Shiro学习(三)——关于Subject的创建

最新推荐文章于 2024-07-25 09:37:41 发布
最新推荐文章于 2024-07-25 09:37:41 发布
阅读量1.3k 收藏 1
点赞数 2
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sadoshi/article/details/108570712
版权

前言

本文属于源码分析,只想了解Shiro使用的读者请略过。

Subject接口是Shiro中非常重要的接口,客户端通常会使用Subject的方法进行登录、登出、鉴权、角色判断等功能。在《Shiro学习(一)——Shiro配置与快速开始》中,我们就使用了其login接口。Subject的功能似乎非常强大,那么它到底是什么,为什么能做这么多事呢,值得我们分析一下它的来龙去脉。

 

Subject创建

在《Shiro学习(一)——Shiro配置与快速开始》为例,Subject通过SecurityUtils.getSubject()方法获取,如下:

Subject subject = SecurityUtils.getSubject();

深入到SecurityUtils的源码中看看:

public abstract class SecurityUtils {

//......

    public static Subject getSubject() {
        Subject subject = ThreadContext.getSubject();
        if (subject == null) {
            subject = (new Subject.Builder()).buildSubject();
            ThreadContext.bind(subject);
        }
        return subject;
    }

//......
}

ThreadContext是shiro封装的一个操作线程局部变量的抽象类。第6行通过getSubject()方法获取Subject。在测试的例子中,因为还没创建Subject,所以第7行判断为null,因此第8行创建subject。看看Subject.Builder()干了什么:

public interface Subject {

//......

    public static class Builder {

        private final SubjectContext subjectContext;

        private final SecurityManager securityManager;

//......
        public Builder() {
            this(SecurityUtils.getSecurityManager());
        }

        public Builder(SecurityManager securityManager) {
            if (securityManager == null) {
                throw new NullPointerException("SecurityManager method argument cannot be null.");
            }
            this.securityManager = securityManager;
            this.subjectContext = newSubjectContextInstance();
            if (this.subjectContext == null) {
                throw new IllegalStateException("Subject instance returned from 'newSubjectContextInstance' " +
                        "cannot be null.");
            }
            this.subjectContext.setSecurityManager(securityManager);
        }

        protected SubjectContext newSubjectContextInstance() {
            return new DefaultSubjectContext();
        }
//......
        public Subject buildSubject() {
            return this.securityManager.createSubject(this.subjectContext);
        }
    
	}
}

初始化Builder主要做两件事,一是设置SecurityManager,二是创建DefaultSubjectContext作为SubjectContext。接着看看(new Subject.Builder()).buildSubject()怎么创建Subject。它调用了33-35行,34行返回一个由securityManager创建的subejct。因此我们要跟踪securityManager的createSubject方法,前面都是创建subject的外围,接下来才是创建subject对象的核心:

public class DefaultSecurityManager extends SessionsSecurityManager {

//......

    protected SubjectContext copy(SubjectContext subjectContext) {
        return new DefaultSubjectContext(subjectContext);
    }

    public Subject createSubject(SubjectContext subjectContext) {
        SubjectContext context = copy(subjectContext);

        context = ensureSecurityManager(context);
        context = resolveSession(context);
        context = resolvePrincipals(context);

        Subject subject = doCreateSubject(context);
        save(subject);

        return subject;
    }

    protected Subject doCreateSubject(SubjectContext context) {
        return getSubjectFactory().createSubject(context);
    }

    protected SubjectContext ensureSecurityManager(SubjectContext context) {
        if (context.resolveSecurityManager() != null) {
            log.trace("Context already contains a SecurityManager instance.  Returning.");
            return context;
        }
        log.trace("No SecurityManager found in context.  Adding self reference.");
        context.setSecurityManager(this);
        return context;
    }

    protected SubjectContext resolveSession(SubjectContext context) {
        if (context.resolveSession() != null) {
            log.debug("Context already contains a session.  Returning.");
            return context;
        }
        try {

            Session session = resolveContextSession(context);
            if (session != null) {
                context.setSession(session);
            }
        } catch (InvalidSessionException e) {
            log.debug("Resolved SubjectContext context session is invalid.  Ignoring and creating an anonymous " +
                    "(session-less) Subject instance.", e);
        }
        return context;
    }

    protected Session resolveContextSession(SubjectContext context) throws InvalidSessionException {
        SessionKey key = getSessionKey(context);
        if (key != null) {
            return getSession(key);
        }
        return null;
    }

    protected Session resolveContextSession(SubjectContext context) throws InvalidSessionException {
        SessionKey key = getSessionKey(context);
        if (key != null) {
            return getSession(key);
        }
        return null;
    }

    protected SessionKey getSessionKey(SubjectContext context) {
        Serializable sessionId = context.getSessionId();
        if (sessionId != null) {
            return new DefaultSessionKey(sessionId);
        }
        return null;
    }

    protected SubjectContext resolvePrincipals(SubjectContext context) {

        PrincipalCollection principals = context.resolvePrincipals();

        if (isEmpty(principals)) {
            log.trace("No identity (PrincipalCollection) found in the context.  Looking for a remembered identity.");

            principals = getRememberedIdentity(context);

            if (!isEmpty(principals)) {
                log.debug("Found remembered PrincipalCollection.  Adding to the context to be used " +
                        "for subject construction by the SubjectFactory.");
                context.setPrincipals(principals);
            } else {
                log.trace("No remembered identity found.  Returning original context.");
            }
        }

        return context;
    }

//......
}

创建subejct第一件工作是创建SubjectContext,就是subject上下文。第10行复制一份刚才Builder创建的SubjectContext。当然这种复制对subjectContext内部的Map中的对象是浅拷贝,这样使每一个复制出来的SubjectContext都包含了设置好的SecurityManager。12行确保SecurityManager已被设置到SubjectContext中。13行设置Session到SubjectContext中,37行判断SubjectContext是否已有Session,因为SubjectContext从Builder复制出来只包含了SecurityManager,所以是null,因此走43行。由于之前SubjectContext没有设置过Session,因此43行也是返回null。14行是处理Principal,因为之前创建的SubjectContext没有涉及Principal,因此14行是指也没有做任何操作。16行创建Subject,跳转到23行调用DefaultSubjectFactory的createSubject方法。跟踪DefaultSubjectFactory的createSubject方法:

public class DefaultSubjectFactory implements SubjectFactory {

//......

    public Subject createSubject(SubjectContext context) {
        SecurityManager securityManager = context.resolveSecurityManager();
        Session session = context.resolveSession();
        boolean sessionCreationEnabled = context.isSessionCreationEnabled();
        PrincipalCollection principals = context.resolvePrincipals();
        boolean authenticated = context.resolveAuthenticated();
        String host = context.resolveHost();

        return new DelegatingSubject(principals, authenticated, host, session, sessionCreationEnabled, securityManager);
    }

//......
}

这里会把session、principals、authenticated、host、sessionCreationEnabled查出,并设置到DelegatingSubject对象中。因此Subject subject = SecurityUtils.getSubject();这个语句最终返回一个DelegatingSubject对象。对于本文的例子而言,session、principals、host均为null,sessionCreationEnabled为true,authenticated为false。

Shiro Subject详解
qq_25073223的博客
07-27 1417
Shiro Subject简介说明
Shiro基础应用——角色和权限校验
qq_45337431的博客
10-10 2931
1.shiro的概述 2.相关依赖和配置文件 3.shiro工厂启动的初始化原理 4.整个的使用过程以及注意事项 5.自定义的标签的使用
shiro实战系列()Subject
weixin_34406061的博客
06-15 658
毫无疑问,在 Apache Shiro 中最重要的概念就是 Subject。'Subject'仅仅是一个安全术语,是指应用程序用户的特定 安全的“视图”。一个 Shiro Subject 实例代表了一个单一应用程序用户的安全状态和操作。 这些操作包括: authentication(login) authorization(access contro...
Shiro--subject
最新发布
weixin_46520767的博客
07-25 555
在 Apache Shiro 中,Subject 是一个核心概念,它表示一个当前正在与应用程序交互的用户。这个用户可以是一个真实的人,也可以是一个系统账户或其他安全实体。SubjectShiro 进行身份认证和权限检查的主要接口。
shiro Subject详解
weixin_42714605的博客
05-12 518
什么是Subject对象 通常我们会将Subject对象理解为一个用户,同样的它也有可能是一个方程序,它是一个抽象的概念,可以理解为任何与系统交互的“东西”都是Subject。 如何获得Subject对象 首先创建一个初始化文件 shiro.ini [users] root=123,admin,person manage=123,campaign [roles] admin=* person = xiaoming:* campaign = xiaoming:drive:car users用户 用户名=密码
shiro Subject接口
一只小棉花的博客
01-01 1023
public interface Subject{ //@return this Subject's application-specific unique identity. Object getPrincipal(); //@return all of this Subject's principals (identifying attributes). PrincipalCollec...
Shiro快速入门 —— 5.授权
哼哼的博客
01-07 288
shiro授权的操作主要分为两个步骤 1、匹配登录用户的角色,并将权限赋予当前用户所创建Subject。 2、访问某一资源时,从当前用户Subject中取得权限并验证是否可以访问这个资源。 权限管理 shiro本身并不提供权限管理的机制,权限的管理需要我们自己进行维护。常见的做法是在数据库创建用户、角色和权限表进行管理。数据结构类似于下图 权限的标识符(代码中匹配权限的字符串)理论上可以自由定义,但是一般情况我们会赋予含义。 例如:“company_add“或“company:add”。前面代表模块后
shiro——认证
08-05
2. **创建Subject**: `Subject`是Shiro中的核心接口,代表了当前操作的主体,可能是用户、系统服务等。你可以通过`SecurityUtils.getSubject()`获取Subject实例。 3. **凭证匹配器(CredentialsMatcher)**: 在认证...
Shiro学习——()Shiro+mysql进行验证
weixin_43683536的博客
05-12 584
Shiro+Mysql进行授权验证   在我们的学习过程中,数据是至关重要的,而且是必不可少的一环。在Shiro学习中,进过数据库的查询,来进行不同用户的权限限定,是必不可少的。 第一步:数据库设计 第二步:导入依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId...
Shiro快速入门 —— 10.项目实例
哼哼的博客
01-11 390
本文所提供的项目实例,是我将公司项目中的shiro代码进行了抽取、整理并添加了一些注释而形成的。 所以例子中并不包含shiro所有的功能,但是本系列文章前9篇所讲解的内容在这里都是可以找到的。 本示例项目所使用的技术如下: 集成开发环境为IDEA,项目构建使用spring boot,包管理使用maven,页面展示使用freemaker,控制层使用spring mvc等。 在本篇博文中会贴出主要代码,完整的项目已经上传到码云大家可以下载查看使用。 项目码云地址:http://git.oschina.net
Shiro源码-创建subject
caiqianzhigai0859的博客
09-26 1219
用了shiro很长时间了,但是一直也没有深入了解,最近再一次使用到的时候,决定深入了解一下它的源码。主要是网上的资料太乱了,每次查的东西都是乱七八糟的,还是要自己去了解,去解决问题。申明一下,这篇博文主要是为了自己作记录,不是为了让谁看懂,所以会比较乱。另外,我使用的场景是web,所以我了解到的是webSubjectshiro本质上就是过滤器,所以要理解他的请求过程,按照过滤器的请求过程就行...
shiro源码分析01 -- Subject
Layduo
06-11 414
什么是Subject对象 在shiro中我们通常会将Subject对象理解为一个用户,同样的它也有可能是一个方程序,它是一个抽象的概念,可以理解为任何与系统交互的“东西”都是SubjectSubject对象内置属性 Subject其实是一个声明接口,使用的默认类是WebDelegatingSubject,是DelegatingSubject的子类。其中这个WebDelegatingSubject里面含有以下的参数: principals:主键(或者标记的集合) authenticate
ShiroSubject分析
weixin_45378289的博客
11-28 215
//获得Subject Subject currentUser = SecurityUtils.getSubject(); //获得session Session session = currentUser.getSession(); //判断当前用户是否被认证 currentUser.isAuthenticated() //获得当前用户的认证 token.getPrincipal() //判断用户是否拥有角色 currentUser.hasRole("schwartz") //获得当前用户的权限
ShiroSubject对象详解
热门推荐
和我一起学习吧
03-29 4万+
什么是Subject对象通常我们会将Subject对象理解为一个用户,同样的它也有可能是一个方程序,它是一个抽象的概念,可以理解为任何与系统交互的“东西”都是Subject。如何获得Subject对象首先创建一个初始化文件shiro.ini[users] root=123,admin,person manage=123,campaign [roles] admin=* person = xia...
shiro学习_Subject的使用
chuojianjia2695的博客
10-16 124
http://blog.csdn.net/it_lihongmin/article/details/75165144 Apache Shiro Subject学习笔记 http://blog.csdn.net/xuanfeng623/article/details/40...
Shiro-03-shiro 核心概念 Subject,SecurityManager 和 Realms
02-18 977
Shiro的体系结构具有个主要概念-主题(Subject),安全管理器(SecurityManager)和领域(Realms)。
shirosubject创建,以及shiro如何保证用户登录状态
qq_45507768的博客
03-19 1931
在该仓库下的adminsys项目)。重要概念什么是subjectsubject是一个主体,用于保存一个用户或者是一个对象,指代和当前应用交互的任何对象。它更像是一个门面,只要是关于认证和授权的操作都需要委托它去完成。提出问题问题背景:在一个springboot项目中整合了shiro做认证授权,由于srpingboot的web-starter中内嵌了tomcat,而tomcat是使用线程池去处理浏览器发来的每一个请求。已知条件:假如这是用户第一次登陆,访问对应login接口。
ShiroSubject常用方法
a1498665771的博客
02-21 254
ShiroSubject常用方法
Shiro源码剖析——Subject创建与获取(一次完整的请求执行流程)
qq_25046827的博客
05-02 3543
文章目录一、AbstractShiroFilter二、createSubject(request, response)1、new Builder(this.getSecurityManager(), request, response)2、buildWebSubject()1)this.copy(SubjectContext subjectContext)2)this.ensureSecurityManager(context)3)this.resolveSession(context)4)this.res
Shiro框架学习笔记全解
1. Shiro的基本概念:Shiro拥有个核心组件——Subject(主体)、SecurityManager(安全管理器)、Realm(领域)。Subject代表当前与软件交互的用户。SecurityManager是核心的安全管理引擎,负责协调内部的其他组件...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值