项目登录的Controller截图如下:
还是从当前线程取出Subject对象,在启动时候已经放置了Subject对象,所以此处Subject对象不为空,新建一个UsernamePasswordToken对象,把前端用户名、密码传递到其构造函数中,
该对象实现了RememberMeAuthenticationToken接口,有个方法isRememberMe(),表示用户是否希望记住当前登录用户,此处我们设置为true,接着调用Subject的
isAuthenticated方法判断用户是否认证了,如果没有认证则调用Subject的login方法,Subject的login方法执行流程如下:
用DefaultWebSecurityManager的login方法把自己传入进去,接着调用到ModularRealmAuthenticator对象的doAuthenticate,判断当前Realm的数量,当前项目的例子只有一个Realm,所以
调用到doSingleRealmAuthentication,继续调用到Realm的实现类getAuthenticationInfo()方法,我的项目Realm的实现类是MyShiroRealm实现了AuthorizingRealm的认证(doGetAuthenticationInfo)和授权(doGetAuthorizationInfo)方法,截图如下:
首先从UsernamePasswordToken对象获取前端传递的用户名、密码去数据库查询是否有该用户存在,如果没有该用户返回空对象,对当前用户名进行盐值加密得到一个盐值,此时会进入catch代码块,抛出AuthenticationException异常,返回到登录页面,如果存在该
用户,构造一个SimpleAuthenticationInfo对象,把盐值、用户名信息传递到构造函数返回,后续通过盐值比对密码,感兴趣的可以看一下相关的代码,此处不分析那块的代码。
此时调用DefaultWebSecurityManager的createSubject的方法,截图如下:
先创建一个SubjectContext对象,把认证字段设置为已认证,设置认证登录成功以后的SimpleAuthenticationInfo对象,调用createSubject方法重新创建一个Subject,这个方法在SpringBoot shiro启动时候已经分析了,大概流程就是把
SubjectContext的session、是否认证等字段设置到Subject对象上,返回一个认证登录成功的Subject对象,接着调用DefaultWebSecurityManager的onSuccessfulLogin方法,如果用户设置了记住我的功能,则把cookie写回到浏览器进行保存,下次即使关闭浏览器重新登录只要不是需要重新认证的都可以正常访问页面。
总结:Shiro封装用户提交的用户名、密码到UsernamePasswordToken对象,调用自定义验证用户名、密码的业务逻辑,如果验证通过跳整到业务逻辑指定的url地址,如果验证不通过跳转到登录页面。
568
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
