Shiro身份验证----subject提交

最新推荐文章于 2025-07-23 21:26:51 发布
原创 最新推荐文章于 2025-07-23 21:26:51 发布 · 950 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析了Shiro安全框架的登录流程,包括Subject对象的获取、RememberMe功能的验证、Session的处理以及通过SecurityManager进行用户认证的过程。深入探讨了ModularRealmAuthenticator在realm验证中的作用及登录成功的Subject创建。

  

获取subject对象

1、SecurityUtils.getSubject()

2、调用的是ThreadContext

2、从ThreadContext获取Subject

1、其内部有静态创建了ThreadLocal<Map<Object,Object>>

2、获取subject的key:org.apache.shiro.util.ThreadContext_SUBJECT_KEY

3、WebDelegationgSubject

3、调用login方法

1、创建usernamepasswordtoken

此处验证Remember是否启用

             2、进入login方法

1、clear run as identities internal

清除内部运行身份

2、获取session,无则不创建,有删除RUN_AS_PRINCIPALS_SESSION_KEY的值

注意:

获取session方法在DelegationgSubject类中,

4、调用securitymanager的login方法:

该实例对象为DefaultSecurityManager

1、info = authenticate(token);

该步为了获取用户真实信息

1、获取realms,并进行验证

2、ModularRealmAuthenticator为realm管理

2、返回info若是为空则表示验证不成功

notifyfail(token, info);

成功则:notifySuccess(token, info);

此处有AuthenticationListener监听器:

监听验证登录情况:

可以扩展ip限制登录次数,该用用户短时间不能在登录

5、返回到login方法执行createsubject(token,info,subject)

6、

1、创建SubjectContext:

subject容器:1、sessionid等所有信息

subject容器:1、设置用户验证成功true

2、存入token和info

3、存入existing即subject

7、调用createSubject(context)

以下是方法讲解:

1、copy将context中属性全部复制到DefaultSecurityManager中的DefaultSubjectcontext

2、查看容器里有没有securitymanager,无则从ThreadContext创建

3、查看容器里面有没有session(暂时不懂其方法)

4、查看容器里面有没有用户信息

5、通过context创建subuject

1、

2、查看容器里有没有securitymanager,无则从ThreadContext创建

最终:创建WebDelegatingSubject

注意此处的SessionEnabled修改为true了,之前所有创建session都为false导致创建失败

Entodie
关注
Apache Shiro源码(SecurityUtils)
快乐的小码农
04-21 1081
SecurityUtils主要是为了获取Subject的,然后通过Subject进行一系列的验证动作。
Shiro 入门教程 - Shiro Web 集成
smart_an的专栏
07-19 881
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
shiro_动态更新shirosubject信息
weixin_44826433的博客
09-21 1027
需求: 当前登录用户切换部门之后,更新subject中的用户信息,之后通过subject获取登录用户信息,需要是切换部门之后的用户信息 解决: @ApiOperation(value = "更新用户信息", notes = "更新用户信息") @GetMapping("/setUser") public void setUser(@RequestParam("companyIds") String companyIds, @RequestPa
No SecurityManager accessible to the calling code, either bound to the org.apache.shiro.util.Thread
qq_36289485的博客
08-26 9558
在使用Shiro前提下,开始是想在controller使用SecurityUtils.getSubject().getPrincipal()中获取当前用户信息,但结果报红了 org.springframework.beans.factory.BeanCreationException: Error creating bean with name ‘studentController’ defined in file [H:\lxt\target\classes\com\dang\controller\St
Java shiro框架,切换身份后刷新subject的用户属性
weixin_39093006的博客
11-24 696
【代码】Java shiro框架,切换身份后刷新subject的用户属性。
shiro的SecurityUtils.getSubject() 使用说明
最新发布
花花鱼的专栏
07-23 1191
用户认证(登录 / 登出)权限检查(角色 / 权限验证)会话管理身份信息获取合理使用这个方法,可以在应用的任何层次(Controller、Service、工具类)安全地访问当前用户信息,实现细粒度的权限控制。六、一点说明1)RememberMe失效,不一定是配制的问题。
shiro-root-1.4.1-source-release.zip
06-10
如果匹配,Shiro 认为用户已通过身份验证。 2. **授权(Authorization)**:即访问控制,确定已认证的用户可以访问哪些资源。Shiro 提供灵活的权限表达式语言,允许开发者精细控制权限,如“用户A可以查看部门B的...
精选资源
shiro-jpa-realms:用于授权、身份验证和缓存管理器的 Shiro 示例,以及 Jse 中的自定义 jpa 领域示例
06-21
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份验证、授权、会话管理和加密服务。在这个名为 "shiro-jpa-realms" 的项目中,它结合了 JPA(Java Persistence API)来实现自定义的安全管理。下面我们将...
liu_guo_feng-shiro-demo-master_java_源码.zip
10-18
Apache Shiro是一款强大且易用的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能,广泛应用于各类Java应用中。本文将深入探讨基于liu_guo_feng-shiro-demo-master_java的源码,揭示Shiro的核心机制和...
shiro是什么-.docx
11-24
当用户登录时,Shiro会验证凭证,如果验证成功,`SecurityManager`会将用户权限信息加载到`Subject`中。之后,每当用户尝试访问资源时,Shiro都会通过`Subject`检查用户是否有足够的权限进行操作。 总的来说,...
Shiro的SecurityUtils.getSubject()是如何获取到正确的用户信息
qq_61592687的博客
02-09 4462
Shiro的SecurityUtils.getSubject()是如何获取到正确的用户信息的呢?每次调用SecurityUtils.getSubject()方法,它会去当前所处线程获取用户信息,组装subject返回。如果是没有登录过的,他就会为当前访问的JSESSIONID创建一个subject,只是这个的就是未登录状态。
关于shiro session失效报错问题
热门推荐
小牛的成长史
08-03 4万+
最近做了一个项目,要用到shiro,做完之后发现有个异常经常发生,经过多天的研究,终于得以解决 登录的时候异常信息: org.apache.shiro.session.UnknownSessionException: There is no session with id [4e8fe40a-6347-4c53-b273-829889656f6e] at org.apache.shi
shiro 登录流程源码分析
wangzibai的博客
06-03 293
shiro 登录流程源码分析 获取subjectSecurityUtils.getSubject() 从ThreadContext获取subject 借助ThreadLocal实现线程私有 从线程私有变量的存储map中使用特定key(org.apache.shiro.util.ThreadContext_SUBJECT_KEY)获取subject对象 ThreadLocal#get()是从当前线程保存的私有map拷贝一个返回 ..
shiro源码分析
luxinghong199106的博客
04-24 518
接上一篇,https://blog.csdn.net/luxinghong199106/article/details/105707188 这一篇主要通过2个流程,一个登录流程和一个登陆成功后的访问流程来看下 subject 的创建过程。因为subjectshiro 的核心,搞懂了它的创建过程,基本就搞懂了 shiro 的核心逻辑。(这一部分代码是基于传统表单验证的,不是基于JWT的) ...
Shiro中的session学习,在线用户显示、用户下线
程序员小嗨
06-14 3473
一、代码示例 import org.apache.shiro.session.Session; import org.apache.shiro.session.mgt.eis.SessionDAO; import org.apache.shiro.subject.SimplePrincipalCollection; import org.apache.shiro.subject.suppo...
【已解决】org.apache.shiro.UnavailableSecurityManagerException
qq_45256357的博客
12-19 1761
【已解决】org.apache.shiro.UnavailableSecurityManagerException
shiroThreadContext和ThreadLocal
qq_41358574的博客
02-19 2753
文章目录问题ThreadContextThreadLocal 问题 今天又看了一下之前用shiro框架写的项目,仔细看了一下里面的源码,突然有一个好奇点,我们一般用的是SecurityUtils.getSubject();方法来获得当前用户的,这个类是shiro下自带的类,也就是说在我们登录以后shiro已经封装了登录过的对象到内部,于是我想到,如果不同的用户同时访问登录接口进行登录,shiro是怎么判断这个会话是哪个用户呢?而且我看到它内部并不是生成一个ioc bean交给spring管理,可以说shi
No SecurityManager accessible to the calling code, either bound to the org.apache.shiro.util.ThreadC
m0_48703915的博客
03-24 486
No SecurityManager accessible to the calling code, either bound to the org.apache.shiro.util.ThreadContext or as a vm static singleton
我的shiro之旅: 十二 shiro 踢出用户(同一用户只能一处登录)
Dylan的博文
03-04 2万+
博客已移至 http://blog.gogl.top 看了一下官网,没有找到关于如何控制同一用户只能一处登录的介绍,网上也没有找到相关的文章。可能有些人会记录用户的登录信息,然后达到踢出用户的效果。这里介绍一个更简单的方法。 如果我们跟shiro的源码,我们可以看到。当用户登录成功后,shiro会把用户名放到session的attribute中,key为DefaultSubjectContex...
Shiro源码学习包:shiro-example-master.zip
Apache Shiro是一个功能强大、易于使用的Java安全框架,它执行身份验证、授权、密码学和会话管理。通过阅读和分析名为“shiro-example-master.zip”的Shiro源码学习资源包,开发者可以深入了解Shiro的工作原理和使用...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值