使用shiro 自定义过滤器和token的方式
ratel的博客
01-04 5030
springboot前后端分离项目中使用shiro 实现自定义过滤器和token的方式
shiro web 登录流程
06-09
Shiro Web 登录流程一般分为以下步骤: 1. 用户在 Web 页面中输入用户名和密码,提交表单至服务端。 2. 服务端接收到表单数据后,将用户名和密码封装成一个 UsernamePasswordToken 对象。 3. 然后创建一个 SecurityUtils 对象,通过该对象获取当前的 Subject。 4. 调用 Subject 的 login 方法,将 UsernamePasswordToken 对象作为参数传入进行身份认证。 5. 身份认证成功后,Shiro 会将用户信息保存到一个 Subject 对象中。 6. 然后重定向到用户原来请求的页面或者登录成功后的首页。 7. 在用户后续的请求中,Shiro 会从 Subject 对象中获取当前用户的身份和权限信息,进行授权操作。 需要注意的是,Shiro Web 登录流程中,Shiro 会自动跳转到一个默认的登录页面,并且该页面需要配置在 Shiro 的配置文件中。如果需要自定义登录页面,可以通过编写 Shiro过滤器来实现。在登录成功后,Shiro 会跳转到用户原来请求的页面或者配置的默认首页,这也需要在 Shiro 配置文件中进行配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值