Shiro源码学习之一

最新推荐文章于 2021-06-23 21:52:43 发布
最新推荐文章于 2021-06-23 21:52:43 发布
阅读量1.7k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/unix21/article/details/50888853
版权
本文详细解析了Shiro框架中SecurityManager的创建过程,包括Maven依赖、源码分析,重点关注createInstance()、getIni()、createSecurityManager()等关键方法。同时,探讨了Subject的获取以及UsernamePasswordToken的使用。通过对Shiro源码的学习,有助于深入了解其内部工作机制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一.最基本的使用


1.Maven依赖

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.2.4</version>
        </dependency>
        <dependency>  
            <groupId>org.slf4j</groupId>  
            <artifactId>slf4j-api</artifactId>  
            <version>1.7.13</version>  
        </dependency>  
        <dependency>  
            <groupId>org.slf4j</groupId>  
            <artifactId>slf4j-log4j12</artifactId>  
            <version>1.7.13</version>  
        </dependency>

2.配置文件 

[users]
user1 = http://blog.youkuaiyun.com/unix21
admin1 = 11111


3.调用代码 
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

public class HelloShiro {
    private static final Logger logger =  LoggerFactory.getLogger(HelloShiro.class);
    
    public static void main(String[] args) {
        // 初始化 SecurityManager
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
 
        // 获取当前用户
        Subject subject = SecurityUtils.getSubject();
 
        // 登录
        UsernamePasswordToken token = new UsernamePasswordToken("user1", "http://blog.youkuaiyun.com/unix21");
        try {
            subject.login(token);
        } catch (AuthenticationException ae) {
            logger.info("登录失败!");
            return;
        }
        logger.info("登录成功!Hello " + subject.getPrincipal());
 
        // 注销
        subject.logout();
    }
}


参考:Shiro 那点事儿

跟我学Shiro目录贴


二.源码学习

1.SecurityManager

SecurityManager securityManager = factory.getInstance();


进入public T getInstance()


进入public T createInstance()

public T createInstance() {
        Ini ini = resolveIni();

        T instance;

        if (CollectionUtils.isEmpty(ini)) {
            log.debug("No populated Ini available.  Creating a default instance.");
            instance = createDefaultInstance();
            if (instance == null) {
                String msg = getClass().getName() + " implementation did not return a default instance in " +
                        "the event of a null/empty Ini configuration.  This is required to support the " +
                        "Factory interface.  Please check your implementation.";
                throw new IllegalStateException(msg);
            }
        } else {
            log.debug("Creating instance from Ini [" + ini + "]");
            instance = createInstance(ini);
            if (instance == null) {
                String msg = getClass().getName() + " implementation did not return a constructed instance from " +
                        "the createInstance(Ini) method implementation.";
                throw new IllegalStateException(msg);
            }
        }

        return instance;
    }


进入protected Ini resolveIni() 
protected Ini resolveIni() {
        Ini ini = getIni();
        if (CollectionUtils.isEmpty(ini)) {
            log.debug("Null or empty Ini instance.  Falling back to the default {} file.", DEFAULT_INI_RESOURCE_PATH);
            ini = loadDefaultClassPathIni();
        }
        return ini;
    }


public Ini getIni()


ini是一个自定义的Class 

public class Ini implements Map<String, Ini.Section> {

    private static transient final Logger log = LoggerFactory.getLogger(Ini.class);

    public static final String DEFAULT_SECTION_NAME = ""; //empty string means the first unnamed section
    public static final String DEFAULT_CHARSET_NAME = "UTF-8";

    public static final String COMMENT_POUND = "#";
    public static final String COMMENT_SEMICOLON = ";";
    public static final String SECTION_PREFIX = "[";
    public static final String SECTION_SUFFIX = "]";

    protected static final char ESCAPE_TOKEN = '\\';

    private final Map<String, Section> sections;

    /**
     * Creates a new empty {@code Ini} instance.
     */
    public Ini() {
        this.sections = new LinkedHashMap<String, Section>();
    }

跳出protected Ini resolveIni()

回到public T createInstance()



进入protected SecurityManager createInstance(Ini ini)



进入public Section getSection(String sectionName)



进入private static String cleanName(String sectionName)

private static String cleanName(String sectionName) {
        String name = StringUtils.clean(sectionName);
        if (name == null) {
            log.trace("Specified name was null or empty.  Defaulting to the default section (name = \"\")");
            name = DEFAULT_SECTION_NAME;
        }
        return name;
    }


org.apache.shiro.util的StringUtils


EMPTY_STRING是StringUtils定义的静态常量

public class StringUtils {
    public static final String EMPTY_STRING = "";
    public static final char DEFAULT_DELIMITER_CHAR = ',';
    public static final char DEFAULT_QUOTE_CHAR = '"';
out返回"main"


private static String cleanName(String sectionName)返回"main"



回到public Section getSection(String sectionName)


ini.getSection返回null回到private SecurityManager createSecurityManager(Ini ini)


又到public Section getSection(String sectionName)返回null

public Section getSection(String sectionName) {
        String name = cleanName(sectionName);
        return sections.get(name);
    }

回到private SecurityManager createSecurityManager(Ini ini)


进入createSecurityManager

@SuppressWarnings({"unchecked"})
    private SecurityManager createSecurityManager(Ini ini, Ini.Section mainSection) {

        Map<String, ?> defaults = createDefaults(ini, mainSection);
        Map<String, ?> objects = buildInstances(mainSection, defaults);

        SecurityManager securityManager = getSecurityManagerBean();

        boolean autoApplyRealms = isAutoApplyRealms(securityManager);

        if (autoApplyRealms) {
            //realms and realm factory might have been created - pull them out first so we can
            //initialize the securityManager:
            Collection<Realm> realms = getRealms(objects);
            //set them on the SecurityManager
            if (!CollectionUtils.isEmpty(realms)) {
                applyRealmsToSecurityManager(realms, securityManager);
            }
        }

        return securityManager;
    }


进入createDefaults

    protected Map<String, ?> createDefaults(Ini ini, Ini.Section mainSection) {
        Map<String, Object> defaults = new LinkedHashMap<String, Object>();

        SecurityManager securityManager = createDefaultInstance();
        defaults.put(SECURITY_MANAGER_NAME, securityManager);

        if (shouldImplicitlyCreateRealm(ini)) {
            Realm realm = createRealm(ini);
            if (realm != null) {
                defaults.put(INI_REALM_NAME, realm);
            }
        }

        return defaults;
    }


protected SecurityManager createDefaultInstance() {
        return new DefaultSecurityManager();
    }
public DefaultSecurityManager() {
        super();
        this.subjectFactory = new DefaultSubjectFactory();
        this.subjectDAO = new DefaultSubjectDAO();
    }
public SessionsSecurityManager() {
        super();
        this.sessionManager = new DefaultSessionManager();
        applyCacheManagerToSessionManager();
    }
public AuthorizingSecurityManager() {
        super();
        this.authorizer = new ModularRealmAuthorizer();
    }
public AuthenticatingSecurityManager() {
        super();
        this.authenticator = new ModularRealmAuthenticator();
    }
public RealmSecurityManager() {
        super();
    }
最终是个空方法 

public abstract class CachingSecurityManager implements SecurityManager, Destroyable, CacheManagerAware {
    private CacheManager cacheManager;
    public CachingSecurityManager() {
    }


...之后
回到createDefaults


protected boolean shouldImplicitlyCreateRealm(Ini ini)

protected boolean shouldImplicitlyCreateRealm(Ini ini) {
        return !CollectionUtils.isEmpty(ini) &&
                (!CollectionUtils.isEmpty(ini.getSection(IniRealm.ROLES_SECTION_NAME)) ||
                        !CollectionUtils.isEmpty(ini.getSection(IniRealm.USERS_SECTION_NAME)));
    }

回到createDefaults进入createRealm


IniRealm声明

public class IniRealm extends TextConfigurationRealm {

    public static final String USERS_SECTION_NAME = "users";
    public static final String ROLES_SECTION_NAME = "roles";

    private static transient final Logger log = LoggerFactory.getLogger(IniRealm.class);

    private String resourcePath;
    private Ini ini; //reference added in 1.2 for SHIRO-322

    public IniRealm() {
        super();
    }

调用super()的super()



实例化LinkedHashMap和读写锁ReadWriteLock


回到createRealm


回到createDefaults


回到createSecurityManager


进入buildInstances

private Map<String, ?> buildInstances(Ini.Section section, Map<String, ?> defaults) {
        this.builder = new ReflectionBuilder(defaults);
        return this.builder.buildObjects(section);
    }

进入ReflectionBuilder



这行代码很简洁,defaults不为空,所以this.objects指向defaults的引用

this.objects = CollectionUtils.isEmpty(defaults) ? new LinkedHashMap<String, Object>() : defaults;



进入buildObjects 因为kvPairs为null所以直接跳到LifecycleUtils.init(objects.values());




再跳到public static void init(Object o),判断对象不能Initializable



第二次又进入这次对象是可以Initializable


进入

public final void init() {
        //trigger obtaining the authorization cache if possible
        getAvailableAuthenticationCache();
        onInit();
    }

进入getAvailableAuthenticationCache 

private Cache<Object, AuthenticationInfo> getAvailableAuthenticationCache() {
        Cache<Object, AuthenticationInfo> cache = getAuthenticationCache();
        boolean authcCachingEnabled = isAuthenticationCachingEnabled();
        if (cache == null && authcCachingEnabled) {
            cache = getAuthenticationCacheLazy();
        }
        return cache;
    }
返回是null


回到

public final void init() {
        //trigger obtaining the authorization cache if possible
        getAvailableAuthenticationCache();
        onInit();
    }


进入onInit() 
@Override
    protected void onInit() {
        super.onInit();

        // This is an in-memory realm only - no need for an additional cache when we're already
        // as memory-efficient as we can be.
        
        Ini ini = getIni();
        String resourcePath = getResourcePath();
                
        if (!CollectionUtils.isEmpty(this.users) || !CollectionUtils.isEmpty(this.roles)) {
            if (!CollectionUtils.isEmpty(ini)) {
                log.warn("Users or Roles are already populated.  Configured Ini instance will be ignored.");
            }
            if (StringUtils.hasText(resourcePath)) {
                log.warn("Users or Roles are already populated.  resourcePath '{}' will be ignored.", resourcePath);
            }
            
            log.debug("Instance is already populated with users or roles.  No additional user/role population " +
                    "will be performed.");
            return;
        }
        
        if (CollectionUtils.isEmpty(ini)) {
            log.debug("No INI instance configuration present.  Checking resourcePath...");
            
            if (StringUtils.hasText(resourcePath)) {
                log.debug("Resource path {} defined.  Creating INI instance.", resourcePath);
                ini = Ini.fromResourcePath(resourcePath);
                if (!CollectionUtils.isEmpty(ini)) {
                    setIni(ini);
                }
            }
        }
        
        if (CollectionUtils.isEmpty(ini)) {
            String msg = "Ini instance and/or resourcePath resulted in null or empty Ini configuration.  Cannot " +
                    "load account data.";
            throw new IllegalStateException(msg);
        }

        processDefinitions(ini);
    }


super.onInit()也就是protected void onInit()

@Override
    protected void onInit() {
        super.onInit();
        processDefinitions();
    }


processDefinitions调用processRoleDefinitions(),roleDefinitions为null直接返回到processDefinitions


processUserDefinitions中userDefinitions也是null直接return回processDefinitions了




回到onInit()

返回



返回



回到buildObjects返回objects



回到buildInstances



回到createSecurityManager


private SecurityManager getSecurityManagerBean() {
        return builder.getBean(SECURITY_MANAGER_NAME, SecurityManager.class);
    }


进入org.apache.shiro.config的public class ReflectionBuilder



instanceof运算符 只被用于对象引用变量,检查左边的被测试对象 是不是 右边类或接口的 实例化。如果被测对象是null值,则测试结果总是false。 
Class类的isInstance(Object obj)方法,obj是被测试的对象,如果obj是调用这个方法的class或接口 的实例,则返回true。这个方法是instanceof运算符的动态等价。 
Class类的isAssignableFrom(Class cls)方法,如果调用这个方法的class或接口 与 参数cls表示的类或接口相同,或者是参数cls表示的类或接口的父类,则返回true。 

instanceof, isinstance,isAssignableFrom的区别


回到createSecurityManager



进入isAutoApplyRealms


realms为null,返回autoApply为true


回到createSecurityManager



进入applyRealmsToSecurityManager


再调用setRealms



回到protected void afterRealmsSet()



回到setRealms


回到


回到


回到


回到


回到


回到



回到最外层调用函数


至此,SecurityManager securityManager = factory.getInstance();才完成。


2.Subject

// 获取当前用户
        Subject subject = SecurityUtils.getSubject();


public static Subject getSubject() {
        Subject subject = ThreadContext.getSubject();
        if (subject == null) {
            subject = (new Subject.Builder()).buildSubject();
            ThreadContext.bind(subject);
        }
        return subject;
    }


进入org.apache.shiro.util的public abstract class ThreadContext 


getValue



回到public static Subject getSubject()



回到最外层



3.UsernamePasswordToken

UsernamePasswordToken token = new UsernamePasswordToken("user1", "http://blog.youkuaiyun.com/unix21");





调用构造函数



private声明 
public class UsernamePasswordToken implements HostAuthenticationToken, RememberMeAuthenticationToken {
private String username;
private char[] password;
private boolean rememberMe = false;
private String host;
...


HostAuthenticationToken接口定义

public interface HostAuthenticationToken extends AuthenticationToken {
String getHost();
}

public interface AuthenticationToken extends Serializable {
Object getPrincipal();
Object getCredentials();
}

Shiro源码学习之二

unix21
关注
Shiro源码学习(一)Filter的创建
finalcola的博客
03-29 631
一、从web.xml到Spring容器我们在使用spring配置shiro时,有两处需要配置Filter相关的地方: &lt;!-- Shiro配置 --&gt; &lt;filter&gt; &lt;filter-name&gt;shiroFilter&lt;/filter-name&gt; &lt;filter-class&gt;org.sprin...
跟我学shiro源代码
04-11
Apache Shiro 是一个框架,可用于身份验证和授权,是一个简单易学的框架,跟我学shiro详细讲解了shiro的开发,这里是该书的全部源代码
shiro源码学习
你就像甜甜的益达
01-06 905
快速开始源码分析 shiro整合spring web.xml的配置 Subject对象创建过程 SecurityUtils获取Subject详解
跟我学shiro文档及源码
07-17
这主要是跟我学shiro这一本书的pdf文档资源以及源码,希望对想学习shiro的用户能够带来帮助。
Shiro学习教程源代码
08-05
包含以下内容的源码: 第二章 身份验证 第三章 授权 第四章 INI配置 第五章 编码/加密 第六章 Realm及相关对象 第七章 与Web集成 第八章 拦截器机制 第九章 JSP标签 第十章 会话管理 第十一章 缓存机制 第十二章 与Spring集成 第十三章 RememberMe 第十四章 SSL 第十五章 单点登录 第十六章 综合实例 第十七章 OAuth2集成 第十八章 并发登录人数控制 第十九章 动态URL权限控制 第二十章 无状态Web应用集成 第二十一章 授予身份及切换身份 第二十二章 集成验证码 第二十三章 多项目集中权限管理及分布式会话 第二十四章 在线会话管理
shiro源码分析二
06-01
Shiro源码中,许多类都实现了resolve方法,这样的设计模式保证了在运行时可以动态地获取所需的资源,而不需要预先全部配置。这种方式提供了灵活性和可扩展性,允许开发者在不同的环境下自定义获取对象的逻辑。 在...
Shiro1.2.2_源码(压缩包)
05-29
9. **插件化架构(Plugin Architecture)**:Shiro 的设计原则之一是插件化,使得扩展和定制非常方便。开发者可以通过编写插件扩展 Shiro 的功能,满足特定需求。 10. **配置与生命周期管理(Configuration & ...
深入学习Spring Boot与Shiro源码分析
资源摘要信息:"Spring Boot学习Shiro源码" 知识点: 1. Spring Boot基础:Spring Boot是基于Spring的一个开源框架,它为快速构建和运行Java应用程序提供了一种简便的方法。Spring Boot的核心理念是约定优于配置,...
Shiro源码深度解析与实践学习指南
由于文件描述中提到了“配合pdf文档学习”,我们推断除了源码之外,应该还有与之配套的PDF学习文档,该文档应该详细解释了源码的结构、功能以及Shiro的关键概念和用法。 接下来,让我们深入探讨Shiro框架中的几个...
跟我学Shiro教程及其课程分章节源码
06-24
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户“登录”; 授权 - 访问控制; 密码加密 - 保护或隐藏数据防止被偷窥; 会话管理 - 每用户相关的时间敏感的状态。 对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro要简单的多。 我找了一版 跟我学Shiro教程PDF,里面讲的很详细.里面还附带了每个章节的源码.值得你收藏哟!饮水思源——原文出自:http://jinnianshilongnian.iteye.com/blog/2049092
跟我学shiro文档和示例源代码
10-08
跟我学shiro文档和示例源代码 第一章 SHIRO 简介....................................................................................................................... 5 简介 ................................................................................................................................................... 5 第二章 身份验证 .......................................................................................................................... 9 环境准备............................................................................................................................................ 9 登录/退出........................................................................................................................................ 10 身份认证流程.................................................................................................................................. 12 REALM................................................................................................................................................ 12 AUTHENTICATOR 及 AUTHENTICATIONSTRATEGY........................................................................................ 16 第三章 授权................................................................................................................................ 20 授权方式.......................................................................................................................................... 21 授权 ................................................................................................................................................. 21 PERMISSION......................................................................................................................................... 24 授权流程.......................................................................................................................................... 28 AUTHORIZER、PERMISSIONRESOLVER 及 ROLEPERMISSIONRESOLVER .......................................................... 29 第四章 INI 配置
最全的安全框架shiro学习视频
08-09
最全的安全框架学习视频,很全很完整,有代码,很不错的学习资料
Shiro框架源码学习笔记
Beyond94的博客
06-23 406
文章目录介绍认证术语如何使用Shiro的认证1. 手机认证主体和凭据2. 提交认证主体和凭据到认证系统3. 允许访问,重新认证,或阻止访问"Remember Me Support"Remembered vs Authenticated登出授权授权三要素权限权限的粒度角色隐式的角色显式的角色(推荐)用户Shiro如何执行授权编程式授权角色检查权限检查实现`Permission`接口的方式使用`String`表示一种权限的方式总结(\*\*)注解式授权启用注解的支持基于注解的权限检查基于注解的角色检查JSP标签
shiro源代码
whxwkb的博客
10-08 436
教程地址:https://www.imooc.com/video/16966 教程中使用的源代码:https://download.youkuaiyun.com/download/whxwkb/10706860
shiro源码分析(一)入门
weixin_34273046的博客
02-07 156
2019独角兽企业重金招聘Python工程师标准>>> ...
shiro源码分析(一)--大致流程
seasonLai的博客
01-03 3832
去GitHub搜索shiro,克隆源码,然后会看到里面有samples模块,先从quickstart看起 一、例子源码 首先是配置文件shiro.ini [users] root = secret, admin guest = guest, guest presidentskroob = 12345, president darkhelmet = ludicrousspeed, darklord,...
Shiro超详细学习笔记(附源码)
Willing卡卡的博客
09-03 505
本文主要分享了Shiro和权限管理相关的知识,包括权限管理的简介、权限认证、权限授权、权限系统(演变思路)、基于URL的拦截思路、Shiro的简介、Shiro的内部结构(7板块)、初始的Shiro案例、带有角色权限的案例、自定义安全策略的shiro应用案例、自定义安全策略的shiro加入MD5的应用案例(均附源码);
Shiro源码分析----登录流程
云原生之家
12-25 2344
Shiro中,登录操作是由Subject的login()方法完成的,Subject是个接口,在Web环境中,实现类为WebDelegatingSubject,login方法从DeletatingSubject继承而来: public void login(AuthenticationToken token) throws AuthenticationException { clearRunA
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值