shiro整体流程

最新推荐文章于 2021-06-22 10:14:51 发布
最新推荐文章于 2021-06-22 10:14:51 发布
阅读量1.3k 收藏 2
点赞数 1
分类专栏: shiro 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44836294/article/details/107665740
版权

开始全流程分析:

当访问对应的url 的时候,会有对应的过滤器 执行过滤,
比如FormAuthenticationFilter 这个类继承了AuthenticatingFilter 抽象类,

抽象类里有一个方法 :

protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
AuthenticationToken token = createToken(request, response);
if (token == null) {
String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken " +
“must be created in order to execute a login attempt.”;
throw new IllegalStateException(msg);
}
try {
Subject subject = getSubject(request, response);
subject.login(token);
return onLoginSuccess(token, subject, request, response);
} catch (AuthenticationException e) {
return onLoginFailure(token, e, request, response);
}
}

当 需要FormAuthenticationFilter 这个过滤器进行 认证或者权限过滤时候,就会首先走到这个方法内,创建 token,然后 获取subject 执行login方法,如代码所示,如果 成功了,会执行 FormAuthenticationFilter 类的onloginSuccess 方法,失败执行onLoginFailure 方法。

每次请求一个新的需要认证的 url 的时候,就需要走到这方法,进行过滤。

举例说明 :访问/login 方法 会被进行过滤,onloginSuccess 方法里会再重定向到/login 方法执行。

protected boolean onLoginSuccess(AuthenticationToken token, Subject subject, ServletRequest request, ServletResponse response) throws Exception {
//登录成功后,从session中去除校验码
Session session = subject.getSession();
session.removeAttribute(CAPTCHA_SESSION);

   //触发执行鉴权方法
   SecurityManager.isSessionUserAdminRole();

if (redirectToSavedRequest) {
return super.onLoginSuccess(token, subject, request, response);
} else {
WebUtils.issueRedirect(request, response, getSuccessUrl());
return false;
}
}

另一种实现认证方式:

也可以不配置/login =authc

而是在/login 对应的控制器方法内,创建token 并执行

Subject subject = getSubject(request, response);
subject.login(token);
然后在执行 subject.isAuthenticated()进行判断 。
两种方式都可以实现,但是推荐使用第一种。因为配置简单。没有代码侵入。第二种容易理解。 但是笔者在这里强烈建议采取第一种方式,开发肯定要避免逻辑相同的代码,同一个登录如果一段代码如果每次登录都需要执行,那么开销太大了
subject.login(token); 执行内部逻辑

接下来我们进入login方法 看看内部是怎样实现的.代码如下,(截取了一部分)
在这里插入图片描述
进入securityManager的login方法 代码如下:
在这里插入图片描述
注意, 这里才开始真正的认证操作, 在这个方法中定义了AuthenticationInfo对象用来接收从Realm传来的认证信息,

进入authenticate方法:

在这里插入图片描述

进入authenticator的authenticate方法,

在这里插入图片描述

发现这是一个抽象类, 在它的authenticate方法中又调用了自己的doAuthenticate方法, 但该类中对doAuthenticate并没有具体实现,所以继续往下走, 看看哪个类对它进行了实现,

进入doAuthenticate方法,(该方法的实现比较长,不使用截图的方式,直接上代码)

ModularRealmAuthenticator:

protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
this.assertRealmsConfigured();
Collection realms = this.getRealms();
return realms.size() == 1?this.doSingleRealmAuthentication((Realm)realms.iterator().next(), authenticationToken):this.doMultiRealmAuthentication(realms, authenticationToken);
}

这才是之前的那个authenticator的真正实现,它的assertRealmsConfigured方法是判断Realm是否存在,不存在则会抛出IllegalStateException.随后根据Realm的个数来判断执行哪个方法,我只配了一个Realm,故会执doSingleRealmAuthentication,并将realm和token作为参数传入, 当然, 传入的realm实际上就是我自定义的ShiroRealm.

● 进入doSingleRealmAuthentication方法:

在这里插入图片描述

首先判断该realm是否支持认证该token, 显然是支持的,所以执行else,

● 执行了realm的getAuthenticationInfo(token)方法:

在这里插入图片描述
可以看到, 执行了ShiroRealm所继承类的getAuthenticationInfo方法: 首先shiro会先从缓存中获取认证信息(对应getCachedAUthenticationInfo方法),如果没有才会继续从Realm中获取, 因为我们是第一次登录,所以缓存中肯定没有认证信息,所以会执行if语句中的代码

● 注意,这里是重点, 执行了doGetAuthenticationInfo方法

在这里插入图片描述
执行图中箭头指向的方法, 这个方法就是进行密码匹配的

● 进入assertCredentialsMatch(token, info)方法

在这里插入图片描述
该方法首先获取了一个CredentialsMatcher, 译为凭证匹配器, 这里获取的是HashedCredentialsMatcher类的对象(见配置文件),该类的作用是将用户输入的密码以某种算法加密(为了安全考虑,数据库中用户的密码都是以密文保存的).所以需要加密后再对比

● 进入doCredentialsMatch(token, info)

在这里插入图片描述
对token中的password加密后,执行equals方法进行对比,如果相同则认证成功,返回true.反之认证失败, 返回false,并在接下来抛出AuthenticationException. 到此,认证过程结束, 将info原路返回到DefaultSecurityManager.

授权filter 和认证filter 原理差不多,用RolesAuthorizationFilter 做例子:
public class RolesAuthorizationFilter extends AuthorizationFilter {

//TODO - complete JavaDoc

@SuppressWarnings({"unchecked"})
public boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) throws IOException {

    Subject subject = getSubject(request, response);
    String[] rolesArray = (String[]) mappedValue;

    if (rolesArray == null || rolesArray.length == 0) {
        //no roles specified, so nothing to check - allow access.
        return true;
    }

    Set<String> roles = CollectionUtils.asSet(rolesArray);
    return subject.hasAllRoles(roles);
}

}

在配置文件中配置了 role[sad] 后,会调用到
isAccessAllowed方法,可以看到 把sad 角色转化进去了,然后判断当前用户是否拥有这个角色。
执行 hasAllRoles 最后会调用
AuthorizingRealm 进行授权判断,并返回授权结果。 当然也可以配置多个realm.

Jaymeng8848
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro 登录流程
jtf19901223的博客
11-08 333
登录过滤器 AuthenticatingFilter protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception { // 从request参数中创建tokenAuthenticationToken token = createToken(request, response); if (token == null) {
shiro登陆失败提示_shiro 不管登录成功还是失败都出现这个bug
weixin_29914581的博客
01-13 2210
28 回复package com.coracle.fast.service.impl.shiro;import org.apache.shiro.authc.AuthenticationException;import org.apache.shiro.authc.AuthenticationInfo;import org.apache.shiro.authc.AuthenticationToke...
shiro1.7.1.zip
04-12
最新版shiro1.7.1.jar包,安全升级专用
shiro1.6版本
09-07
2020年8月17日,shiro发布了1.6.0版本,修复了绕过认证的bug。这里面包含1.1、1.6版本的jar包
shiro1.5.3
05-11
最新shiro1.5.3全依赖jar包,里面包含shiro-core shiro-spring shiro-web 等等一系列
01-shiro认证流程.md
07-31
自己看的小课件顶
shiro漏洞检测工具
08-10
shiro漏洞检测工具,找了一个18M左右的不好用,经验证这个好用,不会报找不到类错误。
[Shiro框架报错 ] 测试接口 因为权限配置报错!
汤圆的博客
06-22 453
因为自己的不细心出错 !!! 让我也捋了一遍shiro的逻辑!!福祸相依啊! shiro的executeLogin方法报错: createToken method implementation returned null 因为Controller 这个方法上面 被我加上了 @RequiresAuthentication的注解 这个注解 就是在访问这个接口的时候 必须要 用户登录信息 走用户登录的权限 执行这个方法Debug的时候 报错了!!executeLog...
shiro认证成功后,没有跳转到配置的successUrl
重来不喝咖啡の博客
12-14 6183
项目框架:spring boot + jpa,maven管理 昨天在项目中使用shiro的时候,发现shiro认证成功后一直跳转的界面是"/"这个界面,报一个404异常,自己配置的successUrl感觉没有起作用,总结前人博客,并且查看源码,知道了原因: 首先,shiro在认证成功后,会调用onLoginSuccess方法, onLoginSuccess(token, subject, ...
重写shiro跳转路劲loginUrl、successUrl等
热门推荐
喵″的博客
11-23 1万+
最近有个需求,shiro中的路劲配置要求可以后台管理,以实现不同浏览器进入不同登录页面,不同权限进入不同首页。 研究源码后的解决方案: shiroFilter配置中的跳转,都是基于以下类进行设置的: 所以我们要做的就是继承并重写该类中的某些方法: 登录URL跳转:redirectToLogin 登录成功后的跳转:onLoginSuccess 最常用的就是这两个路劲,至于说特殊需求需
shiro流程
qq_39158582的博客
04-19 203
金博文档Shiro几大核心功能.2.1Authentication:认证.用户的登录,退出属于认证.2.2Authorization:授权.菜单授权,元素可见性授权等.2.3Cryptography:加密.密码加密,md5加密等.2.4 SessionManagement: Session管理2.5 WebIntegration : Web集成.2.5.1 Shiro不依赖于容器的,可以运行在Ja...
登录不会走自定义的FormAuthenticationFilter及其onLoginSuccess原因
05-03
NULL 博文链接:https://yuhuiblog695685688425687986842568269.iteye.com/blog/2405464
一道shiro反序列化转型引发的思考 .pdf
09-05
总之,这道Shiro反序列化转型的问题提醒我们,Web安全是一个动态且复杂的过程,需要持续关注新的漏洞和攻击手段,并结合黑盒测试、代码审计和业务风控等多方面手段来提升整体的安全防御能力。同时,对于企业来说,...
智慧农业电子商务平台整体解决方案.pptx
04-12
通过这些功能,平台可以确保商品信息的准确性和时效性,保证交易的安全和便捷,同时监控和优化物流流程,提升用户购物体验。 2. **全渠道管理系统**:全渠道管理强调在各种线上线下销售渠道的整合,如实体店铺、...
基于ssm框架+layui的汽车租赁管理系统项目源码+数据库+项目说明.zip
最新发布
01-09
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目...# 至此,整个项目的业务流程已搭建完毕,后续有时间的话会进行优化
erp:基于SSH架构的企业资源计划 ERP (Enterprise Resource Planning)
05-14
企业数据以WEB形式采集录入系统,经过收集汇总后,为各级终端用户提供日常业务信息管理、业务流程执行等日常办公服务辅助平台,辅助本职能部门出具预案决策,提高整体企业内部业务工作效率。建立企业的管理信息系统...
毕业论文jsp2394移动电费房租管理系统ssm.doc
08-22
- 整体需求:系统需具备用户管理、电费管理、房租管理、合同管理等功能,同时保证数据安全性和操作便捷性。 - 功能需求:包括管理员对用户信息的管理,电费和房租的录入、计算、催缴,以及用户查询和支付等功能。 - ...
shiro框架源码解析与改造(九)---FormAuthenticationFilter
ljz2016的博客
08-10 1283
FormAuthenticationFilter是登陆已经认证的关键过滤器。 父类是AuthenticationFilter 由onPreHandle方法为起点,先判断当前用户是否已经登陆,然后当前账号是否是当前用户最后登陆的,如果不是,则拒绝,onAccessDenied,重定向到登陆界面 auth认证, protected boolean onPreHandle(ServletRe...
shiro的基本流程
夜幕挽歌的博客
09-16 151
shiro的基本流程 获取当前的subject,调用SecurityUtils.getSubject() 测试当前的用户是否已经被认证,即是否已经登录,调用subject的isAuthenticated() 若没有被认证,则把用户名和密码封装为UsernamePasswordToken对象 1)创建一个表单页面 2)把数据传递到springMVC的Handler 执行登录,调用subject的l...
请讲述shiro编码流程
05-11
Shiro是一个Java安全框架,提供了身份验证、授权、加密等安全功能。下面是Shiro编码的基本流程: 1. 添加Shiro依赖库:在项目中添加Shiro的依赖库,可以通过Maven或手动添加方式。 2. 配置Shiro:在项目中添加Shiro的配置文件,一般为shiro.ini或shiro.xml,用于配置Shiro的安全策略和相关属性。 3. 创建Subject对象:Subject是Shiro的核心对象,表示当前用户。可以通过SecurityUtils.getSubject()方法获取Subject对象。 4. 身份验证:使用Subject对象进行身份验证,即验证当前用户是否已经登录。可以使用UsernamePasswordToken或其他Token实现身份验证。 5. 授权访问:在身份验证通过后,使用Subject对象进行授权,即判断当前用户是否有访问某个资源或执行某个操作的权限。 6. 加密解密:Shiro提供了多种加密解密方式,可以使用相应的加密解密算法对敏感数据进行加密保护。 7. 退出登录:用户退出登录时,需要清空Subject对象的状态信息,以防止信息泄露。 以上是Shiro编码的基本流程,开发人员可以根据具体业务需求进行相关操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值