Shiro认证流程源码分析

最新推荐文章于 2022-08-24 02:08:32 发布
最新推荐文章于 2022-08-24 02:08:32 发布
阅读量122 收藏 1
点赞数
分类专栏: Shiro 文章标签: java spring shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42279659/article/details/120603337
版权

创建认证测试类

创建TestAuthenticator类,代码如下:

public class TestAuthenticator {

    public static void main(String[] args) {
        //1.创建安全管理器对象
        DefaultSecurityManager securityManager = new DefaultSecurityManager();

        //2.给安全管理器设置realm
        securityManager.setRealm(new IniRealm("classpath:shiro.ini"));

        //3.SecurityUtils 给全局安全工具类设置安全管理器
        SecurityUtils.setSecurityManager(securityManager);

        //4.关键对象 subject 主体
        Subject subject = SecurityUtils.getSubject();

        //5.创建令牌
        UsernamePasswordToken token = new UsernamePasswordToken("heling", "123");

        try{
            System.out.println("认证状态:" + subject.isAuthenticated());
            subject.login(token); //用户认证
            System.out.println("认证状态:" + subject.isAuthenticated());
        }catch (UnknownAccountException e){
            e.printStackTrace();
            System.out.println("认证失败:用户名不存在");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("认证失败:密码错误");
        }
    }
}

shiro.ini内容为:

[users]
heling=123

运行测试结果为:

认证状态:false
认证状态:true

以上过程是shiro中最简单的一个认证,其中的权限管理数据是通过IniRealm的形式去读取配置文件shiro.ini来加载数据,但是以后的权限管理数据肯定都是来源于数据库的,所以我们要把数据更改到数据库。
Shiro从Realm获取安全数据 (如用户,角色,权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较,来确定用户的身份是否合法;也需要从Realm得到用户相应的角色、权限,进行验证用户的操作是否能够进行,可以把RealmDataSource;Realm可以决定我们的权限管理数据是来源于ini配置文件还是数据库,也就是数据的调配是由Realm来执行的,为了搞清楚Realm的调配流程,我们简单看一下认证的源码。

认证源码分析

用户名认证

首先在subject.login(token);处打上断点,然后Debug运行。
在这里插入图片描述
程序停在断点之后,我们进行login方法。
在这里插入图片描述
可以看到虽然是subject调用的login,但是真正去执行的是DelegatingSubject中的login,方法刚开始调用了一个clear方法,然后由安全管理器进行认证,内部的this就是DelegatingSubject类,token就是我们传过来的由身份信息和凭证信息组成的令牌。然后再进入securityManagerlogin方法。
在这里插入图片描述我们发现实际上真正去执行的是DefaultSecurityManager中的login方法,方法刚开始就执行一个authenticate方法,传入token,然后继续进入这个方法内部。
在这里插入图片描述
继续调用AuthenticatingSecurityManager类中的authenticate方法,在这个方法中又调用了当前类中的authenticator对象的authenticate方法,继续进入这个方法。
在这里插入图片描述
发现调用了AbstractAuthenticator中的authenticate方法,在这个方法中由调用了doAuthenticate方法,继续进入doAuthenticate
在这里插入图片描述
来到了ModularRealmAuthenticator类中的doAuthenticate方法,方法开始时有一个断言询问是否配置Realm,然后getRealms方法拿到了所有的域,我们只有一个域,所以realms.size() == 1,进入doSingleRealmAuthentication方法。然后进入doSingleRealmAuthentication方法查看。

在这里插入图片描述
doSingleRealmAuthentication方法刚开始询问realm是否支持token,realm肯定支持,所以realm调用getAuthenticationInfo方法。
在这里插入图片描述
可以发现它是从缓存中拿取认证信息,因为程序第一次运行是没有缓存的,所以这次肯定拿不到信息。
在这里插入图片描述
继续调用doGetAuthenticationInfo方法。
在这里插入图片描述
这里可以看到doGetAuthenticationInfo方法将token取出来,然后强转成UsernamePasswordToken,然后通过upToken.getUsername()获得用户名,最后使用getUser方法拿到用户。我们继续进入getUsername方法。
在这里插入图片描述
可以看到已经拿到用户名heling。然后下一步回去。
在这里插入图片描述
再进入getUser方法。
在这里插入图片描述username被传进来了,往下走,发现this.users的size=1,因为我们的配置文件shiro.ini中只有一个用户。然后这里根据用户名拿到用户,返回SimpleAccount,继续下一步。
在这里插入图片描述
这时已经拿到account,所以account肯定不为空,而且account也没有上锁,也没有做过验证密码是否过期的处理,所以最终在SimpleAccountRealm类中通过doGetAuthenticationInfo方法完成了一个用户名的认证。

密码认证

return acount之后继续下一步,回到了AuthenticatingRealm类,
在这里插入图片描述这里拿到的info肯定不为空了,继续下一步,因为token != null && info != null,所以增加了缓存(this.cacheAuthenticationInfoIfPossible(token, info);)。继续往下走。
在这里插入图片描述
如果info不为空的话,就进入一个断言,判断token中的密码和info中的密码是否相等。进入assertCredentialsMatch方法查看。
在这里插入图片描述
进入方法,拿到了一个密码匹配器,如果密码匹配器不为空的话,就调用doCredentialsMatch方法对token中的密码和info中的密码进行比对,如果密码不正确就抛出IncorrectCredentialsException异常。所以最终密码的校验是在AuthenticatingRealm类中的assertCredentialsMatch方法中完成的。
如果以后我们要把数据换成数据库的实现,那么我们只需把SimpleAccountRealm类中doGetAuthenticationInfo方法的实现换成读取数据库,因为SimpleAccountRealm继承自AuthorizingRealm类,所以如果我们要自定义Realm,我们也应该自己写一个类去继承AuthorizingRealm并重写doGetAuthenticationInfo方法。密码校验是不需要我们自己处理的,因为我们在用户名认证之后返回info信息,AuthenticatingRealm类中的assertCredentialsMatch方法会自动帮我们校验。

和铃。
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro认证过程--源码分析
↓ ↓ ↓ ↓
03-14 5241
Shiro认证过程源码分析这篇文章会根据源码分析一下Shiro实现认证的过程,(不涉及Shiro的Filter对url的处理,只从Subject的login()方法开始分析)注: 配置文件和代码都放在文章最下面准备工作:1.login.jsp: 登录界面,用户在此输入username和password 2.success.jsp: 登录成功的界面3.LoginController: 接收login...
shiro 用户认证源码分析
u013995395的博客
06-03 166
定义接口获取用户用户名密码 AuthenticationToken,在 子类实现: Authenticator接口用来认证用户,可以看出参数就是AutenticationToken,从中获取用户名密码进行验证 AuthenticationInfo和AuthenticationToken比较相似,AuthenticationInfo是已经验证过的保存的用户信息,而Auth...
shiro 权限认证源码分析
u013995395的博客
06-03 285
权限认证关于注解的源码分析请参考我的另一篇文章 https://blog.csdn.net/u013995395/article/details/90718739 权限认证默认实现类:ModularRealmAuthorizer,可以设置权限解析器,角色解析器。 调用Authorizer接口的isPermitted方法验证,最终其实是realm实现类验证 public bool...
Shiro 登录认证源码详解
m0_52789121的博客
08-24 195
Apache Shiro 是一个强大且灵活的 Java 开源安全框架,拥有登录认证、授权管理、企业级会话管理和加密等功能,相比 Spring Security 来说要更加的简单。本文主要介绍 Shiro 的登录认证(Authentication)功能,主要从 Shiro 设计的角度去看这个登录认证的过程。去获取安全的「用户名」和「密码」,然后对比,一致则登录,不一致则登录失败。答案是:使用了组合。整个过程中,如果登录失败,就抛出异常,是使用异常来进行逻辑控制的。方法,传入登录的「用户名」和「密码」,然后。
shiro——认证原理(源码流程
dgh112233的博客
08-27 1153
目录 1. Subject 的本质 1.1 login( token ) 登录 1.1.1this.clearRunAsIdentitiesInternal() 解析 ——1 1.1.2this.securityManager.login(this, token) 解析 ——2 1. Subject 的本质 一般我们用下面的语句进行登录认证,没有抛出异常就是验证成功。 S...
shiro源码分析
06-01
shiro入门及深入,对于想学习shiro的同学,是不错的学习资料。
shiro 视频、源码、课件
03-16
shiro 视频、源码及课件。 shiro 视频、源码及课件。 shiro 视频、源码及课件。
shiro认证 类图关系简化版
04-13
shiro认证 类图关系简化版
Shiro 视频教程+源码+课件
08-29
视频讲授过程中通过分析源代码使学员知其然更知其所以然。 【课程内容】 第一章 问候 Shiro 他大爷 1.Shiro 简介 2.ShiroHelloWorld 实现 第二章 身份认证 1.Subject 认证主体 2.身份认证流程 第三章 权限认证...
基于Java的OAuth2和Shiro整合设计源码
最新发布
05-28
本OAuth2和Shiro整合项目基于Java开发,包含191个文件,其中包括137个Java源文件...系统致力于实现OAuth2(oltu)和Shiro的整合,提供了一个稳定、安全的认证和授权解决方案,适用于需要进行身份验证和授权的Web应用。
Shiro---认证过程源码解析
Apple_Andy的博客
09-13 155
一.认证过程源码解析 1.当用户输入账号和密码后,传到控制层中,我们通过创建UsernamePasswordToken对象,将账号和密码封装成令牌Token 2.利用 SecurityUtils.getSubject()获取subject对象 3.调用subject对象的login方法,并将token当成方法参数传入 3.1在subject的login方法中,又调用 public class DelegatingSubject implements Subject { public void lo
Shiro认证流程详解(源码分析)
dh554112075的博客
06-03 398
Shiro认证流程详解 首先,我们调用subject.login(token); 我们将进入到Subject实现类DelegatingSubject的login方法 可以看到,又继续调用与Subject绑定的SecurityManager的login方法,因为它是Shiro的管家,所以请求会到它这里 程序继续来到SecurityManager的实现类DefaultSecurityManager的...
Shiro源码分析
会写Bug的攻城狮
11-17 519
Shiro源码分析 一、 Token相关类 1)、接口类 package org.apache.shiro.authc; import java.io.Serializable; //AuthenticationToken 用于收集用户提交的身份(如用户名)及凭据(如密码) public interface AuthenticationToken extends Serializable { //得到主体subject进行身份认证的标识,标识具有唯一性 Object getPrin
Shiro认证源码图文解析
GDUT_Trim的博客
04-28 415
Shiro担任什么角色?Shiro三大对象认证源码分析Subject.Login()方法this.SecurityManager.login()CachingSecurityManagerRealmSecurityManagerAuthenticatingSecurityManagerAuthorizingSecurityManagerSessionSecurityManagerDefaultSecurityManagerDefaultSecurityManager获取认证信息Authentication.
Shiro认证与授权源码分析
CSDN文章已停止维护,后续文章会在 https://blog.hufeifei.cn 持续更新
01-04 1547
这里使用官方提供的demo进行调试,进入源码分析。 官方demo地址:https://github.com/apache/shiro/tree/master/samples/quickstart public class Quickstart { private static final transient Logger log = LoggerFactory.getLogger...
详解Shiro认证流程
小小的人儿的博客
01-12 4166
通过前面对shiro源码的解读,我们知道,只要我们在拦截器里面配置了所有请求都经过FormAuthenticationFilter,那么我们就不用自己写login方法,shiro会自己帮我们处理登录逻辑。 isAccessAllowed shiro中的判断一个请求是否允许通过的条件是当前得到的subject是否已经认证过,或者当前请求是否是登录请求。 如何判断Subject是否认证过? org.apache.shiro.subject.support.DelegatingSubject#isAuthenti
SpringBoot整合Shiro(Java安全框架)案例(含源码)
热门推荐
白大锅的博客,毕设WangLoveBai_999
06-25 1万+
流程图 1.主要功能介绍 Subject:主体,一般指用户。 SecurityManager:Shiro的核心部分,它负责安全认证与授权。Shiro本身已经实现了所有的细节,用户可以完全把它当做一个黑盒来使用,本质上就是一个工厂类似Spring中的ApplicationContext安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet) Realms:用于进行权限信息的验证,一般需要自己实现,Shiro需要根据用户名和密码首先判断登录
Shiro原理及源码分析
lipengyao2010的专栏
07-16 1838
安全管理器的创建是依赖于认证、授权,缓存、数据源等诸多组件的,你可以各自创建功能组件对象然后交给SecurityManger,配置的方式,选择很多,比如你可以通过SpringXML配置,也可以用YAML文件或者Properties文件配置等,领域对象,在Shiro和你的应用程序安全数据(比如登录的用户名、密码,用户的权限等)之间架起一座沟通的桥梁,安全管理器要验证用户身份,或者要获取用户对应的权限,是分别通过认证组件(),授权找授权组件(),会话找会话组件(.........................
shiro 认证流程
07-30
下面是Shiro认证的基本流程: 1. 创建SecurityManager:首先,你需要创建一个SecurityManager对象,它是Shiro的核心组件之一。SecurityManager负责协调整个认证和授权过程。 2. 创建Subject:Subject代表当前操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值