shiro 登陆成功后subject依然为空

最新推荐文章于 2024-03-06 18:30:29 发布
最新推荐文章于 2024-03-06 18:30:29 发布
阅读量1.6w 收藏 31
点赞数 11
分类专栏: spring 文章标签: shiro

shiro框架是一个强大的轻量级java安全框架。它提供了权限验证、加密、session管理的功能。shiro易用、上手快,应用场景大到企业级应用、小到手机应用都可以使用。本文就针对shiro的subject一个点展开,讲讲这个subject的来龙去脉。
我关注这个类要从一次错误说起。在我的项目里面突然就出现subject无法获得principals字段信息的情况,自然我每次登陆再请求什么都是subject.getPrincipal()等于空。
SecurityUtils.getSubject()这个方法是从线程获取的数据。在不了解subject原理的时候我的判断是线程号换了所以数据就找不到了。所以,我一直在研究为啥线程号总换。这个思路是非常错误的,错误在并没有真正了解subject这个类里面的数据是怎么来的。
那么subject里面的数据究竟是怎么来的,怎么就能从线程级别获取到subject了呢?
我们在使用shiro的时候首先配置了一个它的代理过滤器在web.xml里面。所以要从shiro的过滤器开始说起,shiro的内部过滤器的实现在这段代码。

protected void doFilterInternal(ServletRequest servletRequest, ServletResponse servletResponse, final FilterChain chain) 
throws ServletException, IOException { 
Throwable t = null; 
try { 
final ServletRequest request = prepareServletRequest(servletRequest, servletResponse, chain); 
final ServletResponse response = prepareServletResponse(request, servletResponse, chain); 
final Subject subject = createSubject(request, response); 
//noinspection unchecked 
subject.execute(new Callable() { 
public Object call() throws Exception { 
updateSessionLastAccessTime(request, response); 
executeChain(request, response, chain); 
return null; 
} 
}); 
} catch (ExecutionException ex) { 
t = ex.getCause(); 
} catch (Throwable throwable) { 
t = throwable; 
} 
if (t != null) { 
if (t instanceof ServletException) { 
throw (ServletException) t; 
} 
if (t instanceof IOException) { 
throw (IOException) t; 
} 
//otherwise it's not one of the two exceptions expected by the filter method signature - wrap it in one: 
String msg = "Filtered request failed."; 
throw new ServletException(msg, t); 
} 
}

shiro过滤器第一步就将servletRequest、servletResponse两个数据包装成shiro类型的request和response。
第二步就是创建subject。

protected WebSubject createSubject(ServletRequest request, ServletResponse response) { 
return new WebSubject.Builder(getSecurityManager(), request, response).buildWebSubject(); 
}

这个方法包括两个部分:
1、获取核心类securityManager 。
2、使用创造者模式创建subject。
2.1、Builder方法将securityManager、request、response属性设置到subjectContext中。
2.2、调用buildWebSubject()方法做具体的创建。

public WebSubject buildWebSubject() { 
Subject subject = super.buildSubject();//1 
if (!(subject instanceof WebSubject)) { 
String msg = "Subject implementation returned from the SecurityManager was not a " + 
WebSubject.class.getName() + " implementation.Please ensure a Web-enabled SecurityManager " + 
"has been configured and made available to this builder."; 
throw new IllegalStateException(msg); 
} 
return (WebSubject) subject; 
}

看下标注1的实现

public Subject buildSubject() { 
return this.securityManager.createSubject(this.subjectContext);//1.1 
}

1.1具体实现如下:

public Subject createSubject(SubjectContext subjectContext) { 
//获取subjectContext信息到context 
SubjectContext context = copy(subjectContext); 
//设置securityManager到context 
context = ensureSecurityManager(context); 
//设置cotext的session信息到context 
context = resolveSession(context); 
//设置principals信息到context 
context = resolvePrincipals(context); 
//创建subject 
Subject subject = doCreateSubject(context); 
//保存subject 的登陆信息保存到session中或者持久化库中 
save(subject); 
return subject; 
}

从创建subject步骤来看subject数据应该是从context里面获取到的。具体怎么获取的呢?

public Subject createSubject(SubjectContext context) { 
if (!(context instanceof WebSubjectContext)) { 
return super.createSubject(context); 
} 
WebSubjectContext wsc = (WebSubjectContext) context; 
SecurityManager securityManager = wsc.resolveSecurityManager(); 
Session session = wsc.resolveSession(); 
boolean sessionEnabled = wsc.isSessionCreationEnabled(); 
PrincipalCollection principals = wsc.resolvePrincipals(); 
boolean authenticated = wsc.resolveAuthenticated(); 
String host = wsc.resolveHost(); 
ServletRequest request = wsc.resolveServletRequest(); 
ServletResponse response = wsc.resolveServletResponse(); 
return new WebDelegatingSubject(principals, authenticated, host, session, sessionEnabled, 
request, response, securityManager); 
}

原来是subjectFacotry方法中创建的WebDelegatingSubject实例。也就是说subject里面的各个字段都是从这个方法里面获得的。下面我们就来看看我遇到的那个问题,pricipals怎么为空了?数据应该从哪里来的。

public PrincipalCollection resolvePrincipals() { 
//MapContext的backingMap是否存在principals 
PrincipalCollection principals = getPrincipals(); 
//MapContext的backingMap是否存在info,如果存在在这里获取。 
if (CollectionUtils.isEmpty(principals)) { 
//check to see if they were just authenticated: 
AuthenticationInfo info = getAuthenticationInfo(); 
if (info != null) { 
principals = info.getPrincipals(); 
} 
} 
//MapContext的backingMap是否存在subject,如果存在在这里获取。 
if (CollectionUtils.isEmpty(principals)) { 
Subject subject = getSubject(); 
if (subject != null) { 
principals = subject.getPrincipals(); 
} 
} 
//MapContext的backingMap是否存在session,如果存在从session里面获取 
if (CollectionUtils.isEmpty(principals)) { 
//try the session: 
Session session = resolveSession(); 
if (session != null) { 
principals = (PrincipalCollection) session.getAttribute(PRINCIPALS_SESSION_KEY); 
} 
} 
return principals; 
}

从principals的获取顺序可以猜测principals这个数据应首先出现在session中。这样如果在系统尚未登录时候,session刚刚创建,表单的信息应该先放在session中,这样我们就能获得这个principals数据了。
接下来,我们从登录的过程开始看看数据是如何被放入session中的。
我们在登陆的时候会配置一个CustomFormAuthenticationFilter过滤器实例,如下:


> 










/user/login=authc 
/** =sysUser,onlineSession,,perms,roles

它的父类FormAuthenticationFilter。这个类是一个切面过滤器AccessControlFilter的子类。每一次请求都会首先执行该方法:

public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception { 
return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue); 
}

isAccessAllowed(request, response, mappedValue)是一个空方法。onAccessDenied(request, response, mappedValue)方法在FormAuthenticationFilter中被实现。

protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception { 
if (isLoginRequest(request, response)) { 
if (isLoginSubmission(request, response)) { 
if (log.isTraceEnabled()) { 
log.trace("Login submission detected.Attempting to execute login."); 
} 
return executeLogin(request, response); 
} else { 
if (log.isTraceEnabled()) { 
log.trace("Login page view."); 
} 
//allow them to see the login page ;) 
return true; 
} 
} else { 
if (log.isTraceEnabled()) { 
log.trace("Attempting to access a path which requires authentication.Forwarding to the " + 
"Authentication url [" + getLoginUrl() + "]"); 
} 
saveRequestAndRedirectToLogin(request, response); 
return false; 
} 
}

该方法首先判断请求路径和我们xml配置的登陆路径是否一致。然后判断请求是否是post方法。满足以上两个条件调用父类的executeLogin(request, response)执行登陆操作。由此,我们看出登陆这个shiro已经为我们封装好了,不需要我们自己写。

protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception { 
AuthenticationToken token = createToken(request, response); 
if (token == null) { 
String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken " + 
"must be created in order to execute a login attempt."; 
throw new IllegalStateException(msg); 
} 
try { 
Subject subject = getSubject(request, response); 
subject.login(token); 
return onLoginSuccess(token, subject, request, response); 
} catch (AuthenticationException e) { 
return onLoginFailure(token, e, request, response); 
} 
}

executeLogin方法就做了三个事情:
1、将我们提交的表单数据封装成token
2、从request、response里面获取subject
3、执行subject的login方法。
4、按照我们配置的跳转路径或者默认的路径跳转到登陆成功页面。
第2步最终还是走了DefaultSecurityManager类的createSubject方法。这个时候由于是没有登陆,那么subject的pricipals、session字段自然是空的。重点来看第3步

public void login(AuthenticationToken token) throws AuthenticationException { 
clearRunAsIdentitiesInternal(); 
//3.1 
Subject subject = securityManager.login(this, token); 
PrincipalCollection principals; 
String host = null; 
if (subject instanceof DelegatingSubject) { 
DelegatingSubject delegating = (DelegatingSubject) subject; 
//we have to do this in case there are assumed identities - we don't want to lose the 'real' principals: 
principals = delegating.principals; 
host = delegating.host; 
} else { 
principals = subject.getPrincipals(); 
} 
if (principals == null || principals.isEmpty()) { 
String msg = "Principals returned from securityManager.login( token ) returned a null or " + 
"empty value.This value must be non null and populated with one or more elements."; 
throw new IllegalStateException(msg); 
} 
this.principals = principals; 
this.authenticated = true; 
if (token instanceof HostAuthenticationToken) { 
host = ((HostAuthenticationToken) token).getHost(); 
} 
if (host != null) { 
this.host = host; 
} 
Session session = subject.getSession(false); 
if (session != null) { 
this.session = decorate(session); 
} else { 
this.session = null; 
} 
}

注意下这个方法在DelegatingSubject类里面。所以这个方法作用就是填充subject。重点在代码中标注的3.1里面。

public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException { 
AuthenticationInfo info; 
try { 
info = authenticate(token); 
} catch (AuthenticationException ae) { 
try { 
onFailedLogin(token, ae, subject); 
} catch (Exception e) { 
if (log.isInfoEnabled()) { 
log.info("onFailedLogin method threw an " + 
"exception.Logging and propagating original AuthenticationException.", e); 
} 
} 
throw ae; //propagate 
} 
Subject loggedIn = createSubject(token, info, subject); 
onSuccessfulLogin(token, info, loggedIn); 
return loggedIn; 
}

首先是校验我们表单提交过来的信息是否能够登陆到系统中。
代码太多不贴出,写下调用顺序:
AuthenticatingSecurityManager-》AbstractAuthenticator-》ModularRealmAuthenticator-》AuthenticatingRealm-》MyRealm(自定义)
这时候如果在我们自定义的MyRealm校验通过,就会返回一个

SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, password.toCharArray(), getName());

有了这些信息就能将subject的相应的登陆信息字段信息填充到subjectContext对象中,有了所有的数据再次调用createSubject(context)方法,重新创建subject实例。

protected Subject createSubject(AuthenticationToken token, AuthenticationInfo info, Subject existing) { 
SubjectContext context = createSubjectContext(); 
context.setAuthenticated(true); 
context.setAuthenticationToken(token); 
context.setAuthenticationInfo(info); 
if (existing != null) { 
context.setSubject(existing); 
} 
return createSubject(context); 
}

最后一件比较重要的事情就是session信息的填充。session是什么时候创建,并跟随request里的sessionid到浏览器,然后又是如何从session中恢复subject中的呢?
无论是否成功登陆了,session在shiro过滤器的时候就已经有了,如图。
输入图片说明参见这段代码:

final Subject subject = createSubject(request, response);

创建subject的过程,不仅仅是要从session中恢复一些数据,如果系统尚不存在session的时候会主动创建。这个创建过程是从cookie的sessionid中创建。首次没有session信息的时候,会根据cookie带过来的sessionId创建一个新的session。

:DefaultWebSessionManager 
private String getSessionIdCookieValue(ServletRequest request, ServletResponse response) { 
if (!isSessionIdCookieEnabled()) { 
log.debug("Session ID cookie is disabled - session id will not be acquired from a request cookie."); 
return null; 
} 
if (!(request instanceof HttpServletRequest)) { 
log.debug("Current request is not an HttpServletRequest - cannot get session ID cookie.Returning null."); 
return null; 
} 
HttpServletRequest httpRequest = (HttpServletRequest) request; 
return getSessionIdCookie().readValue(httpRequest, WebUtils.toHttp(response)); 
}

shiro配置的cookie会自动的带回来一个数字串,这个数字串就是我们新建session的id值。
DefaultSessionManager里面的retrieveSessionFromDataSource方法会从我们配置的sessionDAO中获取持久化的session里面是否有id为它的session信息。如果没有在我们持久化的sessionDAO中找到相应的session信息,在debug下会打印我们经常看到的一个异常信息:

org.apache.shiro.session.UnknownSessionException: There is no session with id [63916bfc-173c-4d39-a154-ae7c8f81a925] 
at org.apache.shiro.session.mgt.eis.AbstractSessionDAO.readSession(AbstractSessionDAO.java:170) ~[shiro-core-1.2.3.jar:1.2.3] 
at org.apache.shiro.session.mgt.eis.CachingSessionDAO.readSession(CachingSessionDAO.java:261) ~[shiro-core-1.2.3.jar:1.2.3] 
at org.apache.shiro.session.mgt.DefaultSessionManager.retrieveSessionFromDataSource(DefaultSessionManager.java:236) ~[shiro-core-1.2.3.jar:1.2.3]

由此我们知道,session信息无论是否是新的还是已登录的session。在过滤器首次创建subject的时候都将session设置到了subject中。同时,subject信息也会被放置到session中。

:DefaultSecurityManager 
save(subject); 
类DefaultSubjectDAO 
public Subject save(Subject subject) { 
if (isSessionStorageEnabled(subject)) { 
saveToSession(subject); 
} else { 
log.trace("Session storage of subject state for Subject [{}] has been disabled: identity and " + 
"authentication state are expected to be initialized on every request or invocation.", subject); 
} 
return subject; 
}

那么session中如何将principal放置到session中的呢?同样还是这段代码

protected void saveToSession(Subject subject) { 
//performs merge logic, only updating the Subject's session if it does not match the current state: 
mergePrincipals(subject); 
mergeAuthenticationState(subject); 
}

当然,必须是在subject里面含有pricipal信息的时候才能够放置成功。
回到登陆的过程,登陆的过程最终还是调用了DefaultSecurityManager类里面的createSubject(SubjectContextsubjectContext)方法。由于在登陆的过程中一些登陆信息被设置。
到了subjectContext中,这样在调用完createSubject方法,登陆信息会在createSubject(SubjectContextsubjectContext)方法调用 save(subject);时候被设置到sessoin。
由此,我们可以得出一个结论:subject里面的登陆信息每次从线程获取之前,数据一定是从session中获取。所以cookie的配置正确与否会影响到subject数据的正常显示。cookie配置一定要注意两个参数:path和domain。不要把path配置的太深,会导致有些路径获取不到cookie导致subject数据读取失败。不要把domain配置成跨域,跨域会导致cookie获取不到。从而无法读到sessionid而获取不到session信息。

转载:https://www.aliyun.com/jiaocheng/825309.html

淡淡的C
关注
  • 11
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Jeesite 登录login涉及到shiro验证和授权的流程分析
05-29
实习生阶段:进来公司没任何培训,给了我们几个实习生一个月的时间自学SSM框架、掌握开源JeeSite框架和使用JeeSite开发一个小demo(突然感觉头有点大,没人带)然后自己被分配了做涉及使用shiro的登录模块的开发,随时做下笔记,第一次写博客,第一篇博客在此主要分析一下下Jeesite 登录时通过shiro验证和授权的主要流程(关于shrio,先学习下快速入门的使用知识,http://www.cnblogs.com/learnhow/p/5694876.html
Shiro+Redis实现登陆账号锁定功能
04-01
Tips:默认条件下,若同一账户的密码连续输错五次,该账户将被自动锁定,无法进行登录。锁定将持续十分钟后自动解除。
shiro获取当前登录用户subject.getPrincipal()报null空指针
iijik55的博客
08-24 2053
SecurityUtils.getSubject().getPrincipal()为空,网上查了一堆复制粘贴的文章都是说配置加载顺序问题,我遇到的并不是这样的问题,我是偶尔一个报空,其他的正常.既然是这个参数报空,那就找到代码的这里,发现原来代码的逻辑是从redis中拿,并且把如果redis没有就去查数据库的代码给注释掉了.恢复注释即可.自定义realm–》doGetAuthenticationInfo–》
code: 500 ] This subject is anonymous - it does not have any identifying
YHLSunshine的博客
03-06 500
使用idea 开发java 项目,前端页面请求 页面中相关的接口时,idea 控制台有报错信息出现,前端请求失败。code: 500 ] This subject is anonymous - it does not have any identifying principals and authorization operations require an identity to check against. A
Spring+shiro session与线程池的坑
byt420的专栏
02-25 634
在java web编程中,经常使用shiro来管理session,也确实好用 shiro来获取session的方式 SecurityUtils.getSubject().getSession() 其中SecurityUtilsgetSubject代码如下 /** * Returns the currently accessible {@code Subject} availab...
SecurityUtils.getSubject().getPrincipal()获取为null
劉念的博客
04-23 6906
1、原因,当前访问的路径没有在shiro中进行登录认证(无需登录也能访问) 解决方法就是将上面的接口注释,此后,每次访问都会先认证将信息存入SecurityUtils ...
shiroSecurityUtils.getSubject().getPrincipal()获取当前登录用户信息为null
热门推荐
Mint6的博客
02-10 1万+
使用shiroSecurityUtils.getSubject().getPrincipal()获取当前登录用户信息遇到的问题总结一下 1.获取不到返回null (1)设置配置AuthorizationAttributeSourceAdvisor在整个类的最前面,至少在shiroFilterFactoryBean的前面 /** * 开启Shiro的注解(如@Requir...
SecurityUtils.getSubject().getPrincipal() 为null
zhaofuqiangmycomm的博客
04-25 4672
出现这个问题就是当前请求没有用户登录 1.确实没有登录 页面是通过一个连接,或者是iframe签入进来的 2.登录了但是shiro的拦截器配置了无需认证即可访问 filterChainDefinitionMap.put("/activiti_process/**", "anon"); 比如我后台的访问路径为:127.0.0.1:8080/jeecg-boot/activiti_process/listData LoginUser sysUser = (LoginUser) ...
SecurityUtils.getSubject().getPrincipal()为null
hanxue20100的博客
05-24 3876
SecurityUtils.getSubject().getPrincipal()为null 项目采用springboot+shiro进行权限管理。采用mapper拦截器录入操作人。结果数据库中operator字段为空,使用SecurityUtils.getSubject().getPrincipal()获取封装的用户信息。结果也为空。检查自定义realm也没问题。最后发现,该接口被配置了filterMap.put("/service/**", “anon”)。 原来,将接口配置为anon,是不做拦截的。自
shiro SecurityUtils.getSubject().getPrincipal()得到null 的解决方法
qq_43851684的博客
08-14 8808
1 问题的由来 自定义的Realm 继承 AuthorizingRealm ,本想在doGetAuthenticationInfo 认证方法中通过Object o = SecurityUtils.getSubject().getPrincipal() 得到前端传来的信息的,然后通过instanceof 判断 o 的到底是什么类,来判断到底是用户登录还是管理员登录。 结果发现SecurityUtils.getSubject().getPrincipal() 得到的是null 2 解决方法 采用装饰类的思路解决
shiro整合springboot前后端分离
08-25
主要介绍了shiro整合springboot前后端分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Spring boot整合shiro+jwt实现前后端分离
08-25
主要为大家详细介绍了Spring boot整合shiro+jwt实现前后端分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
shiro登陆身份认证和权限管理 密码加密
01-23
shiro登陆shiro登陆身份认证和权限管理 密码加密。自己写的demo。实用。希望大家多多支持。谢谢大家
ssm+shiro实现简单的登陆认证功能
11-07
ssm+shiro实现简单的登陆认证功能,简单明了,适合小白~
超爽的抽屉效果.zip
04-19
android 源码学习. 资料部分来源于合法的互联网渠道收集和整理,供大家学习参考与交流。本人不对所涉及的版权问题或内容负法律责任。如有侵权,请通知本人删除。感谢CSDN官方提供大家交流的平台
关于学习C语言时写的代码.zip
04-19
C语言诞生于美国的贝尔实验室,由丹尼斯·里奇(Dennis MacAlistair Ritchie)以肯尼斯·蓝·汤普森(Kenneth Lane Thompson)设计的B语言为基础发展而来,在它的主体设计完成后,汤普森和里奇用它完全重写了UNIX,且随着UNIX的发展,c语言也得到了不断的完善。为了利于C语言的全面推广,许多专家学者和硬件厂商联合组成了C语言标准委员会,并在之后的1989年,诞生了第一个完备的C标准,简称“C89”,也就是“ANSI C”,截至2020年,最新的C语言标准为2018年6月发布的“C18”。 [5] C语言之所以命名为C,是因为C语言源自Ken Thompson发明的B语言,而B语言则源自BCPL语言。 1967年,剑桥大学的Martin Richards对CPL语言进行了简化,于是产生了BCPL(Basic Combined Programming Language)语言。
机械臂论文.doc
最新发布
04-19
机械臂论文.doc
import org.apache.shiro.subject.Subject
03-11
这是一个 Java 代码中的 import 语句,用于导入 Apache Shiro 框架中的 Subject 类。Subject 类是 Shiro 框架中的核心类之一,用于表示当前用户的身份和权限信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值