shiro学习三:shiro的源码分析

简介: 这篇文章是关于Apache Shiro安全框架的源码分析,主要探讨了Shiro的认证流程和自定义Realm的实现细节。

前言

一、问题分析

综上案例,进行分析。

  • 其实看了上面那么多案例,是有很多疑问的,那 用户名、密码到底是怎么匹配的,肯定都交给shiro去处理了,那底层是怎么处理的呢?

  • 还有代码的走向问题,原来没有自定义realm,代码直接往下走,现在是自定义realm了,那重写的 认证和授权方法 是怎么走的呢?

  • 接下来就开始走代码和源码分析。

二、 源码分析(敲重点)

  1. 首先构建安全管理器环境: DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
  2. 构建数据域(数据源),上面的案例改的最多的地方也就是这个地方,直到现在的自定义数据域。这里按自定义的讲解,这里初始化数据域,在正常开发中,这里也就是与数据库交接的模块。
  3. 安全管理器设置数据域securityManager.setRealm(customRealmCh06);
  4. 设置安全管理器
    在这里插入图片描述

    其实到了这里,以上都是初始化环境。

  5. 获取主体先放着:Subject subject = SecurityUtils.getSubject();

  6. 获取用户输入的用户名和密码,这里通过UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("admin", "123456");来模拟用户的输入。返回token。

  7. 主体登录subject.login(usernamePasswordToken);。到了这里也就是给shiro说,去验证吧,程序员的代码编写就先到这儿了。

  8. 代码会继续走啊走:
    DelegatingSubject:login():this.securityManager.login(this, token);
    ->DefaultSecurityManager:login():this.authenticate(token)
    ->DefaultSecurityManager:login():this.authenticate(token);
    ->AuthenticatingSecurityManager:authenticate():this.authenticator.authenticate(token);
    ->AbstractAuthenticator:authenticate():this.doAuthenticate(token);
    ->ModularRealmAuthenticator:doAuthenticate():this.doSingleRealmAuthentication((Realm)realms.iterator().next(), authenticationToken):doSingleRealmAuthentication():realm.getAuthenticationInfo(token);
    ->AuthenticatingRealm():getAuthenticationInfo(AuthenticationToken token)
    这就是代码的走向,到了这儿,接下来就要走我们自定义的额数据域部分了。

  9. 然后代码会走到这个类:AuthenticatingRealm,这个类很重要,然后进入方法getAuthenticationInfo()
    第三行会进入到我们实现的realm中的doGetAuthenticationInfo(AuthenticationToken authenticationToken)这个方法
    在这里插入图片描述

  10. 执行完我们的自定义的realm 认证后,再走同类方法this.assertCredentialsMatch(token, info);
    在这里插入图片描述

  11. 从上图得知,进入了第二重要大类方法:HashedCredentialsMatcher中的doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info)方法。
    在这里插入图片描述
    也就是说,在这里 比较:自定义认证的数据域返回的 SimpleAuthenticationInfo 信息与用户输入组装而成的AuthenticationInfo信息

  12. HashedCredentialsMatcher.doCredentialsMatch(),这个方法再后面也会被重写,因为再开发过程中,是不会采用默认的这种比较机制的。

相关文章
|
存储 算法 数据安全/隐私保护
【Shiro】第三章 Shiro入门(三)
【Shiro】第三章 Shiro入门(三)
82 1
|
安全 数据安全/隐私保护
【Shiro】第三章 Shiro入门(一)
【Shiro】第三章 Shiro入门
80 1
|
存储 算法 程序员
【Shiro】第三章 Shiro入门(二)
【Shiro】第三章 Shiro入门(二)
86 1
|
缓存 数据库 数据安全/隐私保护
【Shiro】第三章 Shiro入门(四)
【Shiro】第三章 Shiro入门(四)
88 0
|
Java 数据库 数据安全/隐私保护
Shiro学习之Shiro基本使用(2)
Shiro学习之Shiro基本使用(2)
63 0
|
Java API 数据库
Shiro学习之Shiro基本使用(1)
Shiro学习之Shiro基本使用(1)
96 0
|
存储 缓存 安全
Shiro学习之Shiro简介
Shiro学习之Shiro简介
119 0
|
缓存 Java 数据库
Shiro - 基础篇(上)
Shiro - 基础篇(上)
156 0
Shiro - 基础篇(上)
|
缓存 安全 Java
Shiro(一):shiro简介
Shiro(一):shiro简介
216 0
Shiro(一):shiro简介
|
缓存 Java 网络安全
shiro(三)shiro实战——Spring 集成 Shiro(案例)-1
shiro(三)shiro实战——Spring 集成 Shiro(案例)
133 0
shiro(三)shiro实战——Spring 集成 Shiro(案例)-1