上篇文章我们在架构上分析了Shiro的三大核心概念:Subject、SecurityManager、Realms,现在我们从源码
认证三步走
对于我们开发者人,官方提供给我,需要我们做三步
1. 收集信息,即提供你的账号和密码 如:
UsernamePasswordToken token = new UsernamePasswordToken(username, password); token.setRememberMe(true);
2. 提交 如currentUser.login(token);
3. 登录之后的业务逻辑处理
认证原理分析
要从底层代码分析如何进行认证,以及我们分析我们自定义realm是怎么调用,先debug我们的代码调用栈,得到下图,同时配合官方提供的认证流程图,两个图结合起来看,会发现对应上了会好理解很多。
源码分析
1、当我们使用 Subject currentUser = SecurityUtils.getSubject();
使用上返回的是Subject 的实现类 DelegatingSubject
2.当DelegatingSubject 调用login方法进行登录操作时候,实际上并没有真正执行登录操作,而是交给SecurtyManager,而我们定义的是DefaultWebSecurityManager,给一张类继承关系图
3、Authenticator接口是Shiro API中的主要入口之一,就是用来负责应用中的认证操作的,该类作为顶级接口,只有一个authenticate(AuhenticationToken token)方法,而ModularRealmAuthenticator作为Shiro默认的认证处理实现类将会接过认证处理,通过doAuthenticate(AuthenticationToken token)来进行认证操作,源码如下:
这段代码的作用是,如果我们之定义一个realm,则无需使用认证策略,大多数情况下我们都是使用单个realm,如果是多个realm,则需要我们配置认证策略,这里不展开说明。
4、最后会调用我们自定义的realm来做安全性登录校验
下片文章探讨shiro的拦截过滤以及权限控制