shiro 用户认证源码分析

最新推荐文章于 2022-07-16 13:46:55 发布
最新推荐文章于 2022-07-16 13:46:55 发布
阅读量228 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: shiro 深入浅出shiro 文章标签: 用户认证 shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013995395/article/details/90746698

定义接口获取用户用户名密码 AuthenticationToken,在

子类实现:

 

Authenticator接口用来认证用户,可以看出参数就是AutenticationToken,从中获取用户名密码进行验证

AuthenticationInfo和AuthenticationToken比较相似,AuthenticationInfo是已经验证过的保存的用户信息,而AuthenticationToken是第三方通过login发送过来等待验证的用户信息。SaltedAuthenticationInfo定义了获取盐的方法,MergableAuthenticationInfo定义了把一个AuthenticationInfo和现有的AuthenticationInfo合并的方法。

LogoutAware当用户退出的时候的回调接口

AbstractAuthenticator抽象类,实现了接口方法authentication(AuthentiationToken),调用了模板方法doAuthentication(AuthenticationToken)来验证用户,如果成功调用notifySuccess循环调用集合listeners中的监听器,调用监听器的onSuccess方法,如果失败掉用notifyFailure方法,调用监听器的onFailure方法,同时抛出认证异常。实现了接口方法onLogout,在此方法中调用了notifyLogout遍历集合listeners中的监听器,调用监听器的onLogout方法。

 

用户认证监听器接口:

ModularRealmAuthenticator是接口Authenticator的默认实现类,主要有以下功能:

  1:实现父类模板方法:doAuthenticator(AuthenticationToken) ,根据realm数量调用doSingleRealmAuthentication或者doMultiRealmAuthentication方法

2:重写父类onLogout,调用父类onLogout,然后遍历调用realm集合中的realm的onLogout方法

 protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
        //验证realm集合存在
        assertRealmsConfigured();
        Collection<Realm> realms = getRealms();
        if (realms.size() == 1) {
            return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);
        } else {
            return doMultiRealmAuthentication(realms, authenticationToken);
        }
    }
 protected AuthenticationInfo doSingleRealmAuthentication(Realm realm, AuthenticationToken token) {
        if (!realm.supports(token)) {
            String msg = "Realm [" + realm + "] does not support authentication token [" +
                    token + "].  Please ensure that the appropriate Realm implementation is " +
                    "configured correctly or that the realm accepts AuthenticationTokens of this type.";
            throw new UnsupportedTokenException(msg);
        }
        //最终调用的realm的getAuthenticationInfo获取AuthenticationInfo
        AuthenticationInfo info = realm.getAuthenticationInfo(token);
        if (info == null) {
            String msg = "Realm [" + realm + "] was unable to find account data for the " +
                    "submitted AuthenticationToken [" + token + "].";
            throw new UnknownAccountException(msg);
        }
        return info;
    }
   protected AuthenticationInfo doMultiRealmAuthentication(Collection<Realm> realms, AuthenticationToken token) {

        AuthenticationStrategy strategy = getAuthenticationStrategy();

        AuthenticationInfo aggregate = strategy.beforeAllAttempts(realms, token);

        if (log.isTraceEnabled()) {
            log.trace("Iterating through {} realms for PAM authentication", realms.size());
        }

        for (Realm realm : realms) {

            aggregate = strategy.beforeAttempt(realm, token, aggregate);

            if (realm.supports(token)) {

                log.trace("Attempting to authenticate token [{}] using realm [{}]", token, realm);

                AuthenticationInfo info = null;
                Throwable t = null;
                try {
                    info = realm.getAuthenticationInfo(token);
                } catch (Throwable throwable) {
                    t = throwable;
                    if (log.isDebugEnabled()) {
                        String msg = "Realm [" + realm + "] threw an exception during a multi-realm authentication attempt:";
                        log.debug(msg, t);
                    }
                }

                aggregate = strategy.afterAttempt(realm, token, info, aggregate, t);

            } else {
                log.debug("Realm [{}] does not support token {}.  Skipping realm.", realm, token);
            }
        }

        aggregate = strategy.afterAllAttempts(token, aggregate);

        return aggregate;
    }

 

public void onLogout(PrincipalCollection principals) {
        super.onLogout(principals);
        Collection<Realm> realms = getRealms();
        if (!CollectionUtils.isEmpty(realms)) {
            for (Realm realm : realms) {
                if (realm instanceof LogoutAware) {
                    ((LogoutAware) realm).onLogout(principals);
                }
            }
        }
    }

 

 

 

Shiro登录身份认证(从SecurityUtils.getSubject().login(token))到Realm的doGetAuthenticationInfo
╃緣分天空╃
06-23 4万+
ssm框架下,controller接收到登录请求交给Service并开始处理流程:1.Service的login方法:@Service public class SysUserServiceImpl implements SysUserService { @Autowired SysUserMapper mapper; @Override public Login...
shiro权限源码分析
最新发布
GSON的博客
05-17 262
shiroFilter 这个 Bean 可以看出,系统使用 OAuth2Filter 这个过滤器对核心模块资源进行了过滤。我们先来看看登录是怎么做的。核心模块是由 Shiro 来做认证和授权的,我们先来看 config 下的 ShiroConfig.java。首先验证用户是否存在,密码是否正确,然后创建token,并保存至数据库。
Shiro认证流程源码分析
Heling's Blog
10-04 178
创建认证测试类 创建TestAuthenticator类,代码如下: public class TestAuthenticator { public static void main(String[] args) { //1.创建安全管理器对象 DefaultSecurityManager securityManager = new DefaultSecurityManager(); //2.给安全管理器设置realm securi
shiro 权限认证源码分析
u013995395的博客
06-03 326
权限认证关于注解的源码分析请参考我的另一篇文章 https://blog.youkuaiyun.com/u013995395/article/details/90718739 权限认证默认实现类:ModularRealmAuthorizer,可以设置权限解析器,角色解析器。 调用Authorizer接口的isPermitted方法验证,最终其实是realm实现类验证 public bool...
Shiro系列六:认证源码解析
苍穹尘的博客
06-07 346
1、SecurityManager对象的生成。SecurityManager对象是在监听器里面生成的。 2、根据我们的shiroEnvironmentClass变量的值org.apache.shiro.web.env.IniWebEnvironment,初始化一个shiro环境对象。 3、创建一个SecurityManager对象,并将其绑定到刚才通过字节码创建的Shiro环境对象中。 4、查...
Shiro 多realm只抛AuthenticationException异常的解决方案
KingStarMemory
06-06 3990
多realm认证源码 protected AuthenticationInfo doMultiRealmAuthentication(Collection<Realm> realms, AuthenticationToken token) { AuthenticationStrategy strategy = getAuthenticationStrategy(); ...
shiro源码分析
06-01
Shiro源码分析将帮助我们理解其工作原理和核心组件。 首先,Shiro的设计理念可以概括为:简单易用且功能强大。Shiro具有三个核心概念:Subject、SecurityManager和Realms。 1. Subject代表了当前与软件交互的用户...
Shiro1.2.2_源码(压缩包)
05-29
通过对 Shiro1.2.2 的源码分析,我们可以了解到它如何处理各种安全问题,以及如何构建高效、灵活的安全架构。同时,源码的学习有助于我们理解和解决在实际开发中遇到的安全问题,提升我们的编程技能。
跟我学shiro文档及源码
07-17
在《跟我学Shiro》这本书中,作者深入浅出地讲解了 Shiro 的核心概念与实际应用场景,配合源码分析,有助于读者更好地理解和掌握 Shiro 的工作原理。 1. **Shiro 概述** - Shiro 的设计目标是简化应用安全开发,它...
shirodemo:SpringBoot集成Shiro博客源码-源码客
03-24
这个项目对于学习如何在SpringBoot应用中实现用户认证和授权功能非常有帮助。 【描述】"shirodemo:SpringBoot集成Shiro博客源码"简洁地表明了这个项目的重点,即它是围绕SpringBoot和Shiro这两个关键组件构建的。...
Shiro身份认证流程
lt_BeiMo的博客
07-27 273
shiro全局设置 1.获取SecurityManager工厂,读取ini文件 Factory<org.apache.shiro.mgt.SecurityManager> factory =new IniSecurityManagerFactory(configFile); 2.通过ini初始化实例,将配置好的的realm注入securityManager实例 org.apache.shiro.mgt.SecurityManager securityManager = factory..
Shiro 系列 05】Shiro 中多 Realm 的认证策略问题
Java极客技术
10-28 405
点击蓝色“Java极客技术”关注我哟加个“星标”,天天早上08:14,一起快乐成长上篇文章和小伙伴们分享了 JdbcRealm,本文我想和小伙伴们聊聊多 Realm 的...
shiro源码(二)——login方法源码解读
敲代码的小小酥的博客
12-31 3522
一、shiro认证流程源码 使用shiro框架做登录,只需调用subject的login方法即可,代码如下: public AjaxResult ajaxLogin(String username, String password, Boolean rememberMe) { UsernamePasswordToken token = new UsernamePasswordToken(username, password, rememberMe); Subject
Shiro用户名密码或手机号短信登录(多realm认证
热门推荐
张育嘉的博客
09-13 1万+
在登录认证中,经常需要实现用户名密码和手机号验证码这两种登录方式。 最近学了Shiro,所以在这里记录下。 用户名密码使用的令牌自然是UsernamePasswordToken,我们可以继承UsernamePasswordToken,再添加上手机号属性,在不同的控制器中传入Token,然后由Realm判断当前的Token属于UsernamePasswordToken还是UsernamePa...
Spring继承Shiro多Realm情况下导致只抛出AuthenticationException解决办法
图图不糊涂的博客
01-15 753
1、添加ModularRealmAuthenticator的继承类: package cn.cfae.bcbbs.common.security.realms; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apach
shiro配置 在springboot中前后端分离中,集成shiro认证授权框架
easy4use
09-21 5641
一:介绍 Apache Shiro是Java的一个安全框架。由于它相对小而简单,现在使用的人越来越多。 Authentication:身份认证/登录,验证用户是不是拥有相应的身份。 Authorization:授权,即权限验证,验证某个已认证用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具...
Shiro原理及源码分析
lipengyao2010的专栏
07-16 2162
安全管理器的创建是依赖于认证、授权,缓存、数据源等诸多组件的,你可以各自创建功能组件对象然后交给SecurityManger,配置的方式,选择很多,比如你可以通过SpringXML配置,也可以用YAML文件或者Properties文件配置等,领域对象,在Shiro和你的应用程序安全数据(比如登录的用户名、密码,用户的权限等)之间架起一座沟通的桥梁,安全管理器要验证用户身份,或者要获取用户对应的权限,是分别通过认证组件(),授权找授权组件(),会话找会话组件(.........................
Shiro源码研究之登录与登出
夫礼者的专栏
12-19 3122
接前文,在拿到Subject实例之后,我们经常调用的就是其login和logout方法了。本文就让我们好好看看这两个方法,让心理有个谱。 再次强调,本人阅读的Shiro版本为1.3.2。 1. 前言 我们拿到的Subject实例,在web环境下的其实际类型是WebDelegatingSubject。而WebDelegatingSubject的基类正是DelegatingS...
基于nutz实现的Shiro认证与权限控制源码分析
本知识点将会详述如何结合Shiro和nutz,以及在实际的博客应用中具体怎样实现用户认证和授权。 标签:“shiro” 知识点:这个标签表明本知识点专门聚焦于Shiro安全框架。Shiro的适用场景非常广泛,可以在Web应用、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值