shiro 登录流程源码分析

最新推荐文章于 2024-04-18 23:45:00 发布
最新推荐文章于 2024-04-18 23:45:00 发布
阅读量225 收藏
点赞数
分类专栏: shiro java 文章标签: shiro shiro登录流程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangzibai/article/details/117533717
版权
java 同时被 2 个专栏收录
46 篇文章 0 订阅
订阅专栏
shiro
5 篇文章 0 订阅
订阅专栏

shiro 登录流程源码分析

  1. 获取subjectSecurityUtils.getSubject()

    • 从ThreadContext获取subject

       

      借助ThreadLocal实现线程私有

      从线程私有变量的存储map中使用特定key(org.apache.shiro.util.ThreadContext_SUBJECT_KEY)获取subject对象

      ThreadLocal#get()是从当前线程保存的私有map拷贝一个返回

    •  

  2. 如果subject为空则新构建一个

    从公共subjectContext拷贝属性生成新subject的内置属性map

    确保SecurityManager对象存在

    确定关联的session

    绑定principal

    持久保存subject

    绑定到某个线程

  3. 在web环境下拿到一个WebDelegatingSubject

  4. 获取用户提交的登录表单信息并生成一个Token,常用的UsernamePasswordToken

  5. 执行logincurrentUser.login(token);

    • 清除runAs造成的身份信息

    • 交给SecurityManager执行登录

      • 首先认证token,如果成功构建一个subject实例代表认证过的账号身份

      • 认证token交给Authenticator

        • 进入AbstractAuthenticator

        • 判断token不为null

        • 调用抽象方法,做验证

          protected abstract AuthenticationInfo doAuthenticate(AuthenticationToken token)
            throws AuthenticationException;

          • 进入ModularRealmAuthenticator’

          • 判断realms存在

          • 由于单realm,进入doSingleRealmAuthentication

          • 委托给realm获取用户(存储在数据库中的)信息

            • realm先尝试从缓存中获取用户信息

            • 获取不到则调用realm实现类的doGetAuthenticationInfo方法

            • 获取到信息后委托给matcher进行信息匹配(页面传递的token与用户存储在后台数据库中的信息对比) matcher也可重写在配置securityManager时注入

                  /**
     * Shiro Realm 免密登录
     */
    @Bean
    public NoPassRealm noPassRealm(MyHashedCredentialsMatcher matcher) {
        NoPassRealm noPassRealm = new NoPassRealm();
        noPassRealm.setCredentialsMatcher(matcher);
        return noPassRealm;
    }

               

            • 若通过realm获取信息成功并通过matcher匹配成功

          • 在authenticator中通知AuthenticationListener认证成功

            此处是用于扩展,暂无实现

          •  

      • SecurityManager 构建登录成功后的subject

      • 判断是否要实现记住我功能

      •  

    • 若token是HostAuthenticationToken 则从中获取host

    • 从验证成功的subject中获取session并装饰,会话绑定subject

    • subject与session互相依赖

  6.  

 

shiro在服务器重启后如何获取当前登录用户

 

多重委托

  1. subject -> securityManager

  2. securityManager->authenticator

  3. authoenticator中含有realm

 

小结

shiro登录流程图

 

额外知识

  1. InheritableThreadLocal 子线程默认拥有父线程所有参数

  2. authenticator中内置认证机制,认证机制默认为一个realm校验成功就成功,策略模式

  3. 监听者设计模式用于登录验证成功时的扩展

  4. 装饰模式用于session的转换

CodeSerial
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro登录的使用以及原理(一)
大鹏的博客
11-23 2952
好久没写博客了,这段时间对最近项目做个总结,先从登入下手,话不多说直奔主题,Shiro登录使用以及原理。 一、Shiro主要作用 shiro主要的作用就是实现用户登录(认证,授权,加密等),用户登录后的用户信息存储(缓存),用户登出等。 二、登录的使用 在使用登录的时候,最常见的一串代码就是获取Subject,然后对Token进行login(); // 得到subject然后对创建用户名/密码身份验证 Subject subject = SecurityUtils.ge...
Shiro中SecurityUtils.getSubject来源
u014203449的博客
06-07 4356
getSubject()是最常用的方法了。 public static Subject getSubject() { Subject subject = ThreadContext.getSubject(); if (subject == null) { subject = (new Subject.Builder()).buil...
Shiro-ThreadContext
ZP_2019_07_18的博客
06-29 381
作用 使得线程中的ThreadLocal存储的Entry的值Value为HashMap,这样可以存储更多的数据。Shiro用来存储SecurityManager与Subject 流程 通过当前线程,得到当前线程的ThreadLocalMap(实质为Entry[]数组) 通过当前线程的ThreadLocal,得到ThreadLocalMap存储的Value(Shiro中存储结构HashMap) /* * Licensed to the Apache Software Foundation (ASF) u
⑤【Shiro】SpringBoot整合Shiro,实现登录认证
最新发布
ebb29bbe的博客
04-18 712
SpringBoot整合Shiro,实现登录认证
springboot整合shiro安全框架
sebeefe的博客
04-26 124
shiro 快速开始 1.导入依赖 <dependencies> <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-core --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core<
Shiro-Subject 分析
热门推荐
汪小哥
12-18 2万+
Subject反正就好像呈现的视图。所有Subject 都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者; 对于上面这句话的理解呢?怎么去理解这个很重要,看看别人的代码设计的流程也是比较的清楚的,Subject都绑定到了SecurityManager,因此我
Shiro 视频教程+源码+课件
08-29
视频讲授过程中通过分析源代码使学员知其然更知其所以然。 【课程内容】 第一章 问候 Shiro 他大爷 1.Shiro 简介 2.ShiroHelloWorld 实现 第二章 身份认证 1.Subject 认证主体 2.身份认证流程 第三章 权限认证...
Shiro1.2.2_源码(压缩包)
05-29
通过对 Shiro1.2.2 的源码分析,我们可以了解到它如何处理各种安全问题,以及如何构建高效、灵活的安全架构。同时,源码的学习有助于我们理解和解决在实际开发中遇到的安全问题,提升我们的编程技能。
跟我学shiro文档及源码
07-17
在《跟我学Shiro》这本书中,作者深入浅出地讲解了 Shiro 的核心概念与实际应用场景,配合源码分析,有助于读者更好地理解和掌握 Shiro 的工作原理。 1. **Shiro 概述** - Shiro 的设计目标是简化应用安全开发,它...
shiro源码分析(六)CredentialsMatcher 的案例分析
08-08
在"Shiro源码分析(六)CredentialsMatcher 的案例分析"这篇博文中,作者深入剖析了Shiro中用于验证用户凭证的`CredentialsMatcher`组件。下面我们将详细探讨这一核心机制及其相关知识点。 1. **CredentialsMatcher...
shiro_ex源码
06-03
Apache Shiro 是一个强大且易用的Java安全框架,提供...通过阅读和分析源码,你可以深入理解Shiro的核心组件和工作流程,为自己的项目构建安全框架打下坚实的基础。记得在实践中不断探索和调整,以适应不同的安全需求。
基于shiro实现的用户登录系统
11-28
基于shiro实现的用户登录系统,运行sql文件更改数据库连接可直接运行,项目集成了mybatis-plus,shiro,springmvc,角色管理和组管理,非常简单实用,非常适合学习,不用输入验证码可以登录,admin密码123456
Shiro 登录认证源码详解
acherie的博客
12-10 1万+
Apache Shiro 是一个强大且灵活的 Java 开源安全框架,拥有登录认证、授权管理、企业级会话管理和加密等功能,相比 Spring Security 来说要更加的简单。本文主要从源码实现的角度去介绍 Shiro登录认证(Authentication)功能。
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 2791
目录一、认识Shiro1、什么是Shiro?2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
ThreadContext简单介绍
Entodie的博客
09-05 1万+
首先看下ThreadContext类的说明: 1、shirofilter会为当前线程创建subject 内置ThreadLocal 从之前的源码中我们知道了每一次访问都会重新建立subject然后绑定到当前线程,所以这个就很简单了,因为当前线程中获得subject不会是null。只有在没有配置shirofilter的应用中才会出现当前线程中subjec...
shiro学习05-用户以及登录-threadContext
iteye_14612的博客
02-25 761
我们知道直接调用SecurityUtils.getSubject这个方法可以返回当前的用户,他是怎么做到的呢,这个原理和spring的声明式事物或者是hibernate的open-session-in-view的实现是一个道理,都是讲某些资源在访问的一开始就创建,然后使用threadLocal(也就是线程局部变量)模式将目标资源绑定到当前线程上,当再次调用上时,直接从threadLocal上调...
Shiro入门之实现登录登出
二木成林
02-06 2570
概述 这里使用Shiro来实现用户的登录和登出功能。 前提:已经会Spring集成Shiro。即使没有下面也会提供源码,下面只说明Shiro部分的核心代码,如Mapper、Service类中的代码基本上就是从数据库中读取数据,而且源码有提供,不在说明。 实现 第一步:一个用于登录的页面和一个用于退出登录的页面。 login.html <!DOCTYPE html> <html lang="en"> <head> <meta charset="U
SpringBoot + Shiro实现登陆认证(实现过程 + 源码解析 + 代码展示)
m0_67402914的博客
04-25 1889
文章目录 1.概述 1.1 SpringBoot 1.2 Shiro 2.Shiro实现登录认证 导入pom依赖 配置核心方法 3.Shiro登录认证源码解析 代码地址 1.概述 1.1 SpringBoot 今天要做的是使用SpringBoot配合Shiro来实现登陆的认证,所以SpringBoot是必不可少的,相信大家能用到Shiro了,SpringBoot一定不差,那就不做过多赘述,我们主要来介绍Shiro。 1.2 Shiro Shiro是java的一个安全框架,
Shiro框架:Shiro用户登录认证流程源码解析
博客园
01-14 1307
Shiro作为一款比较流行的登录认证、访问控制安全框架,被广泛应用在程序员社区;Shiro登录认证、访问控制、Session管理等流程内部都是委托给SecurityManager安全管理器来完成的,SecurityManager安全管理器上篇文章已经进行了详细解析,详见:Shiro框架:Shiro SecurityManager安全管理器解析-CSDN博客,在此基础上,本篇文章继续对Shiro关联链路处理流程之一---登录认证流程进行解析;
shiro web 登录流程
06-09
Shiro Web 登录流程一般分为以下步骤: 1. 用户在 Web 页面中输入用户名和密码,提交表单至服务端。 2. 服务端接收到表单数据后,将用户名和密码封装成一个 UsernamePasswordToken 对象。 3. 然后创建一个 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值