Shiro源码分析----登录流程

最新推荐文章于 2021-10-13 09:15:31 发布
最新推荐文章于 2021-10-13 09:15:31 发布
阅读量189 收藏
点赞数
分类专栏: shiro

在Shiro中,登录操作是由Subject的login()方法完成的,Subject是个接口,在Web环境中,实现类为WebDelegatingSubject,login方法从DeletatingSubject继承而来:

[java]  view plain  copy
  1. public void login(AuthenticationToken token) throws AuthenticationException {  
  2.     clearRunAsIdentitiesInternal();  
  3.     Subject subject = securityManager.login(this, token);  
  4.   
  5.     // 省略一些代码...  
  6. }  

由上可见,Subject.login()方法委托给了SecurityManager对象,在Web环境中,SecurityManager实现类为DefaultWebSecurityManager,其login方法从DefaultSecurityManager继承而来:

[java]  view plain  copy
  1. public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException {  
  2.     AuthenticationInfo info;  
  3.     try {  
  4.         // 对提交的AuthenticationToken进行认证  
  5.         info = authenticate(token);  
  6.     } catch (AuthenticationException ae) {  
  7.         try {  
  8.             // 如果认证失败  
  9.             onFailedLogin(token, ae, subject);  
  10.         } catch (Exception e) {  
  11.             if (log.isInfoEnabled()) {  
  12.                 log.info("onFailedLogin method threw an " +  
  13.                         "exception.  Logging and propagating original AuthenticationException.", e);  
  14.             }  
  15.         }  
  16.         throw ae; //propagate,如果认证失败,使异常继续向上传播,从而返回至登录页面(见上篇)  
  17.     }  
  18.       
  19.     // 如果认证成功则重新创建Subject对象  
  20.     Subject loggedIn = createSubject(token, info, subject);  
  21.       
  22.     // 登录成功,主要处理RememberMe操作,即将登录信息存储在cookie中  
  23.     onSuccessfulLogin(token, info, loggedIn);  
  24.   
  25.     return loggedIn;  
  26. }  

最关键的authenticate方法:

[java]  view plain  copy
  1. public AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {  
  2.     return this.authenticator.authenticate(token);  
  3. }  

SecurityManager把认证方法委托给认证器Authenticator的authenticate方法,Authenticator的实现类为:ModularRealmAuthenticator,其可以实现多认证信息源综合认证。ModularRealmAuthenticator实现使用了模版方法模式,随后执行doAuthenticate方法:

[java]  view plain  copy
  1. protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {  
  2.     assertRealmsConfigured();  
  3.     // Realm集合在为SecurityManager设置Realm时就会设置给Authenticator  
  4.     // 至于Realm代表什么,请参看:http://jinnianshilongnian.iteye.com/blog/2018936  
  5.     Collection<Realm> realms = getRealms();  
  6.     if (realms.size() == 1) {  
  7.         // 如果Realm只有一个  
  8.         return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);  
  9.     } else {  
  10.         // 如果Realm有多个  
  11.         return doMultiRealmAuthentication(realms, authenticationToken);  
  12.     }  
  13. }  

单一Realm认证:

[java]  view plain  copy
  1. protected AuthenticationInfo doSingleRealmAuthentication(Realm realm, AuthenticationToken token) {  
  2.     // 该Realm是否支持此种Token,因为并不是任何一种Realm与AuthenticationToken都是相互匹配的  
  3.     if (!realm.supports(token)) {  
  4.         String msg = "Realm [" + realm + "] does not support authentication token [" +  
  5.                 token + "].  Please ensure that the appropriate Realm implementation is " +  
  6.                 "configured correctly or that the realm accepts AuthenticationTokens of this type.";  
  7.         throw new UnsupportedTokenException(msg);  
  8.     }  
  9.     // 根据AuthenticationToken获取认证信息  
  10.     // Realm一般是由自己实现的,虽然说Shiro有一些自己的实现,但是在实际项目中,Shiro的实现直接就能使用的情况很少  
  11.     // 比较将认证信息(用户名密码等)存在数据库,则该getAuthenticationInfo方法就是根据Token中的信息去数据库中查找、  
  12.     // 匹配,如果匹配上了则返回相应认证后的认证信息  
  13.     AuthenticationInfo info = realm.getAuthenticationInfo(token);  
  14.     // 如果没有获取到则认证失败  
  15.     if (info == null) {  
  16.         String msg = "Realm [" + realm + "] was unable to find account data for the " +  
  17.                 "submitted AuthenticationToken [" + token + "].";  
  18.         throw new UnknownAccountException(msg);  
  19.     }  
  20.     return info;  
  21. }  

一般来说,自定义实现的Realm会继承自AuthenticatingRealm,所以会执行至:

[java]  view plain  copy
  1. public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {  
  2.       
  3.     // 先去缓存中查找,如果你使用了缓存,则不用每次都去文件或数据库中查找  
  4.     AuthenticationInfo info = getCachedAuthenticationInfo(token);  
  5.     if (info == null) {  
  6.         //otherwise not cached, perform the lookup:  
  7.         // 使用模版方法模式,进行直正的认证信息查找  
  8.         info = doGetAuthenticationInfo(token);  
  9.         log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);  
  10.         if (token != null && info != null) {  
  11.             cacheAuthenticationInfoIfPossible(token, info);  
  12.         }  
  13.     } else {  
  14.         log.debug("Using cached authentication info [{}] to perform credentials matching.", info);  
  15.     }  
  16.   
  17.     if (info != null) {  
  18.         // 断言AuthenticationToken与AuthenticationInfo是匹配的,简单点来说就是判断密码是否正确,不正确则抛异常  
  19.         // doGetAuthenticationInfo方法主要判断账户是否存在  
  20.         assertCredentialsMatch(token, info);  
  21.     } else {  
  22.         log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);  
  23.     }  
  24.   
  25.     return info;  
  26. }  

单一Realm认证时,只需要判断一个Realm认证是否成功即可,但是当存在多个Realm时情况就有点复杂了。因为有可能有些Realm认证成功了,有些Realm又认证失败了,这时到底算是认证成功还是失败呢?所以这时Shiro使用了策略模式,用具体的策略类来处理这个问题。多个Realm认证时的doMultiRealmAuthentication方法如下:

[java]  view plain  copy
  1. protected AuthenticationInfo doMultiRealmAuthentication(Collection<Realm> realms, AuthenticationToken token) {  
  2.     // 首先就得获取认证策略,Shiro实现了三种:  
  3.     //1. AllSuccessfulStrategy: 必须所有Realm认证成功了才算是认证成功  
  4.     //2. AtLeastOneSuccessfulStrategy: 至少有一个Realm认证成功了就算是认证成功  
  5.     //3. FirstSuccessfulStrategy: 第一个Realm认证成功了就算是认证成功  
  6.     // 默认实现为AtLeastOneSuccessfulStrategy  
  7.     AuthenticationStrategy strategy = getAuthenticationStrategy();  
  8.       
  9.     // 假设我们现在使用的就是AtLeastOneSuccessfulStrategy  
  10.     // 返回SimpleAuthenticationInfo,这是一个空认证信息,并不含有principal与credentials  
  11.     AuthenticationInfo aggregate = strategy.beforeAllAttempts(realms, token);  
  12.   
  13.     if (log.isTraceEnabled()) {  
  14.         log.trace("Iterating through {} realms for PAM authentication", realms.size());  
  15.     }  
  16.   
  17.     for (Realm realm : realms) {  
  18.         // 直接返回aggregate  
  19.         aggregate = strategy.beforeAttempt(realm, token, aggregate);  
  20.   
  21.         if (realm.supports(token)) {  
  22.   
  23.             log.trace("Attempting to authenticate token [{}] using realm [{}]", token, realm);  
  24.   
  25.             AuthenticationInfo info = null;  
  26.             Throwable t = null;  
  27.             try {  
  28.                 info = realm.getAuthenticationInfo(token);  
  29.             } catch (Throwable throwable) {  
  30.                 t = throwable;  
  31.                 if (log.isDebugEnabled()) {  
  32.                     String msg = "Realm [" + realm + "] threw an exception during a multi-realm authentication attempt:";  
  33.                     log.debug(msg, t);  
  34.                 }  
  35.             }  
  36.             //如果认证成功则info不为null,且包含有principal与credentials  
  37.             //afterAttempt方法会将info与aggregate合并,也就是将AuthenticationInfo的principal与credentials  
  38.             //分别用一集合存储  
  39.             aggregate = strategy.afterAttempt(realm, token, info, aggregate, t);  
  40.   
  41.         } else {  
  42.             log.debug("Realm [{}] does not support token {}.  Skipping realm.", realm, token);  
  43.         }  
  44.     }  
  45.   
  46.     // 检测合并后的AuthenticationInfo中是否含用principal,如果有则返回aggregate  
  47.     // 没有则抛出异常认证失败,由此可见只要有一个Realm认证成功则算是认证成功  
  48.     aggregate = strategy.afterAllAttempts(token, aggregate);  
  49.   
  50.     return aggregate;  
  51. }  

上面只分析了AtLeastOneSuccessfulStrategy策略,其它两个请自行查看源码。


假设现在认证成功了,接下来执行DefaultSecurityManager.createSubject方法:

[java]  view plain  copy
  1. protected Subject createSubject(AuthenticationToken token, AuthenticationInfo info, Subject existing) {  
  2.     // 创建SubjectContext对象  
  3.     SubjectContext context = createSubjectContext();  
  4.     // 设置为已认证  
  5.     context.setAuthenticated(true);  
  6.     // 设置Token  
  7.     context.setAuthenticationToken(token);  
  8.     // 设置认证通过后的认证信息  
  9.     context.setAuthenticationInfo(info);  
  10.     if (existing != null) {  
  11.         // 设置先前存在的Subject  
  12.         context.setSubject(existing);  
  13.     }  
  14.     return createSubject(context);  
  15. }  
  16.   
  17. public Subject createSubject(SubjectContext subjectContext) {  
  18.     // 复制SubjectContext,原SubjectContext信息得以保留  
  19.     SubjectContext context = copy(subjectContext);  
  20.   
  21.     // 确保SubjectContext与SecurityManager关联  
  22.     context = ensureSecurityManager(context);  
  23.   
  24.     // 解析会话,有可能使用Servlet中的Session实现,也可能使用Shiro自己实现的Session  
  25.     context = resolveSession(context);  
  26.   
  27.     context = resolvePrincipals(context);  
  28.   
  29.     // 交由DefaultWebSubjectFactory.createSubject重新创建Subject  
  30.     Subject subject = doCreateSubject(context);  
  31.   
  32.     // 将Subject中的principal与credentials存储在Session中  
  33.     save(subject);  
  34.   
  35.     return subject;  
  36. }  

个人感觉createSubject重新创建是为了更新一些内部状态,至于为什么也没有去深入了解,望请高人指点一二。
镜水灵动
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shirorealm只抛AuthenticationException异常的解决方案
KingStarMemory
06-06 3895
realm认证源码 protected AuthenticationInfo doMultiRealmAuthentication(Collection<Realm> realms, AuthenticationToken token) { AuthenticationStrategy strategy = getAuthenticationStrategy(); ...
【springboot】处理shirorealm的自定义异常捕获问题
dan339811953的专栏
03-11 2904
前言 1、基于springboot前后端分离项目,基于shiro做权限校验 2、多个realm:1)userRealm:校验登陆验证码; 2) OauthRealm:校验登陆后请求token 3、springboot版本 2.1.1 shiro版本 1.3.2 4、急着处理问题的可以直接看最下面解决的 O(∩_∩)O~ 问题描述 Realm自定义自定义的异常无法正常捕获,均捕获为“A...
Shiro doGetAuthenticationInfo方法登录后获取不到正确的权限
热门推荐
wjzhang5514的博客
06-25 1万+
前提: Shiro的认证依赖AuthenticatingRealm里的getAuthenticationInfo方法,该方法会调用我们自定义的认证方法doGetAuthenticationInfo获取本次认证的结果,如下: public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken ...
org.apache.shiro.authc.UnknownAccountException异常解决方案
sun
10-13 1754
最近搭建SpringBoot框架在整合Shiro时候出现异常,详细内容是: org.apache.shiro.authc.UnknownAccountException: Realm [com.zzl.cn.config.userRealm@1d113502] was unable to find account data for the submitted AuthenticationToken [org.apache.shiro.authc.UsernamePasswordToken - zzl, r
shiro: Odd number of characters.
ITHomeZSL的博客
10-21 1672
java.lang.IllegalArgumentException: Odd number of characters. at org.apache.shiro.codec.Hex.decode(Hex.java:128) at org.apache.shiro.codec.Hex.decode(Hex.java:107) at org.apache.shiro.code...
shiro-rbac-system-master.zip
12-05
标题"shiro-rbac-system-master.zip"表明这是一个基于Shiro权限管理系统的源码包,其中"master"通常代表这是项目的主要分支或版本。"rbac"是"Role-Based Access Control"的缩写,指的是基于角色的访问控制,这是一种...
商业源码-编程源码-文渊阁简单新闻公告系统.zip
06-17
业务逻辑层处理业务规则,如新闻发布、审批流程、权限控制等;数据访问层则负责与数据库的交互,确保数据的持久化存储和高效查询。 在技术选型上,考虑到商业源码的普遍性,该系统可能基于常见的开源框架如Spring ...
商业编程-源码-稻草图书管理系统.zip
06-22
《稻草图书管理系统》是一款专为商业环境设计的软件,其源码的公开为我们提供了一个深入了解商业编程...通过学习和分析这些源码,开发者可以深化对商业软件开发流程的理解,提高自身技能,为实际项目提供有价值的参考。
newWeb.rar_HCNUM-TC
09-20
【标题】"newWeb.rar_HCNUM-...通过分析这个源码,开发者可以学习到如何在Java环境中构建一个实时聊天应用,了解前沿技术的实战应用,以及如何组织和管理大型项目。对于Java开发者来说,这是一个极好的学习和实践机会。
liu_guo_feng-shiro-demo-master_java_源码.zip
10-18
通过分析这个源码示例,我们可以学习到如何在实际项目中配置和使用Shiro,实现用户认证、授权、会话管理等核心功能,为我们的Java应用构建一套安全可靠的防护体系。同时,对于Shiro的扩展和自定义,例如自定义Realm...
Springboot2整合shiro时,自定义realm无法实现自动注入service
qq_39098505的博客
03-06 2441
在Springboot2整合shiro时,自定义realm无法实现自动注入service,一直出现空指针。 java.lang.NullPointerException at com.lu.vote1.config.ShiroRealm.doGetAuthenticationInfo(ShiroRealm.java:67) org.apache.shiro.authc.Unknown...
Shiro-Realm
汪小哥
12-18 4637
Realm:域,Shiro 从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看 成DataSource , 即安全数据源。如我们之前的ini 配置方式将使用 org.apache.shiro
Shrio身份认证与权限认证简要源码调用过程
千林的博客
04-22 419
    大家好,很久没有更新博客了,最近由于工作需要,正在学习有关Shrio的一些知识,网上关于Shrio的教程与资料十分丰富,在这里就不做过多说明了,下面的简要说明摘自张开涛老师的《跟我学Shrio》教程:Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架,...
AuthenticationStrategy在验证过程中到底做了什么
ZRH的博客
05-24 379
Shiro getAuthenticationInfo()中抛出异常, 全局异常处理却收不到自己抛出的异常中, 介绍了通过覆盖AuthenticationStrategy的afterAttempt方法, 更改Shiro的异常抛出逻辑. 本文介绍AuthenticationStrategy在验证过程中到底做了什么 想要弄清Strategy, 就要关注在ModularRealmAuthenticator.doMultiRealmAuthentication()的aggregate protected A
unable to find account data for the submitted AuthenticationToken
AAAhxz的博客
10-26 4141
没能找到所提供的授权码的记录数据 也就是说,你的用户名和密码不在数据库中
SpringBoot整合Shiro ShiroRealm类中 @Autowired注入 Service为 null 问题
单身狗的清香
06-28 7883
    今天在整合 SpringBoot 与 Shiro时候,一直提示@Autowired 注入的Service为空 ,很纳闷;这是摘抄出来的错误java.lang.NullPointerExceptionat com.lu.vote1.config.ShiroRealm.doGetAuthenticationInfo(ShiroRealm.java:67)org.apache.shiro.aut...
Shirorealm认证登陆 密码不正确时抛出错误异常,无法捕获问题
Mr_Wanter
11-01 3902
1、使用自定义MultiRealmAuthenticator <bean id="authenticator" class="com.xxx.commons.shiro.MultiRealmAuthenticator"> 2、MultiRealmAuthenticator类 import org.apache.shiro.authc.AuthenticationExcep...
Shiro权限管理】12.Shiro认证策略
程序猿之洞
11-26 2702
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。 上一篇我们讲到了Shiro的多Realm验证,并且编写实例进行了测试。对于多Realm校验,我们还需要知道,两个Realm时,怎么才能知道认证通过了?是一个Realm通过了就通过,还是全部Realm通过了才通过,还是其它?这就牵扯到了认证策略。 认证策略实际上是AuthenticationStrategy这个接口,它有三个
shiroAuthenticationStrategy的理解
ITWANGBOIT的博客
10-12 548
AuthenticationStrategy:认证策略,当给认证器Authenticator设置多个Realm时,要用到认证策略;认证策略的大致意思是:将多个realm返回的结果,按照什么样的认证策略来形成最终的认证结果。 1:AuthenticationStrategy的继承和实现关系如下 AuthenticationStrategy接口有个抽象类的实现AbstractAuthentic...
shiro-spring-boot-starter
最新发布
08-26
Shiro-Spring-Boot-Starter 是一个用于集成 Shiro 框架到 Spring Boot 应用中的起步依赖。Shiro 是一个 Java 安全框架,可以为应用程序提供身份认证、授权、加密和会话管理等功能。通过使用 Shiro-Spring-Boot-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值