Shiro源码分析----登录流程

最新推荐文章于 2022-07-08 00:23:09 发布
最新推荐文章于 2022-07-08 00:23:09 发布
阅读量2.2k 收藏 3
点赞数 3
分类专栏: Shiro 文章标签: Shiro Apache login 认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xtayfjpk/article/details/53864228
版权
本文深入剖析Shiro的登录过程,从Subject.login()方法开始,详细解释了SecurityManager、Authenticator、Realm的角色和交互,特别是多Realm认证的策略处理。在认证成功后,讨论了createSubject方法的作用。
摘要由CSDN通过智能技术生成

在Shiro中,登录操作是由Subject的login()方法完成的,Subject是个接口,在Web环境中,实现类为WebDelegatingSubject,login方法从DeletatingSubject继承而来:

public void login(AuthenticationToken token) throws AuthenticationException {
	clearRunAsIdentitiesInternal();
    Subject subject = securityManager.login(this, token);

	// 省略一些代码...
}


由上可见,Subject.login()方法委托给了SecurityManager对象,在Web环境中,SecurityManager实现类为DefaultWebSecurityManager,其login方法从DefaultSecurityManager继承而来:

 

public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException {
	AuthenticationInfo info;
	try {
		// 对提交的AuthenticationToken进行认证
		info = authenticate(token);
	} catch (AuthenticationException ae) {
		try {
			// 如果认证失败
			onFailedLogin(token, ae, subject);
		} catch (Exception e) {
			if (log.isInfoEnabled()) {
				log.info("onFailedLogin method threw an " +
						"exception.  Logging and propagating original AuthenticationException.", e);
			}
		}
		throw ae; //propagate,如果认证失败,使异常继续向上传播,从而返回至登录页面(见上篇)
	}
	
	// 如果认证成功则重新创建Subject对象
	Subject loggedIn = createSubject(token, info, subject);
	
	// 登录成功,主要处理RememberMe操作,即将登录信息存储在cookie中
	onSuccessfulLogin(token, info, loggedIn);

	return loggedIn;
}


最关键的authenticate方法:

public AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {
	return this.authenticator.authenticate(token);
}


SecurityManager把认证方法委托给认证器Authenticator的authenticate方法,Authenticator的实现类为:ModularRealmAuthenticator,其可以实现多认证信息源综合认证。ModularRealmAuthenticator实现使用了模版方法模式,随后执行doAuthenticate方法:

 

protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
	assertRealmsConfigured();
	// Realm集合在为SecurityManager设置Realm时就会设置给Authenticator
	// 至于Realm代表什么,请参看:http://jinnianshilongnian.iteye.com/blog/2018936
	Collection<Realm> realms = getRealms();
	if (realms.size() == 1) {
		// 如果Realm只有一个
		return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);
	} else {
		// 如果Realm有多个
		return doMultiRealmAuthentication(realms, authenticationToken);
	}
}


单一Realm认证:

 

protected AuthenticationInfo doSingleRealmAuthentication(Realm realm, AuthenticationToken token) {
	// 该Realm是否支持此种Token,因为并不是任何一种Realm与AuthenticationToken都是相互匹配的
	if (!realm.supports(token)) {
		String msg = "Realm [" + realm + "] does not support authentication token [" +
				token + "].  Please ensure that the appropriate Realm implementation is " +
				"configured correctly or that the realm accepts AuthenticationTokens of this type.";
		throw new UnsupportedTokenException(msg);
	}
	// 根据AuthenticationToken获取认证信息
	// Realm一般是由自己实现的,虽然说Shiro有一些自己的实现,但是在实际项目中,Shiro的实现直接就能使用的情况很少
	// 比较将认证信息(用户名密码等)存在数据库,则该getAuthenticationInfo方法就是根据Token中的信息去数据库中查找、
	// 匹配,如果匹配上了则返回相应认证后的认证信息
	AuthenticationInfo info = realm.getAuthenticationInfo(token);
	// 如果没有获取到则认证失败
	if (info == null) {
		String msg = "Realm [" + realm + "] was unable to find account data for the " +
				"submitted AuthenticationToken [" + token + "].";
		throw new UnknownAccountException(msg);
	}
	return info;
}


一般来说,自定义实现的Realm会继承自AuthenticatingRealm,所以会执行至:

 

public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
	
	// 先去缓存中查找,如果你使用了缓存,则不用每次都去文件或数据库中查找
	AuthenticationInfo info = getCachedAuthenticationInfo(token);
	if (info == null) {
		//otherwise not cached, perform the lookup:
		// 使用模版方法模式,进行直正的认证信息查找
		info = doGetAuthenticationInfo(token);
		log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);
		if (token != null && info != null) {
			cacheAuthenticationInfoIfPossible(token, info);
		}
	} else {
		log.debug("Using cached authentication info [{}] to perform credentials matching.", info);
	}

	if (info != null) {
		// 断言AuthenticationToken与AuthenticationInfo是匹配的,简单点来说就是判断密码是否正确,不正确则抛异常
		// doGetAuthenticationInfo方法主要判断账户是否存在
		assertCredentialsMatch(token, info);
	} else {
		log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);
	}

	return info;
}


单一Realm认证时,只需要判断一个Realm认证是否成功即可,但是当存在多个Realm时情况就有点复杂了。因为有可能有些Realm认证成功了,有些Realm又认证失败了,这时到底算是认证成功还是失败呢?所以这时Shiro使用了策略模式,用具体的策略类来处理这个问题。多个Realm认证时的doMultiRealmAuthentication方法如下:

 

protected AuthenticationInfo doMultiRealmAuthentication(Collection<Realm> realms, AuthenticationToken token) {
	// 首先就得获取认证策略,Shiro实现了三种:
	//1. AllSuccessfulStrategy: 必须所有Realm认证成功了才算是认证成功
	//2. AtLeastOneSuccessfulStrategy: 至少有一个Realm认证成功了就算是认证成功
	//3. FirstSuccessfulStrategy: 第一个Realm认证成功了就算是认证成功
	// 默认实现为AtLeastOneSuccessfulStrategy
	AuthenticationStrategy strategy = getAuthenticationStrategy();
	
	// 假设我们现在使用的就是AtLeastOneSuccessfulStrategy
	// 返回SimpleAuthenticationInfo,这是一个空认证信息,并不含有principal与credentials
	AuthenticationInfo aggregate = strategy.beforeAllAttempts(realms, token);

	if (log.isTraceEnabled()) {
		log.trace("Iterating through {} realms for PAM authentication", realms.size());
	}

	for (Realm realm : realms) {
		// 直接返回aggregate
		aggregate = strategy.beforeAttempt(realm, token, aggregate);

		if (realm.supports(token)) {

			log.trace("Attempting to authenticate token [{}] using realm [{}]", token, realm);

			AuthenticationInfo info = null;
			Throwable t = null;
			try {
				info = realm.getAuthenticationInfo(token);
			} catch (Throwable throwable) {
				t = throwable;
				if (log.isDebugEnabled()) {
					String msg = "Realm [" + realm + "] threw an exception during a multi-realm authentication attempt:";
					log.debug(msg, t);
				}
			}
			//如果认证成功则info不为null,且包含有principal与credentials
			//afterAttempt方法会将info与aggregate合并,也就是将AuthenticationInfo的principal与credentials
			//分别用一集合存储
			aggregate = strategy.afterAttempt(realm, token, info, aggregate, t);

		} else {
			log.debug("Realm [{}] does not support token {}.  Skipping realm.", realm, token);
		}
	}

	// 检测合并后的AuthenticationInfo中是否含用principal,如果有则返回aggregate
	// 没有则抛出异常认证失败,由此可见只要有一个Realm认证成功则算是认证成功
	aggregate = strategy.afterAllAttempts(token, aggregate);

	return aggregate;
}


上面只分析了AtLeastOneSuccessfulStrategy策略,其它两个请自行查看源码。

假设现在认证成功了,接下来执行DefaultSecurityManager.createSubject方法:

 

protected Subject createSubject(AuthenticationToken token, AuthenticationInfo info, Subject existing) {
	// 创建SubjectContext对象
	SubjectContext context = createSubjectContext();
	// 设置为已认证
	context.setAuthenticated(true);
	// 设置Token
	context.setAuthenticationToken(token);
	// 设置认证通过后的认证信息
	context.setAuthenticationInfo(info);
	if (existing != null) {
		// 设置先前存在的Subject
		context.setSubject(existing);
	}
	return createSubject(context);
}

public Subject createSubject(SubjectContext subjectContext) {
	// 复制SubjectContext,原SubjectContext信息得以保留
	SubjectContext context = copy(subjectContext);

	// 确保SubjectContext与SecurityManager关联
	context = ensureSecurityManager(context);

	// 解析会话,有可能使用Servlet中的Session实现,也可能使用Shiro自己实现的Session
	context = resolveSession(context);

	context = resolvePrincipals(context);

	// 交由DefaultWebSubjectFactory.createSubject重新创建Subject
	Subject subject = doCreateSubject(context);

	// 将Subject中的principal与credentials存储在Session中
	save(subject);

	return subject;
}


个人感觉createSubject重新创建是为了更新一些内部状态,至于为什么也没有去深入了解,望请高人指点一二。

-------------------------------- END -------------------------------

及时获取更多精彩文章,请关注公众号《Java精讲》。

 

 

云原生之家
关注
专栏目录
shiro登录流程源码分析
末贵的CSDN个人博客
09-08 171
分析整个登录流程,以token去向为线索,层层追踪,直到跟我们自定义的realm验证方法结合。
Shiro源码分析----认证流程
云原生之家
12-18 6629
由于本文是基于源码分析Shiro认证流程,所以假设阅读者对Shiro已经有一定的了解,如果对Shiro还不大了解的话,推荐一下博文:跟我学Shiro目录贴 Apache Shiro作为一个优秀的权限框架,其最重要的两项工作:其一是认证,即解决登录的用户的身份是否合法;其二是用户登录后有什么样的权限。本文将基于Shiro源码来剖析Shiro认证流程,只有深层次的理解Shiro认证流程,认
SpringBoot + Shiro登录源码解析
xulifeng1199的博客
10-28 231
项目登录的Controller截图如下: 还是从当前线程取出Subject对象,在启动时候已经放置了Subject对象,所以此处Subject对象不为空,新建一个UsernamePasswordToken对象,把前端用户名、密码传递到其构造函数中, 该对象实现了RememberMeAuthenticationToken接口,有个方法isRememberMe(),表示用户是否希望记住当前登录用户,此处我们设置为true,接着调用Subject的 isAuthenticated方法判断用户是否认证了,如果没有
shiro登录流程大剖析
ikownyou的博客
03-09 5056
关于shiro我会出一个专题进行讲解,相信当家通过开涛博客都不会陌生,今天着重讲下登录流程1.大致流程图如下第一步:用户登录,根据用户登录名密码生产Token UsernamePasswordToken token = new UsernamePasswordToken(username, password); Subject subject = SecurityUtils.getSubject(...
shiro 登录流程源码分析
wangzibai的博客
06-03 234
shiro 登录流程源码分析 获取subjectSecurityUtils.getSubject() 从ThreadContext获取subject 借助ThreadLocal实现线程私有 从线程私有变量的存储map中使用特定key(org.apache.shiro.util.ThreadContext_SUBJECT_KEY)获取subject对象 ThreadLocal#get()是从当前线程保存的私有map拷贝一个返回 ..
Shiro源码分析----授权流程
镜水灵动
03-24 519
在一个用户登录后,即身份认证通过,只能证明该登录身份是合法的,至于具体能访问系统中的什么资源,需要通过授权来控制。一般系统中都是通过用户关联角色、角色再关联权限来实现判断一个用户是否有某资源的使用权限,Shiro也提供了相应的实现权限控制。    Shiro中的权限控制也是通过Filter来实现的,在前面认证流程中讲到,Shiro的DefaultFilterChainManager类会创建Filt...
shiro-rbac-system-master.zip
12-05
标题"shiro-rbac-system-master.zip"表明这是一个基于Shiro权限管理系统的源码包,其中"master"通常代表这是项目的主要分支或版本。"rbac"是"Role-Based Access Control"的缩写,指的是基于角色的访问控制,这是一种...
liu_guo_feng-shiro-demo-master_java_源码.zip
10-18
通过分析这个源码示例,我们可以学习到如何在实际项目中配置和使用Shiro,实现用户认证、授权、会话管理等核心功能,为我们的Java应用构建一套安全可靠的防护体系。同时,对于Shiro的扩展和自定义,例如自定义Realm...
shiro源码分析
06-01
Shiro源码分析将帮助我们理解其工作原理和核心组件。 首先,Shiro的设计理念可以概括为:简单易用且功能强大。Shiro具有三个核心概念:Subject、SecurityManager和Realms。 1. Subject代表了当前与软件交互的用户...
商业源码-编程源码-文渊阁简单新闻公告系统.zip
06-17
业务逻辑层处理业务规则,如新闻发布、审批流程、权限控制等;数据访问层则负责与数据库的交互,确保数据的持久化存储和高效查询。 在技术选型上,考虑到商业源码的普遍性,该系统可能基于常见的开源框架如Spring ...
Jeesite 登录login涉及到shiro验证和授权的流程分析
05-29
实习生阶段:进来公司没任何培训,给了我们几个实习生一个月的时间自学SSM框架、掌握开源JeeSite框架和使用JeeSite开发一个小demo(突然感觉头有点大,没人带)然后自己被分配了做涉及使用shiro登录模块的开发,随时做下笔记,第一次写博客,第一篇博客在此主要分析一下下Jeesite 登录时通过shiro验证和授权的主要流程(关于shrio,先学习下快速入门的使用知识,http://www.cnblogs.com/learnhow/p/5694876.html
基于shiro实现的用户登录系统
11-28
基于shiro实现的用户登录系统,运行sql文件更改数据库连接可直接运行,项目集成了mybatis-plus,shiro,springmvc,角色管理和组管理,非常简单实用,非常适合学习,不用输入验证码可以登录,admin密码123456
shiro登录验证实例
02-03
shiro登录验证实例,下载包虽然是web_exception_project.zip,但是确实是shiro登录验证实例,请放心下载,另外,实例详情请访问博主博客:http://blog.csdn.net/u013142781
shiro login 源码分析
厚积薄发的博客
03-02 439
https://www.cnblogs.com/jkavor/p/7405004.html 优秀博客 http://blog.liuyanzhao.com/article/9224
shiro框架的登录流程
jeff的博客
06-28 1157
在点击“登录”按钮后,首先会调用这个jar包里边的org.apache.shiro.subject这个接口中的void login(AuthenticationToken token) throws AuthenticationException;这个接口,它的实现类在org.apache.shiro.subject.support包中。在执行完这个方法后会执行自定义Realm类(中间过程省略,想...
Shiro(二)——shiro 登录流程、整合 SSM + ShiroShiro 密码加密(编码方式、密码加盐)、JdbcRealm(采取哪个数据作盐)、自定义访问数据库或字段、多 Realm 配置
qq_41824825的博客
01-20 1327
Shiro(二)—— 一、shiro 登录流程 1、shiro 登录流程 二、整合 SSM + Shiro 在 SS SHiro 的基础上导入 mybatis。 1、依赖导入 所有依赖: 2、Spring 配置文件 这里是原有配置代码的基础上添加新的进去,而不是只有这个: 这里注释,因为这一块可以通过注解去注释: 然后 MyRealm 添加注解: 然后自己添加一个实体类,写一个查询方法,接着修改 MyRealm: 到这里为止,就算整合完成了。 三、Shiro 密码加密 1、编码方式 2、密码
shiro登录认证过程
csdn565973850的博客
03-24 3022
shiro登录认证过程 登录方法 可以看到已经获取到了username、password和rememberMe ,为了接下来的认证过程,我们需要获取subject对象,也就是代表当前登录用户,并且要将username和password、rememberMe 两个变量设置到UsernamePasswordToken对象的token中, 调用SecurityUtils.getSubject().lo...
shiro注册登录流程(如何加密加盐)+配置多个Ream+密码加密验证底层分析+Remember使用+不同密码比对器原理(二)
weixin_43189971的博客
07-08 1999
1.shiro注册登录流程(如何加密加盐)+ 2.配置多个Ream 3.密码加密验证底层分析 4.Remember使用 5.不同密码比对器原理
shiro登录过程
w6400409的博客
07-27 277
接触和使用shiro还是有好大一段时间,可惜并没有搞明白其实的原理和机制。因为工作中使用的框架都封装好了,so......并没有去研究。 原来一直猜想的是shiro可以直接连接数据库,验证用户名和密码。但是又没在实体类中找到有什么特殊的标记注解之类的。 就有点好奇了,于是趁这两天工作不是那么紧张了,就跟了下源码。 如有不对,请留言指正。蟹蟹! 红色部分是主要代码; Use
Java私塾《深入浅出学Shiro》- 权限管理实战教程
6. **Shiro的Realms**:讲解Realms在认证中的作用,分析Shiro默认的Realms实现,特别是JdbcRealm的使用,以及如何自定义Realm。 7. **Session管理**:涵盖SessionDAO的概念,Web应用中的Session处理,以及如何...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值