Shiro源码分析----认证流程

最新推荐文章于 2024-05-03 08:44:31 发布
最新推荐文章于 2024-05-03 08:44:31 发布
阅读量6.6k 收藏 7
点赞数 5
分类专栏: Shiro 文章标签: Shiro Apache 权限 认证 Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xtayfjpk/article/details/53729135
版权

 

 

 

    由于本文是基于源码分析Shiro认证流程,所以假设阅读者对Shiro已经有一定的了解,如果对Shiro还不大了解的话,推荐一下博文:跟我学Shiro目录贴


Apache Shiro作为一个优秀的权限框架,其最重要的两项工作:其一是认证,即解决登录的用户的身份是否合法;其二是用户登录后有什么样的权限。本文将基于Shiro源码来剖析Shiro的认证流程,只有深层次的理解Shiro认证流程,认证过程中各个组件的作用,才能在实际应用中灵活使用。由于Shiro一般用于Web环境且会与Spring集成使用,所以此次认证流程的分析的前提也是Web环境且Shiro已与Spring集成。


特别说明:本文使用的Shiro版本:1.2.2。

 

 

 

Shiro与Spring集成时,需要在web.xml中配置Shiro入口过滤器:

 

<filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <async-supported>true</async-supported>
    <init-param>
        <param-name>targetFilterLifecycle</param-name>
        <param-value>true</param-value>
    </init-param>
</filter>
<filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>


熟悉Spring的人应该都知道DelegatingFilterProxy的作用,该Spring提供的过滤器只起委托作用,执行流程委托给Spring容器中名为shiroFilter的过滤器。所以还需要在Spring配置文件中配置shiroFilter,如下:

 

 

 

 

<!-- Shiro的Web过滤器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="/login.jsp"/>
    <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
    <property name="filters">
        <util:map>
            <entry key="authc" value-ref="formAuthenticationFilter"/>
        </util:map>
    </property>
    <property name="filterChainDefinitions">
        <value>
            /index.jsp = anon
            /unauthorized.jsp = anon
            /login.jsp = authc
            /logout = logout
            /authenticated.jsp = authc 
            /** = user
        </value>
    </property>
</bean>


ShiroFilterFactoryBean实现了org.springframework.beans.factory.FactoryBean接口,所以shiroFilter对象是由ShiroFilterFactoryBean的getObject()方法返回的:

 

 

 

 

public Object getObject() throws Exception {
    if (instance == null) {
        instance = createInstance();
    }
    return instance;
}

protected AbstractShiroFilter createInstance() throws Exception {

    log.debug("Creating Shiro Filter instance.");
	// 获取配置文件中设置的安全管理器
    SecurityManager securityManager = getSecurityManager();
    if (securityManager == null) {
        String msg = "SecurityManager property must be set.";
        throw new BeanInitializationException(msg);
    }
	// 必须是Web环境的安全管理器
    if (!(securityManager instanceof WebSecurityManager)) {
        String msg = "The security manager does not implement the WebSecurityManager interface.";
        throw new BeanInitializationException(msg);
    }

	// 创建过滤器链管理器
    FilterChainManager manager = createFilterChainManager();

    // 创建基于路径匹配的过滤器链解析器
    PathMatchingFilterChainResolver chainResolver = new PathMatchingFilterChainResolver();
    chainResolver.setFilterChainManager(manager);

    // 返回SpringShiroFilter对象
    return new SpringShiroFilter((WebSecurityManager) securityManager, chainResolver);
}


从上述源码中可以看到,最终返回了一个SpringShiroFilter对象,即Spring配置文件中的shiroFilter对象,该过滤器拥有三个重要对象:SecurityManager、PathMatchingFilterChainResolver、FilterChainManager。


由于在Spring配置中设置了filterCh

最低0.47元/天 解锁文章
云原生之家
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
shiro 使用FormAuthenticationFilter 用于校验用户登录时,所考虑的问题
javaBro的博客
06-01 1482
本人主要说明,在使用shiro filter认证登录时(Authentication)将 subject.login(token); 放在在filter时的用法,源码一 类 AccessControlFilter 中控制访问可以得到, public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception { return isA
shiro-rbac-system-master.zip
12-05
标题"shiro-rbac-system-master.zip"表明这是一个基于Shiro权限管理系统的源码包,其中"master"通常代表这是项目的主要分支或版本。"rbac"是"Role-Based Access Control"的缩写,指的是基于角色的访问控制,这是一种...
Shiro源码分析④ :鉴权流程
猫吻鱼的博客
02-04 1794
一、前言 由于之前没有使用过 Shiro,最近开始使用,故对其部分流程源码进行了阅读,大体总结了一些内容记录下来。本系列并不会完完全全分析 Shiro 的全部代码,仅把主(我)要(用)流(到)程(的) 简单分析一下。由于本系列大部分为个人内容理解 并且 个人学艺实属不精,故难免出现 “冤假错乱”。如有发现,感谢指正,不胜感激。 二、FormAuthenticationFilter 三、流程 org.apache.shiro.web.filter.AccessControlFilter#onPreHand
Apache Shiro Realm实战及认证授权源码解读_field loginservice in com(3)
最新发布
2401_84184729的博客
05-03 667
1)步骤:创建一个类 ,继承AuthorizingRealm,AuthorizingRealm继承关系如下图:由上图可见继承关系为:AuthorizingRealm->AuthenticatingRealm->CachingRealm->Realm重写授权方法 doGetAuthorizationInfo重写认证方法 doGetAuthenticationInfo方法:当用户登陆的时候会调用 doGetAuthenticationInfo,获取认证信息进行用户身份认证
shiro认证授权源码分析
一只蜗牛的博客
10-16 3131
shiro内置了许多过滤器用来控制认证授权 anon : org.apache.shiro.web.filter.authc.AnonymousFilter authc : org.apache.shiro.web.filter.authc.FormAuthenticationFilter authcBasic : org.apache.shiro.web.filter.authc.Basi
shiroFilter生命周期
祈祷之手
06-27 2141
基本说明 filter执行的是代理bean的id为shiroFilter相应的方法 接下来看看 shiroFilter 是什么 再来分析shiroFilter 这个实现了 javax.servlet.Filter 的生命周期 spring 配置信息 &amp;lt;bean id=&quot;shiroFilter&quot; class=&quot;org.apache.shiro.spring.web.Shir...
shiro实现系统的退出功能
letrain47的博客
05-22 1123
@Service  public class SystemLogoutFilter extends LogoutFilter {      @Override      protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {          //在这里执行退出...
商业源码-编程源码-文渊阁简单新闻公告系统.zip
06-17
此外,为了保证安全性,系统可能会集成Spring Security或Apache Shiro等安全框架,实现用户认证和授权。 系统功能方面,基本包括以下几个模块: 1. 新闻管理:支持新闻的创建、编辑、删除,以及按类别、关键词等...
newWeb.rar_HCNUM-TC
09-20
【标题】"newWeb.rar_HCNUM-...通过分析这个源码,开发者可以学习到如何在Java环境中构建一个实时聊天应用,了解前沿技术的实战应用,以及如何组织和管理大型项目。对于Java开发者来说,这是一个极好的学习和实践机会。
liu_guo_feng-shiro-demo-master_java_源码.zip
10-18
3. **认证流程** - **AuthenticationToken**:用户提交的身份凭证,如用户名/密码。 - **Authenticator**:负责验证AuthenticationToken的有效性,通常通过Realm进行。 - **AuthenticationInfo**: Realm返回的...
shiro-example
08-07
Apache Shiro 是一个强大且易用的 ...总之,“shiro-example”项目为初学者提供了学习和实践 Apache Shiro 的宝贵资源,通过分析项目中的代码和配置,可以深入理解和掌握 Java 安全框架 Shiro 的核心功能和应用场景。
shiro学习24-shiro提供的filter-AuthenticationFilter
m0_67401228的博客
08-24 1691
里面有个successUrl属性,但是这个不是成功登录后跳转的地址,而是一个默认的地址。我们考虑一个在开发中经常用到的场景:我要在淘宝上买东西,在商品详情页输了买10个,但是点击确认后买后却是要求我们登录,然后登录后再跳转到当前的详情页,并且详情页的10依然存在,我之前就好奇他是怎么用一个通用的方法实现的,现在看了shiro源码有了灵感。这里说这些只是说明这个类中的successUrl只是一个默认的,备份的路径,只有没有在session中存放的时候才会跳转到这个路径,他的javadoc上也进行了说明。
五.shiro表单拦截器FormAuthenticationFilter如何认证,登录成功后如何继续访问原请求
u014203449的博客
06-14 2万+
shiro有几种默认的拦截器,authc,anno,roles,user等 authc就是FormAuthenticationFilter的实例 ShiroFilterFactoryBean的配置: private Map<String, Filter> filters; <取名,拦截器地址>,可以自定义拦截器放在这 private Map<String, ...
Shiro的验证机制 和同一浏览器 多次登录的BUG
zhangxinly的博客
05-19 6207
Shiro同时登陆多个账户异常 5条回复 5571 views 关于一个浏览器同时登陆多个账户,自动跳转到原登录页面的逻辑错误。 方法1 对shiro源码进行了调试,发现是AuthenticationFilter验证逻辑的问题: 1.它首先验证是否有允许访问页面(isAccessAllowed方法)。 2.在拒绝访问中(FormAuthenticationFilt
shiro原理及其运行流程介绍
热门推荐
mine_song的博客
03-12 6万+
shiro原理及其运行流程介绍
Shiro认证流程详解(源码分析)
dh554112075的博客
06-03 400
Shiro认证流程详解 首先,我们调用subject.login(token); 我们将进入到Subject实现类DelegatingSubject的login方法 可以看到,又继续调用与Subject绑定的SecurityManager的login方法,因为它是Shiro的管家,所以请求会到它这里 程序继续来到SecurityManager的实现类DefaultSecurityManager的...
shiro-spring-boot-starter
08-26
Shiro-Spring-Boot-Starter 是一个用于集成 Shiro 框架到 Spring Boot 应用中的起步依赖。Shiro 是一个 Java 安全框架,可以为应用程序提供身份认证、授权、加密和会话管理等功能。通过使用 Shiro-Spring-Boot-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值