Subject.login() 的执行流程源码分析

最新推荐文章于 2023-06-02 09:29:08 发布
最新推荐文章于 2023-06-02 09:29:08 发布
阅读量828 收藏 2
点赞数
分类专栏: shiro 文章标签: shiro
原文链接:https://blog.csdn.net/qq_39291919/article/details/108289019
版权

Shiro 框架中 Subject 只有一个实现类,org.apache.shiro.subject.support.DelegatingSubject,以该类进行分析。

直接看到 login() 方法,它传入一个参数 token,可能是 UsernamePasswordToken,又或者是自定义的 token。

    public void login(AuthenticationToken token) throws AuthenticationException {
        clearRunAsIdentitiesInternal();
        Subject subject = securityManager.login(this, token);
     
        PrincipalCollection principals;
     
        String host = null;
     
        if (subject instanceof DelegatingSubject) {
            DelegatingSubject delegating = (DelegatingSubject) subject;
            // we have to do this in case there are assumed identities - we don't want to
            // lose the 'real' principals:
            principals = delegating.principals;
            host = delegating.host;
        } else {
            principals = subject.getPrincipals();
        }
     
        if (principals == null || principals.isEmpty()) {
            String msg = "Principals returned from securityManager.login( token ) returned a null or " +
                "empty value.  This value must be non null and populated with one or more elements.";
            throw new IllegalStateException(msg);
        }
        this.principals = principals;
        this.authenticated = true;
        if (token instanceof HostAuthenticationToken) {
            host = ((HostAuthenticationToken) token).getHost();
        }
        if (host != null) {
            this.host = host;
        }
        Session session = subject.getSession(false);
        if (session != null) {
            this.session = decorate(session);
        } else {
            this.session = null;
        }
    }

方法会执行到如下位置,调用了 securityManager 的 login() 方法。

Subject subject = securityManager.login(this, token);

securityManager 在 shiro 框架中有一个实现类 org.apache.shiro.mgt.DefaultSecurityManager,直接看他的 login() 方法。

    public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException {
        AuthenticationInfo info;
        try {
            info = authenticate(token);
        } catch (AuthenticationException ae) {
            try {
                onFailedLogin(token, ae, subject);
            } catch (Exception e) {
                if (log.isInfoEnabled()) {
                    log.info("onFailedLogin method threw an " +
                            "exception.  Logging and propagating original AuthenticationException.", e);
                }
            }
            throw ae; //propagate
        }
     
        Subject loggedIn = createSubject(token, info, subject);
     
        onSuccessfulLogin(token, info, loggedIn);
     
        return loggedIn;
    }

注意到,以上方法会执行到 authenticate() 进行认证,这是 DefaultSecurityManager 的父类 org.apache.shiro.mgt.AuthenticatingSecurityManager提供的方法,使用了一个叫 authenticator 的认证器进行认证。

    public AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {
        return this.authenticator.authenticate(token);
    }

authenticator 认证器在 shiro 框架中只有一个实现类,org.apache.shiro.authc.pam.ModularRealmAuthenticator
在这里插入图片描述
认证的时候先执行 AbstractAuthenticator 的方法

public final AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {
 
    if (token == null) {
        throw new IllegalArgumentException("Method argument (authentication token) cannot be null.");
    }
 
    log.trace("Authentication attempt received for token [{}]", token);
 
    AuthenticationInfo info;
    try {
        info = doAuthenticate(token);
        if (info == null) {
            String msg = "No account information found for authentication token [" + token + "] by this " +
                "Authenticator instance.  Please check that it is configured correctly.";
            throw new AuthenticationException(msg);
        }
    } catch (Throwable t) {
        AuthenticationException ae = null;
        if (t instanceof AuthenticationException) {
            ae = (AuthenticationException) t;
        }
        if (ae == null) {
            // Exception thrown was not an expected AuthenticationException. Therefore it is
            // probably a little more
            // severe or unexpected. So, wrap in an AuthenticationException, log to warn,
            // and propagate:
            String msg = "Authentication failed for token submission [" + token + "].  Possible unexpected " +
                "error? (Typical or expected login exceptions should extend from AuthenticationException).";
            ae = new AuthenticationException(msg, t);
            if (log.isWarnEnabled())
                log.warn(msg, t);
        }
        try {
            notifyFailure(token, ae);
        } catch (Throwable t2) {
            if (log.isWarnEnabled()) {
                String msg = "Unable to send notification for failed authentication attempt - listener error?.  " +
                    "Please check your AuthenticationListener implementation(s).  Logging sending exception " +
                    "and propagating original AuthenticationException instead...";
                log.warn(msg, t2);
            }
        }
 
        throw ae;
    }
 
    log.debug("Authentication successful for token [{}].  Returned account [{}]", token, info);
 
    notifySuccess(token, info);
 
    return info;
}

然后方法走到 doAuthenticate() 执行在 ModularRealmAuthenticator 实现的方法,本质上就是调用 Realm 的方法。这里还有个注意点:认证时对单 Realm 和多 Realm 进行了区别判断。

    protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken)
        throws AuthenticationException {
        assertRealmsConfigured();
        Collection<Realm> realms = getRealms();
        if (realms.size() == 1) {
            return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);
        } else {
            return doMultiRealmAuthentication(realms, authenticationToken);
        }
    }

总结:
通过简单的分析,明白了为什么 Springboot 应用使用需要 注入 DefaultWebSecurityManager,并且设置 自定义的 Realm。最终的 认证逻辑是交给 Realm 来执行的。

转载于:https://blog.csdn.net/qq_39291919/article/details/108289019

不回头~
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
java+subject+login_shiro权限的认证及shiro的配置
weixin_42449375的博客
02-28 451
一.使用shiro框架需要引入的依赖org.apache.shiroshiro-core1.3.2commons-loggingcommons-logging1.2log4jlog4j1.2.17org.slf4jslf4j-api1.6.6org.slf4jslf4j-log4j121.6.62.配置ini文件(代替数据库)ini文件确定了数据库的认证规则# 配置自定义的realm(自定义数据库...
Android Glide和Rxjava源码分析视频
11-07
### Android Glide 图片加载框架源码分析 #### 一、Glide 概述与核心功能 Glide 是一个用于 Android 开发的高性能图片加载库,它支持多种数据源(如资源、URI 和位图等)并能将这些数据转换为 ImageView 的图片。...
Shiro的认证原理(Subject#login的背后故事)
热门推荐
不忘初心,方能始终。
02-07 2万+
登录操作一般都是我们触发的: Subject subject = SecurityUtils.getSubject(); AuthenticationToken authenticationToken = new ... subject.login(authenticationToken); Subject的登录将委托给SecurityManager,SecurityManager的log
Shirosubject.login()方法源码解读
qq_36816062的博客
10-12 5787
Shirosubject.login()方法源码解读        自己写了一个Shiro的登录认证,使用ini文件模拟用户数据,觉得subject.login()方法很是神奇,所以debug看了下源码 1.调用subject.login()接口 2.进入该方法,发现subjectlogin方法交给了securityManager,再进入securityManager.login()方法,发现由认证器authenticator完成t
shiro学习笔记-Subject#login(token)实现过程
weixin_30446613的博客
02-24 727
本博文所有的代码均为shiro官网(http://shiro.apache.org/)中shiro 1.3.2版本中的源码。 追踪Subjectlogin(AuthenticationTokentoken)方法,其调用的为DelegatingSubject类的login方法,DelegatingSubject实现了Subject接口,DelegatingSubject#login如下: ...
shirosubject.login(token)流程源码分析
kevin的博客
06-02 2028
之前在写【Shiro】SimpleAuthenticationInfo如何验证password的时候,了解了下验证方式的源码,但在做shiro整合Jwt时,debug发现执行的顺序和理解的不太一样,因此,中途插篇了解下这个login源码,看看它是怎么执行进去的。ps:主要目的是想和 验证的部分 衔接上,能力有限不敢一步登天😂。ps:这个代码样式略显眼熟,感觉八九不离十了。点击查看doAuthenticate方法,再去看它的实现类。
java+subject+login_Apache Shiro学习笔记(二)身份验证subject.login过程
weixin_35785014的博客
03-05 646
鲁春利的工作笔记,好记性不如烂笔头subject.login(token);DelegatingSubject类的login方法packageorg.apache.shiro.subject.support;publicclassDelegatingSubjectimplementsSubject{protectedPrincipalCollectionprincipals;pro...
subject.vue
06-18
subject.vue
ascii-regexp-subject.rar_Will
09-24
标题“ascii-regexp-subject.rar_Will”暗示了我们关注的是一个与ASCII字符相关的正则表达式主题,可能涉及到对“Will”这个词或其变体的快速匹配失败策略。在编程和文本处理领域,ASCII字符集是最基础的字符编码,...
data/subject.txt 学生科目表
07-31
data/subject.txt 学生科目表
OpenSmtp.rar_C# 源码_C源码_opensmtp_smtp
09-21
《OpenSmtp源码解析与SMTP协议应用》 在IT领域,邮件发送是常见的通信方式之一,而SMTP(Simple Mail Transfer Protocol)就是实现这一功能的关键协议。本文将围绕"OpenSmtp.rar"这个C#与C源码项目,探讨其核心原理...
Shiro中的subject.login()
weixin_30301183的博客
05-06 579
当调用ShiroHandler中的subject.login()的时候,会自动调用Realm中的doGetAuthenticationInfo方法。 转载于:https://www.cnblogs.com/moxuyou/p/5465774.html
Apache Shiro学习笔记(二)身份验证subject.login过程
weixin_33798152的博客
07-26 1290
鲁春利的工作笔记,好记性不如烂笔头subject.login(token);DelegatingSubject类的login方法packageorg.apache.shiro.subject.support; publicclassDelegatingSubjectimplementsSubject{ protectedPrincipalCollec...
01-shirosubject.login(token)详解
一直在水些技术小文
08-14 762
代码】01-shirosubject.login(token)详解。
shiro的登录 subject.login(token)中执行逻辑和流程
qq_41358574的博客
11-02 7658
今天登录的时候一直没有记录当前用户信息下来,执行security.getsubject()时结果一直为空,遂看了下源码 使用subject.login的登录场景: (controller层) @GetMapping public Result userLogin(@ApiParam(name="userId",value="用户学号",required=true) @RequestParam(value = "userId",requir
subject.login(token)是如何确认账号密码的_教你如何删除、关闭、注销微信小程序...
weixin_39636610的博客
01-14 616
微信小程序是我们日常生活中经常会接触到的工具,打开小程序后,它就会留在我们微信的”“发现-小程序”栏。很多人并不知道该如何删除、关闭小程序,所以今天就跟大家科普下相关问题。1.如何删除小程序首先,打开微信界面,点击“发现-小程序”,在“小程序”界面中,在对应的小程序位置长按,在弹出的选项中,选择“删除”,就可以在微信中删掉这个小程序了。或者你也可以直接下拉微信聊天页面,然后长按需要删除的小程序,将...
subject.login(token)是如何确认账号密码的_新办企业在电子税务局中如何申请电子普通发票?...
weixin_31849185的博客
01-22 715
新办企业在电子税务局中如何申请电子普通发票天津税务答疑解惑企业通过【CA登录】或者【账号密码登录】方式登录天津市电子税务局,点击“我要办税-发票使用-发票票种核定-纳税人普通发票票种核定(首次)”进入申请事项选择页面,自动显示“涉税事项描述”说明,供用户参考查看。操作步骤CA登录方式,如下图账号密码登录方式,输入用户名、密码、验证码,验证人员类型必须选中,如下图选中验证人员类型,点击验证...
java+subject+login_Java Subject類代碼示例
weixin_32121931的博客
03-05 273
本文整理匯總了Java中javax.security.auth.Subject類的典型用法代碼示例。如果您正苦於以下問題:Java Subject類的具體用法?Java Subject怎麽用?Java Subject使用的例子?那麽恭喜您, 這裏精選的類代碼示例或許可以為您提供幫助。Subject類屬於javax.security.auth包,在下文中一共展示了Subject類的39個代碼示例,這...
Subject.login
最新发布
09-26
Subject.login是一个用于用户登录的方法。它是在DelegatingSubject类和SecurityManager类中实现的。在DelegatingSubjectlogin方法中,会调用SecurityManager的login方法进行登录验证。具体而言,login方法会传递一个Subject对象和一个AuthenticationToken对象作为参数,然后进行身份验证。在验证过程中,如果身份验证失败,会抛出AuthenticationException异常;如果验证成功,则会创建一个新的Subject对象并返回。在登录成功后,还可以执行一些额外的操作,比如记录成功的登录信息。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值