php中引入shiro,shiro源码篇 - shiro的session管理,你值得拥有

最新推荐文章于 2021-04-07 10:49:02 发布
最新推荐文章于 2021-04-07 10:49:02 发布
阅读量294 收藏
点赞数
文章标签: php中引入shiro

前言

开心一刻

开学了,表弟和同学因为打架,老师让他回去叫家长。表弟硬气的说:不用,我打得过他。老师板着脸对他说:和你打架的那位同学已经回去叫家长了。表弟犹豫了一会依然硬气的说:可以,两个我也打得过。老师:......

路漫漫其修远兮,吾将上下而求索!

前情回顾

大家还记得

HttpServletRequestWrapper是HttpServletRequest的装饰类,我们通过继承HttpServletRequestWrapper来实现我们自定义的HttpServletRequest:CustomizeSessionHttpServletRequest,重写CustomizeSessionHttpServletRequest的getSession,将其指向我们自定义的session。然后通过Filter将CustomizeSessionHttpServletRequest添加到Filter chain中,使得到达Servlet的ServletRequest是我们的CustomizeSessionHttpServletRequest。

今天不讲session共享,我们先来看看shiro的session管理

SecurityManager

SecurityManager,安全管理器;即所有与安全相关的操作都会与SecurityManager交互;它管理着所有Subject,所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;SecurityManager是shiro的核心,它负责与shiro的其他组件进行交互,类似SpringMVC中的DispatcherServlet或Struts2中的FilterDispatcher。

我们在使用shiro的时候,首先都会先初始化SecurityManager,然后往SecurityManager中注入shiro的其他组件,像sessionManager、realm等。我们的spring-boot-shiro中初始化的是DefaultWebSecurityManager,如下

11199

11199

@BeanpublicSecurityManager securityManager(AuthorizingRealm myShiroRealm, CacheManager shiroRedisCacheManager) {

DefaultWebSecurityManager securityManager= newDefaultWebSecurityManager();

securityManager.setCacheManager(shiroRedisCacheManager);

securityManager.setRememberMeManager(cookieRememberMeManager());

securityManager.setRealm(myShiroRealm);returnsecurityManager;

}View Code

SecurityManager类图

结构如下,认真看看,注意看下属性

11199

顶层组件SecurityManager直接继承了SessionManager且提供了SessionsSecurityManager实现,SessionsSecurityManager直接把会话管理委托给相应的SessionManager;SecurityManager的默认实现:DefaultSecurityManager及DefaultWebSecurityManager都继承了SessionsSecurityManager,也就是说:默认情况下,session的管理由DefaultSecurityManager或DefaultWebSecurityManager中的SessionManager来负责。

DefaultSecurityManager

默认安全管理器,用于我们的javaSE安全管理,一般而言用到的少,但我们需要记住,万一哪次有这个需求呢。

我们来看下他的构造方法

11199

默认的sessionManager是DefaultSessionManager,DefaultSessionManager具体详情请看下文。

DefaultWebSecurityManager

默认web安全管理器,用于我们的web安全管理;一般而言,我们的应用中初始化此安全管理器。

我们来看看其构造方法

11199

11199

11199

publicDefaultWebSecurityManager() {super(); //会调用SessionsSecurityManager的构造方法,实例化DefaultSessionManager

((DefaultSubjectDAO) this.subjectDAO).setSessionStorageEvaluator(newDefaultWebSessionStorageEvaluator());this.sessionMode =HTTP_SESSION_MODE;

setSubjectFactory(newDefaultWebSubjectFactory());

setRememberMeManager(newCookieRememberMeManager());

setSessionManager(new ServletContainerSessionManager()); //设置sessionManager,替换掉上面的DefaultSessionManager

}View Code

可以看出此时的sessionManager是ServletContainerSessionManager,ServletContainerSessionManager具体详情请看下文。

由此可知默认情况下,DefaultSecurityManager会将session管理委托给DefaultSessionManager,而DefaultWebSecurityManager则将session管理委托给ServletContainerSessionManager。

我们可以通过继承DefaultSecurityManager或DefaultWebSecurityManager来实现自定义SecurityManager,但一般而言没必要,DefaultSecurityManager和DefaultWebSecurityManager基本能满足我们的需要了,我们根据需求二选其一即可。无论DefaultSecurityManager还是DefaultWebSecurityManager,我们都可以通过setSessionManager方法来指定sessionManager,如果不指定sessionManager的话就用的SecurityManager默认的sessionManager。

SessionManager

shiro提供了完整的会话管理功能,不依赖底层容器,JavaSE应用和JavaEE应用都可以使用。会话管理器管理着应用中所有Subject的会话,包括会话的创建、维护、删除、失效、验证等工作。

SessionManager类图

11199

DefaultSessionManager

DefaultSecurityManager默认使用的SessionManager,用于JavaSE环境的session管理。

11199

通过上图可知(结合SecurityManager类图),session创建的关键入口是SessionsSecurityManager的start方法,此方法中会将session的创建任务委托给具体的SessionManager实现。

DefaultSessionManager继承自AbstractNativeSessionManager,没用重写start方法,所以此时AbstractNativeSessionManager的start方法会被调用,一路往下跟,最终会调用DefaultSessionManager的doCreateSession方法完成session的创建,doCreateSession方法大家可以自行去跟下,我在这总结一下:

创建session,并生成sessionId,session是shiro的SimpleSession类型,sessionId采用的是随机的UUID字符串;

sessionDAO类型是MemorySessionDAO,session存放在sessionDAO的private ConcurrentMap sessions;属性中,key是sessionId,value是session对象;

除了MemorySessionDAO,shiro还提供了EnterpriseCacheSessionDAO,具体两者有啥区别请看我的另一篇博客讲解。

ServletContainerSessionManager

DefaultWebSecurityManager默认使用的SessionManager,用于Web环境,直接使用的Servlet容器的会话,具体实现我们往下看。

ServletContainerSessionManager实现了SessionManager,并重写了SessionManager的start方法,那么我们从ServletContainerSessionManager的start方法开始来看看session的创建过程,如下图

11199

shiro有自己的HttpServletSession,HttpServletSession持有servlet的HttpSession的引用,最终对HttpServletSession的操作都会委托给HttpSession(

DefaultWebSessionManager

用于Web环境,可以替换ServletContainerSessionManager,废弃了Servlet容器的会话管理;通过此可以实现我们自己的session管理;

从SessionManager类图可知,DefaultWebSessionManager继承自DefaultSessionManager,也没有重写start方法,那么创建过程还是沿用的AbstractNativeSessionManager的start方法;如果我们没有指定自己的sessionDao,那么session还是存在MemorySessionDAO的ConcurrentMap sessions中,具体可以看上述中的DefaultSessionManager。

通过DefaultWebSessionManager实现session共享,尽请期待!

总结

两个类图

SecurityManager和SessionManager的类图需要认真看看;

Subject的所有交互都会委托给SecurityManager;SecurityManager是shiro的核心,它负责与shiro的其他组件进行交互,类似SpringMVC中的DispatcherServlet或Struts2中的FilterDispatcher;

SecurityManager会将session管理委托给SessionManager;SessionsSecurityManager的start方法中将session的创建委托给了具体的sessionManager,是创建session的关键入口。

shiro的SimpleSession与HttpServletSession

HttpServletSession只是servlet容器的session的装饰,最终还是依赖servlet容器,是shiro对servlet容器的session的一种支持;

而SimpleSession是shiro完完全全的自己实现,是shiro对session的一种拓展。

参考

《跟我学shiro》

王洛堇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro使用总结-简单实现
颗粒归仓
08-20 1236
一、what Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。 二、why        既然shiro将安全认证相关的功能抽取出来组成一个框架,使用shiro就可以非常快速的完成认证、授权等功能的开发,降低系统成本。        shiro使用广泛,shiro可以
shiro-root-1.4.1-source-release.zip
06-10
在 `shiro-root-1.4.1` 源码,你可以看到以下关键组件: 1. **Realms**: Realm 是 Shiro 和应用安全数据源之间的桥梁,如数据库、LDAP 或其他来源。每个 Realm 对应一个特定的安全实体,如用户、角色或权限。 ...
php引入shiro,基于shiro的自定义注解的扩展-图文详解
weixin_42397141的博客
03-20 206
基于shiro的自定义注解的扩展这里我们主要采取了shiro的自定义注解的方案。本文章主要解决以下的问题。如何通过逻辑进行页面与api接口的关联。shiro的自身注解的用法。如何编写自定义注解。如何通过逻辑进行页面与api接口的关联在表与表的结构关系,页面和接口表最终都是与权限表进行的关联(详情请查看我的上一文章《权限设计的杂谈》)。我们现在希望用另一种方案去替代他,实现一个低成本同时兼顾一...
shirophp网站融合,shiro授权的实现原理实例分享
weixin_42510645的博客
03-13 176
授权,也叫访问控制,即在应用控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。本文主要和大家介绍shiro授权的实现原理,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧,希望能帮助到大家。主体主体,即访问应用的用户,在Shiro使用...
php引入shiro,Apache Shiro介绍
weixin_34297395的博客
03-20 328
Apache Shiro 是ASF旗下的一款开源软件(Shiro发音为“shee-roh”,日语“堡垒(Castle)”的意思),提供了一个强大而灵活的安全框架。可为任何应用提供安全保障— 从命令行应用、移动应用到大型网络及企业应用。(推荐教程:apache)Apache Shiro提供了认证、授权、加密和会话管理功能,将复杂的问题隐藏起来,提供清晰直观的API使开发者可以很轻松地开发自己的程序安...
shiro
weixin_43646100的博客
11-01 159
什么是shiro shiro就是一个安全框架,可以对用户进行认证和授权 认证:就是对用户身份的一种确认,只有用户的身份符合标准,那就可以认证成功。 授权:在认证之后,可以对已经获得认证的用户授予权限(就是允许他们做什么事情) 几个重要的概念 1、Subject,可以把它看成浏览器 2、SecurityManager,安全管理器 主要管理的是认证、授权、缓存、会话… 3、 Authenticator,认证器 负责认证 4、Authorizer,授权器 负责授权 5、Realm,就是对用户进行认证和授权的地方
shiro源码shiro-root-1.8.0-source-release.zip)
03-21
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用程序。它既适用于传统的Web应用,也适用于现代的Java EE和Android应用。现在我们来深入...
shiro源码shiro-root-1.10.0-source-release.zip)
最新发布
10-13
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出...同时,对于希望从事安全领域或者提升自身安全编程能力的开发者,研究Shiro源码是一个极好的学习途径。
shiro-root-1.7.0_ROOT_shirocore1.7_shiro1.7源码_
10-01
shiro-core-1.7.0源码,你可以深入研究以下关键模块: - **Cryptography**: 查看`org.apache.shiro.crypto`包,了解Shiro如何实现加密算法和哈希功能。 - **Authentication**: 深入`org.apache.shiro.authc`和`...
shiro-root-1.32-source-release
11-25
通过这个文件,开发者可以了解 Shiro 的依赖关系,并在自己的项目引入 Shiro。 9. **文档与许可证**:`DEPENDENCIES`、`LICENSE`、`NOTICE` 文件提供了项目的依赖信息以及版权和许可信息,遵循开源协议,保障了...
Shiro安全登录认证、权限授权封装模块代码
01-23
只提供实现相关代码,不提供demo。关于实现源码分析,可以查看博客:http://blog.csdn.net/FJeKin
php引入shiro,shiro,注解_Shiro的注解授权不起作用,shiro,注解 - phpStudy
weixin_34576446的博客
03-20 130
Shiro的注解授权不起作用这是我的controllerpackage com.ivo.controller;import javax.annotation.Resource;import org.apache.shiro.SecurityUtils;import org.apache.shiro.authc.AuthenticationException;import org.apache.sh...
shiro+php,shiro会话管理示例代码
weixin_28713299的博客
03-12 140
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理、会话事件监听、会话存储/持久化、容器无关的集群、失效/过期支持、对Web的透明支持、SSO单点登录的支持等特性。即直接使用Shiro的会话管理可以直接替换如Web容器的会话管理。会话所谓会话,即用户访问应用时保持的连接关系,在多次交互应用能够识别...
php引入shiro,Apache Shiro 使用手册(二)Shiro 认证
weixin_39860946的博客
03-20 175
Apache Shiro 使用手册(二)Shiro 认证认证就是验证用户身份的过程。在认证过程,用户需要提交实体信息(Principals)和凭据信息(Credentials)以检验用户是否合法。最常见的“实体/凭证”组合便是“用户名/密码”组合。一、Shiro认证过程1、收集实体/凭据信息//Example using most common scenario of username/pass...
shiro php,shiro从入门到放弃-初学者笔记
weixin_33745006的博客
04-07 174
背景:使用SpringBoot + shiro + vue 搭建一个权限控制的系统问题: 遇到的一些可能感兴趣的问题1、doGetAuthorizationInfo不会被调用2、自定义过滤器导致访问资源认证出现混乱(过滤器失效)3、使用shiro进行动态的权限配置4、更改用户角色,如何让shiro知道并在下一次访问能做出调整5、前后端分离如何做到让unauthorizedUrl和loginUrl能...
shiro+php,一套基于SpringBoot+Vue+Shiro 前后端分离 开发的代码生成器
weixin_42489714的博客
03-12 154
一、前言最近花了一个月时间完成了一套基于Spring Boot+Vue+Shiro前后端分离的代码生成器,目前项目代码已基本完成止步传统CRUD,进阶代码优化:该项目可根据数据库字段动态生成 controller、mapper、service、html、jsp、vue、php、.py ... 等各种类型代码,采用 velocity 模板引擎在页面动态配置生成代码,前后端动态权限配置,前端权限精确到...
Shiro系列之Shiro+Mysql实现用户授权(Authorization)
Chris Mao的专栏
10-18 381
昨天,我在《Shiro系列之Shiro+Mysql实现用户认证(Authentication)》简单介绍了使用Shiro+Mysql实现用户认证的功能,今天我们继续使用的示例,讲解一下如何实现用户授权。   所谓授权,就是判断当前用户具体哪些权限,能够执行哪些操作,或是访问哪些资源(Web的URL,又或是页面上的一个按钮,一个编辑框等都可以视为资源)。因此我们需要数据表来存储这些资...
Shiro系列之Shiro+Mysql实现用户认证(Authentication)
Chris Mao的专栏
10-17 325
网上大多数介绍Apache Shiro的资料都是使用ini文件的简单配置为例,很少用讲到如何配合数据库来实现用户认证的。我也是刚刚开始接触Shiro,在这里介绍一个入门级别的Shiro+Mysql的配置方法,这个方法仅仅是个开始,并没有和Web,Spring,Mybatis等框架进行整合,后续我还会继续和大家分享我的学习过程及心得。   now we can start the thing...
Shiro源码解析:Subject与Session深度探究
"Shiro源码分析,涉及Subject和Session的创建与管理" Apache Shiro是一个强大的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能。在深入学习Shiro的过程,了解其核心组件Subject和Session的工作原理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值