前言
shiro学习一:了解shiro,学习执行shiro的流程。使用springboot的测试模块学习shiro单应用(demo 6个)
上面的 demo 写完,看完之后,还是有很多疑问的,很多问题的。我在这里记录一下,也分析一下源码走向。
一、问题分析
综上案例,进行分析。
其实看了上面那么多案例,是有很多疑问的,那
用户名、密码到底是怎么匹配的,肯定都交给shiro去处理了,那底层是怎么处理的呢?还有代码的走向问题,原来没有自定义realm,代码直接往下走,现在是自定义realm了,那重写的
认证和授权方法是怎么走的呢?接下来就开始走代码和源码分析。
二、 源码分析(敲重点)
- 首先构建
安全管理器环境:DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); - 构建
数据域(数据源),上面的案例改的最多的地方也就是这个地方,直到现在的自定义数据域。这里按自定义的讲解,这里初始化数据域,在正常开发中,这里也就是与数据库交接的模块。 安全管理器设置数据域:securityManager.setRealm(customRealmCh06);设置安全管理器
其实到了这里,以上都是初始化环境。
获取主体先放着:
Subject subject = SecurityUtils.getSubject();获取用户输入的用户名和密码,这里通过
UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("admin", "123456");来模拟用户的输入。返回token。主体登录
subject.login(usernamePasswordToken);。到了这里也就是给shiro说,去验证吧,程序员的代码编写就先到这儿了。代码会继续走啊走:
DelegatingSubject:login():this.securityManager.login(this, token);
->DefaultSecurityManager:login():this.authenticate(token)
->DefaultSecurityManager:login():this.authenticate(token);
->AuthenticatingSecurityManager:authenticate():this.authenticator.authenticate(token);
->AbstractAuthenticator:authenticate():this.doAuthenticate(token);
->ModularRealmAuthenticator:doAuthenticate():this.doSingleRealmAuthentication((Realm)realms.iterator().next(), authenticationToken):doSingleRealmAuthentication():realm.getAuthenticationInfo(token);
->AuthenticatingRealm():getAuthenticationInfo(AuthenticationToken token)这就是代码的走向,到了这儿,接下来就要走我们自定义的额数据域部分了。然后代码会走到这个类:AuthenticatingRealm,这个类很重要,然后进入方法
getAuthenticationInfo();
第三行会进入到我们实现的realm中的doGetAuthenticationInfo(AuthenticationToken authenticationToken)这个方法
执行完我们的自定义的realm 认证后,再走同类方法
this.assertCredentialsMatch(token, info);
从上图得知,进入了第二重要大类方法:
HashedCredentialsMatcher中的doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info)方法。
也就是说,在这里 比较:自定义认证的数据域返回的SimpleAuthenticationInfo 信息与用户输入组装而成的AuthenticationInfo信息HashedCredentialsMatcher.doCredentialsMatch(),这个方法再后面也会被重写,因为再开发过程中,是不会采用默认的这种比较机制的。
