java+subject+login_Apache Shiro学习笔记(二)身份验证subject.login过程

最新推荐文章于 2023-06-02 09:29:08 发布
最新推荐文章于 2023-06-02 09:29:08 发布
阅读量648 收藏
点赞数
文章标签: java+subject+login
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35785014/article/details/115045812
版权

鲁春利的工作笔记,好记性不如烂笔头

subject.login(token);

DelegatingSubject类的login方法package org.apache.shiro.subject.support;

public class DelegatingSubject implements Subject {

protected PrincipalCollection principals;

protected boolean authenticated;

protected String host;

protected Session session;

public void login(AuthenticationToken token) throws AuthenticationException {

// 清除RunAs的身份信息

clearRunAsIdentitiesInternal();

/* 通过securityManager实现真正的登录,并返回登录之后的主体(subject)数据 */

Subject subject = securityManager.login(this, token);

PrincipalCollection principals;

// 通过subject获取身份信息,略

this.principals = principals;

this.authenticated = true;

// 部分代码略

}

public boolean isAuthenticated() {

return authenticated;

}

}

DefaultSecurityManager类的login方法

76b25a349de2b78b6375d1075eb04c36.pngpackage org.apache.shiro.mgt;

public class DefaultSecurityManager extends SessionsSecurityManager {

/**

* 如果登录失败会抛出异常,如果成功会返回代表身份信息的subject

*/

public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException {

AuthenticationInfo info;

try {

info = authenticate(token);

} catch (AuthenticationException ae) {

// 认证失败,抛出异常

}

Subject loggedIn = createSubject(token, info, subject);

onSuccessfulLogin(token, info, loggedIn);

return loggedIn;

}

}

AuthenticatingSecurityManager类的authenticate(token)方法

651a24906483d820ea38a78e617fb756.pngpackage org.apache.shiro.mgt;

public abstract class AuthenticatingSecurityManager extends RealmSecurityManager {

// org.apache.shiro.authc.Authenticator的职责是验证用户帐号,

// 是Shiro API中身份验证核心的入口点:就一个authenticate方法。

private Authenticator authenticator;

// org.apache.shiro.authc.pam.ModularRealmAuthenticator

public AuthenticatingSecurityManager() {

super();

this.authenticator = new ModularRealmAuthenticator();

}

/**

* 调用ModularRealmAuthenticator的authenticate,而ModularRealmAuthenticator无该方法

* 因此调用该类的父类AbstractAuthenticator的authenticate方法

*/

public AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {

return this.authenticator.authenticate(token);

}

}

AbstractAuthenticator的authenticate方法package org.apache.shiro.authc;

public abstract class AbstractAuthenticator implements Authenticator, LogoutAware {

public final AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {

if (token == null) {

throw new IllegalArgumentException("Method argumet (authentication token) cannot be null.");

}

log.trace("Authentication attempt received for token [{}]", token);

AuthenticationInfo info;

try {

// 真正执行验证的方法

info = doAuthenticate(token);

if (info == null) {

// 认证失败,抛出异常

throw new AuthenticationException(msg);

}

} catch (Throwable t) {

// 认证失败,抛出异常

}

log.debug("Authentication successful for token [{}].  Returned account [{}]", token, info);

notifySuccess(token, info);

return info;

}

// 抽象方法,调用子类ModularRealmAuthenticator的实现

protected abstract AuthenticationInfo doAuthenticate(AuthenticationToken token)

throws AuthenticationException;

}

ModularRealmAuthenticator类的doAuthenticate方法package org.apache.shiro.authc.pam;

public class ModularRealmAuthenticator extends AbstractAuthenticator {

/**

* List of realms that will be iterated through when a user authenticates.

*/

private Collection realms;

/**

* 认证策略, 默认org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy

*/

private AuthenticationStrategy authenticationStrategy;

// 默认无参构造方法

public ModularRealmAuthenticator() {

this.authenticationStrategy = new AtLeastOneSuccessfulStrategy();

}

// 执行认证

protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {

assertRealmsConfigured();

Collection realms = getRealms();

if (realms.size() == 1) {

// 最终调用AuthenticationInfo info = realm.getAuthenticationInfo(token);

return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);

} else {

// 最终调用AuthenticationInfo info = realm.getAuthenticationInfo(token);

return doMultiRealmAuthentication(realms, authenticationToken);

}

}

}

调用AuthenticatingRealm类的getAuthenticationInfopackage org.apache.shiro.realm;

public abstract class AuthenticatingRealm extends CachingRealm implements Initializable {

/**

* Credentials matcher used to determine if the provided credentials match the credentials stored in the data store.

*/

private CredentialsMatcher credentialsMatcher;

/**-------------------------------------------

|     C O N S T R U C T O R S      |

============================================*/

public AuthenticatingRealm() {

this(null, new SimpleCredentialsMatcher());

}

public AuthenticatingRealm(CacheManager cacheManager) {

this(cacheManager, new SimpleCredentialsMatcher());

}

public AuthenticatingRealm(CredentialsMatcher matcher) {

this(null, matcher);

}

public AuthenticatingRealm(CacheManager cacheManager, CredentialsMatcher matcher) {

authenticationTokenClass = UsernamePasswordToken.class;

// 代码略

}

/** 获取认证信息,只有AuthenticatingRealm类实现了该方法 */

public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

AuthenticationInfo info = getCachedAuthenticationInfo(token);

if (info == null) {

//otherwise not cached, perform the lookup:

info = doGetAuthenticationInfo(token);

log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);

if (token != null && info != null) {

cacheAuthenticationInfoIfPossible(token, info);

}

} else {

log.debug("Using cached authentication info [{}] to perform credentials matching.", info);

}

if (info != null) {

// 比较传入的token和doGetAuthenticationInfo获取到的值是否一样;

// info实际上是调用doGetAuthenticationInfo方法返回的,一般是自定义doGetAuthenticationInfo方法来处理认证。

assertCredentialsMatch(token, info);

} else {

log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);

}

return info;

}

/** Retrieves authentication data from an implementation-specific datasource (RDBMS, LDAP, etc) for the given

* authentication token.

* 用户自定义的Realm一般都实现该方法,用来实现自己的身份认证(如根据用户名查询用户是否存在,若存在进行密码比对)

*/

protected abstract AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException;

}

实际上在ModularRealmAuthenticator中获取到的Realm是IniRealm,而继承关系为:org.apache.shiro.realm.text.IniRealm

extends org.apache.shiro.realm.text.TextConfigurationRealm

extends org.apache.shiro.realm.SimpleAccountRealm

extends org.apache.shiro.realm.AuthorizingRealm

extends org.apache.shiro.realm.AuthenticatingRealm

在IniRealm的实例中调用getAuthenticationInfo时,实际调用的是父类AuthenticatingRealm的getAuthenticationInfo方法,而doGetAuthenticationInfo方法在子类中有自己的实现。package org.apache.shiro.realm.text;

public class IniRealm extends TextConfigurationRealm {

public static final String USERS_SECTION_NAME = "users";

public static final String ROLES_SECTION_NAME = "roles";

private static transient final Logger log = LoggerFactory.getLogger(IniRealm.class);

private String resourcePath;

private Ini ini; //reference added in 1.2 for SHIRO-322

public IniRealm() {

super();

}

/** SecurityManager中的createRealm中会调用该构造函数创建实例 */

public IniRealm(Ini ini) {

this();

processDefinitions(ini);

}

private void processDefinitions(Ini ini) {

/** 处理ini文件中的[roles]定义 */

Ini.Section rolesSection = ini.getSection(ROLES_SECTION_NAME);

if (!CollectionUtils.isEmpty(rolesSection)) {

log.debug("Discovered the [{}] section.  Processing...", ROLES_SECTION_NAME);

proce***oleDefinitions(rolesSection);

}

/** 处理ini文件中的[users]定义 */

Ini.Section usersSection = ini.getSection(USERS_SECTION_NAME);

if (!CollectionUtils.isEmpty(usersSection)) {

log.debug("Discovered the [{}] section.  Processing...", USERS_SECTION_NAME);

/*

* 在该方法中会执行new SimpleAccount(username, password, getName());

* SimpleAccount构造方法:public SimpleAccount(Object principal, Object credentials, String realmName) {......}

*/

processUserDefinitions(usersSection);

}

}

}IniRealm中未定义doGetAuthenticationInfo的实现,会自动调用其父类SimpleAccountRealm的实现package org.apache.shiro.realm;

/**

* User accounts and roles are stored in two Maps in memory,

* so it is expected that the total number of either is not sufficiently large.

*/

public class SimpleAccountRealm extends AuthorizingRealm {

protected final Map users; //username-to-SimpleAccount

protected final Map roles; //roleName-to-SimpleRole

protected final ReadWriteLock USERS_LOCK;

protected final ReadWriteLock ROLES_LOCK;

public SimpleAccountRealm() {

this.users = new LinkedHashMap();

this.roles = new LinkedHashMap();

USERS_LOCK = new ReentrantReadWriteLock();

ROLES_LOCK = new ReentrantReadWriteLock();

//SimpleAccountRealms are memory-only realms - no need for an additional cache mechanism since we're

//already as memory-efficient as we can be:

setCachingEnabled(false);

}

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

UsernamePasswordToken upToken = (UsernamePasswordToken) token;

// getUser就是从IniRealm的processUserDefinitions方法处理时,调用SimpleAccountRealm.add添加的Account

SimpleAccount account = getUser(upToken.getUsername());

// 略

return account;

}

}

总结,至此,身份认证完成(具体的比对token的工作由AuthenticatingRealm.assertCredentialsMatch(token,  info);完成)。

chenbtravel
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro 调用 subject.login(token)方法后
scoreclass的博客
10-17 2558
在UserController中调用subject.login(token)方法 package com.woniuxy.controller; import java.util.ArrayList; import java.util.Arrays; import java.util.List; import javax.servlet.http.HttpServletRequest; import org.apache.shiro.SecurityUtils; import org.apache.s
java+subject+login_shiro权限的认证及shiro的配置
weixin_42449375的博客
02-28 451
一.使用shiro框架需要引入的依赖org.apache.shiroshiro-core1.3.2commons-loggingcommons-logging1.2log4jlog4j1.2.17org.slf4jslf4j-api1.6.6org.slf4jslf4j-log4j121.6.62.配置ini文件(代替数据库)ini文件确定了数据库的认证规则# 配置自定义的realm(自定义数据库...
shiro学习笔记-Subject#login(token)实现过程
weixin_30446613的博客
02-24 727
本博文所有的代码均为shiro官网(http://shiro.apache.org/)中shiro 1.3.2版本中的源码。 追踪Subjectlogin(AuthenticationTokentoken)方法,其调用的为DelegatingSubject类的login方法,DelegatingSubject实现了Subject接口,DelegatingSubject#login如下: ...
Shirosubject.login()方法源码解读
qq_36816062的博客
10-12 5790
Shirosubject.login()方法源码解读        自己写了一个Shiro的登录认证,使用ini文件模拟用户数据,觉得subject.login()方法很是神奇,所以debug看了下源码 1.调用subject.login()接口 2.进入该方法,发现subjectlogin方法交给了securityManager,再进入securityManager.login()方法,发现由认证器authenticator完成t
01-shirosubject.login(token)详解
samveltor的博客
01-28 2270
import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.config.IniSecurityManagerFact...
jfina_shiro_jfinal+shiro_fromjh1_shiro_
10-04
1. **Shiro 概述**:Apache Shiro 是一个强大且易用的 Java 安全框架,处理认证、授权、加密和会话管理。它可以被轻松地嵌入到任何应用中,提供了一种声明式的安全控制。 2. **Shiro 认证**:Shiro 提供了用户身份...
spring boot+shiro.zip_java shir_springBoot 权限
09-20
在IT领域,Spring Boot和Shiro是两个非常重要的框架,它们在构建现代Java Web应用程序时起着关键作用。本文将详细介绍如何使用Spring Boot与Shiro结合,并利用Redis来实现细粒度的权限控制。 首先,Spring Boot是...
SSM+Shiro+redis实现的权限系统.zip_Redis +ssm_ssm_ssm redis shiro_ssm+re
09-23
SSM+Shiro+Redis 实现的权限系统是企业级应用中常见的技术组合,用于构建高效、安全的权限管理系统。这个系统结合了Spring、Spring MVC(统称SSM)、Apache Shiro以及Redis缓存,提供了灵活的身份认证和授权功能,并...
SSM-Shiro.zip_shiro ssm 整合_ssm web shiro%2_ssm+shiro_ssm590.com_
09-23
SSM-Shiro.zip是一个关于将Apache Shiro与Spring、Spring MVC和MyBatis(简称SSM)框架整合的示例项目。这个项目演示了如何在Web应用中集成Shiro进行权限管理和用户认证,以实现安全控制。以下是关于SSM与Shiro整合...
基于SpringBoot + Thymeleaf + Layui + Apache Shiro + Redis + .zip
最新发布
02-04
Apache Shiro是一个强大且易用的Java安全框架,处理认证(登录)、授权(权限)、会话管理和密码加密等任务。在项目中,Shiro可以用于用户的登录验证、权限控制以及会话管理,为系统提供安全保障。 **Redis** Redis...
shiro的登录 subject.login(token)中执行逻辑和流程
qq_41358574的博客
11-02 7665
今天登录的时候一直没有记录当前用户信息下来,执行security.getsubject()时结果一直为空,遂看了下源码 使用subject.login的登录场景: (controller层) @GetMapping public Result userLogin(@ApiParam(name="userId",value="用户学号",required=true) @RequestParam(value = "userId",requir
Shiro中的subject.login()
weixin_30301183的博客
05-06 579
当调用ShiroHandler中的subject.login()的时候,会自动调用Realm中的doGetAuthenticationInfo方法。 转载于:https://www.cnblogs.com/moxuyou/p/5465774.html
java+subject+login_Java Subject類代碼示例
weixin_32121931的博客
03-05 273
本文整理匯總了Javajavax.security.auth.Subject類的典型用法代碼示例。如果您正苦於以下問題:Java Subject類的具體用法?Java Subject怎麽用?Java Subject使用的例子?那麽恭喜您, 這裏精選的類代碼示例或許可以為您提供幫助。Subject類屬於javax.security.auth包,在下文中一共展示了Subject類的39個代碼示例,這...
Apache Shiro学习笔记身份验证subject.login过程
weixin_33798152的博客
07-26 1291
鲁春利的工作笔记,好记性不如烂笔头subject.login(token);DelegatingSubject类的login方法packageorg.apache.shiro.subject.support; publicclassDelegatingSubjectimplementsSubject{ protectedPrincipalCollec...
shirosubject.login(token)流程源码分析
kevin的博客
06-02 2035
之前在写【Shiro】SimpleAuthenticationInfo如何验证password的时候,了解了下验证方式的源码,但在做shiro整合Jwt时,debug发现执行的顺序和理解的不太一样,因此,中途插篇了解下这个login的源码,看看它是怎么执行进去的。ps:主要目的是想和 验证的部分 衔接上,能力有限不敢一步登天😂。ps:这个代码样式略显眼熟,感觉八九不离十了。点击查看doAuthenticate方法,再去看它的实现类。
java+subject+login_springmvc+shiro+maven 实现登录认证与权限授权管理
weixin_42469012的博客
03-05 156
ShiroShiro 是一个 Apache 下的一开源项目项目,旨在简化身份验证和授权。1:shiro的配置,通过maven加入shiro相关jar包org.apache.shiroshiro-core1.2.1org.apache.shiroshiro-web1.2.1org.apache.shiroshiro-ehcache1.2.1org.apache.shiroshiro-spring...
subject.login(token)是如何确认账号密码的_新办企业在电子税务局中如何申请电子普通发票?...
weixin_31849185的博客
01-22 715
新办企业在电子税务局中如何申请电子普通发票天津税务答疑解惑企业通过【CA登录】或者【账号密码登录】方式登录天津市电子税务局,点击“我要办税-发票使用-发票票种核定-纳税人普通发票票种核定(首次)”进入申请事项选择页面,自动显示“涉税事项描述”说明,供用户参考查看。操作步骤CA登录方式,如下图账号密码登录方式,输入用户名、密码、验证码,验证人员类型必须选中,如下图选中验证人员类型,点击验证...
subject.login(token)是如何确认账号密码的_教你如何删除、关闭、注销微信小程序...
weixin_39636610的博客
01-14 616
微信小程序是我们日常生活中经常会接触到的工具,打开小程序后,它就会留在我们微信的”“发现-小程序”栏。很多人并不知道该如何删除、关闭小程序,所以今天就跟大家科普下相关问题。1.如何删除小程序首先,打开微信界面,点击“发现-小程序”,在“小程序”界面中,在对应的小程序位置长按,在弹出的选项中,选择“删除”,就可以在微信中删掉这个小程序了。或者你也可以直接下拉微信聊天页面,然后长按需要删除的小程序,将...
org.apache.shiro.authc.AuthenticationException: Authentication failed for token submission [com.college.collegesystem.shiro.JWTToken@1e319204]. Possible unexpected error? (Typical or expected login exceptions should extend from AuthenticationException). at org.apache.shiro.authc.AbstractAuthenticator.authenticate(AbstractAuthenticator.java:214) at org.apache.shiro.mgt.AuthenticatingSecurityManager.authenticate(AuthenticatingSecurityManager.java:106) at org.apache.shiro.mgt.DefaultSecurityManager.login(DefaultSecurityManager.java:274) at org.apache.shiro.subject.support.DelegatingSubject.login(DelegatingSubject.java:260)
07-15
这段代码抛出了一个身份验证异常(AuthenticationException)。根据异常信息,身份验证失败并且认证令牌被提交。...另外,确保你在处理身份验证过程中捕获和处理了所有可能的异常,以避免抛出未处理的异常。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值