shiro原理_从源码上分析shiro登录认证原理

最新推荐文章于 2024-05-06 13:02:38 发布
最新推荐文章于 2024-05-06 13:02:38 发布
阅读量114 收藏
点赞数
文章标签: shiro原理 shiro源码
defaebe52662e42a09acc69224d6b971.png

上篇文章我们在架构上分析了Shiro的三大核心概念:Subject、SecurityManager、Realms,现在我们从源码

认证三步走

对于我们开发者人,官方提供给我,需要我们做三步

1. 收集信息,即提供你的账号和密码 如:

UsernamePasswordToken token = new UsernamePasswordToken(username, password); token.setRememberMe(true);

2. 提交 如currentUser.login(token);

3. 登录之后的业务逻辑处理

认证原理分析

要从底层代码分析如何进行认证,以及我们分析我们自定义realm是怎么调用,先debug我们的代码调用栈,得到下图,同时配合官方提供的认证流程图,两个图结合起来看,会发现对应上了会好理解很多。

1e6ae67ba16780c9f6c184386dece02e.png
50264b32829c6333fe476fba5f9900c3.png

源码分析

1、当我们使用 Subject currentUser = SecurityUtils.getSubject();

使用上返回的是Subject 的实现类 DelegatingSubject

a7215306966c67b2ec4dcb79247bc875.png

2.当DelegatingSubject 调用login方法进行登录操作时候,实际上并没有真正执行登录操作,而是交给SecurtyManager,而我们定义的是DefaultWebSecurityManager,给一张类继承关系图

7aa883863f64ddbcec4c6b5b1f4110d7.png

3、Authenticator接口是Shiro API中的主要入口之一,就是用来负责应用中的认证操作的,该类作为顶级接口,只有一个authenticate(AuhenticationToken token)方法,而ModularRealmAuthenticator作为Shiro默认的认证处理实现类将会接过认证处理,通过doAuthenticate(AuthenticationToken token)来进行认证操作,源码如下:

a61ad23a7e61b5a3eabc151ac0483d53.png

这段代码的作用是,如果我们之定义一个realm,则无需使用认证策略,大多数情况下我们都是使用单个realm,如果是多个realm,则需要我们配置认证策略,这里不展开说明。

4、最后会调用我们自定义的realm来做安全性登录校验

a8409c3a71c426b7974b071ca9d75072.png
456eadd835a4a5fe4fbca509006c4af0.png

下片文章探讨shiro的拦截过滤以及权限控制

weixin_39604897
关注
shiro_tool.zip
10-11
一款好用的shiro检测利用工具,使用方式java -jar shiro_tool.jar https://xx.xx.xx.xx,Github有开源下载链接,在这里上传是为了赚积分下载别的工具,欢迎使用
Shiro登录的使用以及原理(一)
大鹏的博客
11-23 3107
好久没写博客了,这段时间对最近项目做个总结,先从登入下手,话不多说直奔主题,Shiro登录使用以及原理。 一、Shiro主要作用 shiro主要的作用就是实现用户登录认证,授权,加密等),用户登录后的用户信息存储(缓存),用户登出等。 二、登录的使用 在使用登录的时候,最常见的一串代码就是获取Subject,然后对Token进行login(); // 得到subject然后对创建用户名/密码身份验证 Subject subject = SecurityUtils.ge...
单点登录系统原理与实现
m0_37911384的博客
10-17 427
一、单系统登录机制 1、http无状态协议 web应用采用browser/server架构,http作为通信协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,这个过程用下图说明,三次请求/响应对之间没有任何联系。 但这也同时意味着,任何用户都能通过浏览器访问服务器资源,如果想保护服务器的某些资源,必须限制浏览器请求;要限制浏览器请求,必须鉴别浏览器请...
shiro过滤器详解分析
weixin_34177064的博客
03-11 1233
(原) shiro最核心的2个操作,一个是登录的实现,一就是过滤器了。登录有时间再补录说明,这里分析shiro过滤器怎样玩的。 1、目标 这里会按如下顺序逐一看其实原理,并尽量找出其出处。 先看一下shiro过滤器有哪些及它们的别名分别对应哪些类:点这里 这里只分析平时用的最多的一个:authc过滤器,对应的处理器的类是FormAuthenticationFilter。 2...
shiro原理解析
m0_67403188的博客
08-24 2081
(它的主要目的是与数据库打交道,查询数据库中的认证的信息(比如用户名和密码),查询授权的信息(比如权限的code等,所以这里可以理解为调用数据库查询一系列的信息,一般情况下在项目中采用自定义的realm,因为不同的业务需求不一样))这里的md5是原始的md5的加密了一次的密码+随机盐,然后对这个新的密码password=(md5+salt),进行散列:如何进行散列呢:就是多次md5加密md5(md5(md5(md5(password)))),这是4次散列,每次密码的破解的难度都加大。
shiro原理
tiantian929的博客
02-19 3982
shiro原理
Shiro1.2.2_源码(压缩包)
05-29
对于开发者来说,通过学习 Shiro源码,可以深入理解其内部工作原理,提高安全编程的能力。在这个 Shiro1.2.2 的源码包中,我们可以探索以下几个关键知识点: 1. **身份认证(Authentication)**:Shiro 提供了...
shiro-root-1.7.0_ROOT_shirocore1.7_shiro1.7源码_
10-01
在本压缩包中,你获得了Shiro框架的核心部分——shirocore1.7的源代码,版本号为1.7.0,这将对理解Shiro的工作原理及其内部机制大有裨益。 Shiro 的核心组件主要包括以下几个方面: 1. **Authentication(认证)**...
shiro_shiro_
10-03
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常方便地开发出足够安全的应用。Shiro 不仅可以用于Java Web 应用,也可以用于独立的Java应用,如Android应用或者桌面...
shiro+cas实现单点登录 示例代码,送源码分析url
10-20
shiro+cas实现单点登录 示例代码,送源码分析url:http://note.youdao.com/noteshare?id=a83380ee8fc6913162042e865689844e&sub=CD905CCCE4134A159326DC2DFC1AF268
基于Shiro框架的登录功能
程序员小火龙的知识分享
07-21 1046
Apache Shiro是一个Java安全框架,它提供了一套易于使用的API,用于身份验证、授权、加密和会话管理等安全操作。Shiro框架的主要目标是提供易于使用的安全功能,同时保持灵活性和可扩展性。
shiro登陆认证过程原理
k393393的博客
01-13 1027
问题: shiro到底是如何认证的呢,原理是啥呢? 1、在登录页面开始登录 输入用户名和密码 2、后台接收到了登录请求,执行以下代码 登录的过程将用户名和密码传入token
ssm+shiro
mengyong1108的博客
08-16 372
shiro原理 框架解释:  subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。 securityManager:安全管理器,主体进行认证和授权都 是通过securityManager进行。它包含下面的认证器和授权器。 authenticator:认证器,主体进行认证最终通过authenticator进行的。  authorizer:授权器,主体
2024年最新uniapp和小程序如何分包,详细步骤手把手(图解)_uni分包(1),1-3年网络安全开发工程师面试经验分享
最新发布
2301_79985178的博客
05-06 1700
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
Shiro的验证机制
king220022的博客
04-11 166
Shiro认证就是验证用户身份的过程。在认证过程中,用户需要提交实体信息(Principals)和凭据信息(Credentials)以检验用户是否合法。最常见的“实体/凭证”组合便是“用户名/密码”组合。
java web 之springboot教程之十六----shiro权限管理
Eric
04-16 263
一、架构 (1)使用用户的登录信息创建令牌 UsernamePasswordToken token = new UsernamePasswordToken(username, password); (2)执行登陆动作 SecurityUtils.setSecurityManager(securityManager); // 注入SecurityManager Subj...
Shiro原理讲解
qq_42814833的博客
12-30 5201
从请求的开始,到Subject的创建、认证、授权、会话。本文讲述shiro对web请求的安全处理、SecurityManager的工作流程、shiro如何制作一个带有会话的角色。大致说明shiro的工作流程和讲解部分源码
shiro登录验证原理
weixin_34148340的博客
12-01 221
这段时间有点忙,没咋写博客,今天打开staruml看到以前画的一张shiro原理图,先在这发一下,空了再好好进行分析。 转载于:https://www.cnblogs.com/hzhuxin/p/7940669.html...
Shiro源码入门与实战剖析
Shiro源码分析是一系列针对Apache Shiro安全框架的深入研究,适合希望学习和理解Shiro内部工作机制的开发者。本文档以入门级教程入手,结合实际编程示例,逐步剖析框架的工作流程和核心组件。 首先,Shiro框架的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值