shiro源码分析02 -- SubjectContext

最新推荐文章于 2022-05-02 14:14:37 发布
原创 最新推荐文章于 2022-05-02 14:14:37 发布 · 665 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入剖析Shiro框架中Subject构建过程,从SecurityUtils获取Subject机制,到SubjectContext属性组织,直至SubjectFactory构建实现,全面解读Subject创建原理。

如何构建Subejct

上一篇我们讲了Subject这个类,知道了在每一次访问时都会创建一个新的subject,而这个subject会绑定到ThreadContext上,然后通过SecurityUtils在程序的任何地方调用getSubject时都会返回同一个subject。以用户登录时的例子分析源码:

通过查看SecurityUtils源码可以看到,它是通过从ThreadContext上获取Subject,如果存在直接返回,否则通过Subject.Builder().buildSubject()去创建Subject,创建后再将Subject绑定到ThreadContext

 接着通过查看Subject源码发现,其实它是一个interface,其中声明了一个Builder类

 

Builder类中有这么一个方法buildSubject(),它通过shiro核心组件SecurityManager调用createSubject()去创建需要的Subject,其中通过传入参数可以知道,它是使用SubjectContext来构建我们需要的Subject

 

 查看SubjectContext源码可以知道其实它就是一个Map

 DefaultSubjectContext是SubjectContext的实现类,又是MapContext的子类

 而这一系列过程都是为了将构建subject的所有属性都组织到一起,然后传递给一个subjectFactory,用于构建一个subject

在DefaultSecurityManager中,通过doCreateSubject()方法将SubjectContext传递给SubjectFactory

 

通过SubjectFactory构建Subject,返回Subject的实现类DelegatingSubject,以及DelegatingSubject的子类WebDelegatingSubject

 

shiro源码分析----Subject与SubjectContext
weixin_43376918的博客
04-29 591
shiro源码分析----Subject与SubjectContext subejct创建的三种方式: 使用SecurityUtils类在任何地方都可以获取Subject; //入口方法: SecurityUtils.getSubject(); 用户每一次登陆,调用Subject.login(); //Subject.login() //会调用DefaultSecurityManager中的login()方法;会调用createSubject(..); //入口方法; Subject logg
Shiro源码分析(三)——获取Subject
MIKE2333的博客
11-14 2589
2021SC@SDUSC
shiro学习02-用户以及登录-SubjectContext
iteye_14612的博客
02-25 313
上一节说的是subject,这次说一下如何构成subejct——使用subjectContext类。这个类就是一个map,然后将构建subject的所有属性都组织到一起,然后传递给一个subjectFactory,用于构成一个subject。 他的里面也含有subject,并且每一次在创建新的subject的时候都会去尝试调用getSubject方法以获得原来的subject,但是我在set...
WebSubjectContext接口
iteye_10899的博客
11-08 298
WebSubjectContext接口主要定义了,它继承了SubjectContext和RequestPairSource接口,现对其解析如下: 1.RequestPairSource接口 可以参考RequestPairSource接口源码解析,主要定义了获取request和response信息。 2.SubjectContext接口 可以参考SubjectContext接口源码解析,...
shiro subject源码分析
u013995395的博客
06-03 360
核心接口Subject,通常我们会将Subject对象理解为一个用户,同样的它也有可能是一个三方程序,它是一个抽象的概念,可以理解为任何与系统交互的“东西”都是Subject。可以进行登录,退出,权限验证,获取用户信息,session. principal代表什么那? 解释: 1)可以是uuid 2)数据库中的主键 3)LDAP UUID或静态DN 4)在所有用户帐户中唯一的字符串用...
Shiro源码分析----认证流程
云原生之家
12-18 6779
由于本文是基于源码分析Shiro认证流程,所以假设阅读者对Shiro已经有一定的了解,如果对Shiro还不大了解的话,推荐一下博文:跟我学Shiro目录贴 Apache Shiro作为一个优秀的权限框架,其最重要的两项工作:其一是认证,即解决登录的用户的身份是否合法;其二是用户登录后有什么样的权限。本文将基于Shiro源码来剖析Shiro的认证流程,只有深层次的理解Shiro认证流程,认
shiro源码分析04 -- SubjectDAO
Layduo
06-28 779
前面的章节说完了Subject的创建过程,创建完Subject需要将其保存起来,而保存的过程则由SubjectDAO完成。既然每一次访问都会创建一个新的Subject,那么为什么还需要SubjectDAO来存储呢?其实SubjectDAO做的事情很少,没有存储Subject,只是将当前Subject的authenticated(是否校验成功)和principal(身份)放入到session中。 Subject的生命周期: 每一次访问都会创建一个新的subject对象。 将创建的subject对象绑定到
shiro源码分析
06-01
Shiro源码中,许多类都实现了resolve方法,这样的设计模式保证了在运行时可以动态地获取所需的资源,而不需要预先全部配置。这种方式提供了灵活性和可扩展性,允许开发者在不同的环境下自定义获取对象的逻辑。 在...
17-java安全——shiro1.2.4反序列化分析(CVE-2016-4437)
网络安全
09-06 2171
漏洞原理 在shiro1.2.4版本中,用户认证信息rememberMe通常会进行Base64编码和AES加密存储在cookie中,当shiro安全框架对用户身份进行认证时,会对rememberMe的内容进行Base64解码和AES解密,然后反序列化还原成java对象,由于rememberMe可控,攻击者则可以利用rememberMe来构造恶意数据,产生反序列化漏洞。 漏洞环境 shiro1.2.4 jdk7u80 漏洞复现 在github下载shiro1.2.4版本,下载链接:
DefaultWebSubjectContext
iteye_10899的博客
11-08 518
DefaultWebSubjectContext类主要定义了获取request,设置request,解析request,获取response,设置response,解析response等操作,它继承了DefaultSubjectContext类,实现了WebSubjectContext接口,现对其接下如下: 1.WebSubjectContext接口 可以参考WebSubjectConte...
shiro登录,多个项目session被覆盖问题
KF30350的博客
11-17 5708
有两个项目都使用了shiro权限校验框架,且部署在一台服务器下两个Tomcat中。 测试时发现在一个浏览器中,登录A后,再登录B。这时A失效,需要重新登录,且登录后B又失效。查看log后发现是cookieId相同的原因。先排查tomcat。 在tomcat下的server.xml中添加sessionCookieName,A项目设置为A_SESSION,B项目设置为B_SESSION。测试后发现问
Shiro学习笔记(一)ThreadContext源码解析
热门推荐
zch-兴趣使然-blog
10-25 1万+
最近有空,看了下shiro源码,这里写下来用以加深记忆。本篇记录下ThreadContext类的源码解析。 本篇用到的ThreadLocal及ThreadLocalMap的相关知识戳这里。 首先看下ThreadContext类的说明: /** * A ThreadContext provides a means of binding and unbinding objects to th...
Shiro源码剖析——Subject的创建与获取(一次完整的请求执行流程)
qq_25046827的博客
05-02 3654
文章目录一、AbstractShiroFilter二、createSubject(request, response)1、new Builder(this.getSecurityManager(), request, response)2、buildWebSubject()1)this.copy(SubjectContext subjectContext)2)this.ensureSecurityManager(context)3)this.resolveSession(context)4)this.res
Shiro学习(三)——关于Subject的创建
sadoshi的专栏
10-10 1370
概述 本文属于源码分析,只想了解Shiro使用的读者请略过。 Subject接口是Shiro中非常重要的接口,客户端通常会使用Subject的方法进行登录、登出、鉴权、角色判断等功能。在《Shiro学习(一)——Shiro配置与快速开始》中,我们就使用了其login接口。Subject的功能似乎非常强大,那么它到底是什么,为什么能做这么多事呢,值得我们分析一下它的来龙去脉。 ...
shiro的ThreadContext和ThreadLocal
qq_41358574的博客
02-19 2738
文章目录问题ThreadContextThreadLocal 问题 今天又看了一下之前用shiro框架写的项目,仔细看了一下里面的源码,突然有一个好奇点,我们一般用的是SecurityUtils.getSubject();方法来获得当前用户的,这个类是shiro下自带的类,也就是说在我们登录以后shiro已经封装了登录过的对象到内部,于是我想到,如果不同的用户同时访问登录接口进行登录,shiro是怎么判断这个会话是哪个用户呢?而且我看到它内部并不是生成一个ioc bean交给spring管理,可以说shi
Shiro使用和源码分析---5
conansonic的博客
11-10 4256
getSubject分析上一章看完了DefaultWebSecurityManager的构造函数,首先来分析getSubject函数。getSubject定义在AccessControlFilter中。getSubject protected Subject getSubject(ServletRequest request, ServletResponse response) {
shiro源码分析(二)Subject和Session
weixin_34130389的博客
02-07 568
2019独角兽企业重金招聘Python工程师标准>>> ...
tomcat和shiro的关于session的问题
〖我的第七章 〗的专栏
04-03 2477
tomcat重启之后,session不会失效,会将session保存在本地文件中。详见https://blog.youkuaiyun.com/li2054/article/details/78470072解决tomcat服务器重启之后session不失效的问题。 所以在使用shiro的时候就出现了一个问题,调用的subject.isAuthenticated()方法的时候,会发...
Shiro源码分析之Subject和SecurityManager
不忘初心,方能始终。
01-30 3366
Subject 毫无疑问,Subject是Shiro最重要的一个概念。 “Subject”只是一个安全术语,意味着应用程序用户的特定于安全性的“视图”。Shiro Subject实例代表单个应用程序用户的安全状态和相关操作。 创建 初次创建是在AbstractShiroFilter#doFilterInternal方法中: final Subject subject = cre
Shiro源码学习包:shiro-example-master.zip
通过阅读和分析名为“shiro-example-master.zip”的Shiro源码学习资源包,开发者可以深入了解Shiro的工作原理和使用方法。接下来,我将详细介绍该资源包中可能包含的知识点,以及如何使用这些知识点进行学习。 ### ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值