原始碼分析shiro認證授權流程
1. shiro介紹
Apache Shiro是一個強大易用的Java安全框架,提供了認證、授權、加密和會話管理等功能:
- 認證 - 使用者身份識別,常被稱為使用者“登入”;
- 授權 - 訪問控制;
- 密碼加密 - 保護或隱藏資料防止被偷窺;
- 會話管理 - 每使用者相關的時間敏感的狀態。
對於任何一個應用程式,Shiro都可以提供全面的安全管理服務。並且相對於其他安全框架,Shiro要簡單的多。
2. shiro原始碼概況
然後看一下各個元件之間的關係:
一下內容參考:http://kdboy.iteye.com/blog/1154644
Subject:即“當前操作使用者”。但是,在Shiro中,Subject這一概念並不僅僅指人,也可以是第三方程序、後臺帳戶(Daemon Account)或其他類似事物。它僅僅意味著“當前跟軟體互動的東西”。但考慮到大多數目的和用途,你可以把它認為是Shiro的“使用者”概念。
Subject代表了當前使用者的安全操作,SecurityManager則管理所有使用者的安全操作。
SecurityManager
Realm: Realm充當了Shiro與應用安全資料間的“橋樑”或者“聯結器”。也就是說,當對使用者執行認證(登入)和授權(訪問控制)驗證時,Shiro會從應用配置的Realm中查詢使用者及其許可權資訊。
從這個意義上講,Realm實質上是一個安全相關的DAO:它封裝了資料來源的連線細節,並在需要時將相關資料提供給Shiro。當配置Shiro時,你必須至少指定一個Realm,用於認證和(或)授權。配置多個Realm是可以的,但是至少需要一個。
Shiro內建了可以連線大量安全資料來源(又名目錄)的Realm,如LDAP、關係資料庫(JDBC)、類似INI的文字配置資源以及屬性檔案等。如果預設的Realm不能滿足需求,你還可以插入代表自定義資料來源的自己的Realm實現。
Shiro主要元件還包括:
Authenticator :認證就是核實使用者身份的過程。這個過程的常見例子是大家都熟悉的“使用者/密碼”組合。多數使用者在登入軟體系統時,通常提供自己的使用者名稱(當事人)和支援他們的密碼(證書)。如果儲存在系統中的密碼(或密碼錶示)與使用者提供的匹配,他們就被認為通過認證。
Authorizer :授權實質上就是訪問控制 - 控制使用者能夠訪問應用中的哪些內容,比如資源、Web頁面等等。
SessionManager :在安全框架領域,Apache Shiro提供了一些獨特的東西:可在任何應用或架構層一致地使用Session API。即,Shiro為任何應用提供了一個會話程式設計正規化 - 從小型後臺獨立應用到大型叢集Web應用。這意味著,那些希望使用會話的應用開發者,不必被迫使用Servlet或EJB容器了。或者,如果正在使用這些容器,開發者現在也可以選擇使用在任何層統一一致的會話API,取代Servlet或EJB機制。
CacheManager
3. 做一個demo,跑shiro的原始碼,從login開始:
第一步:使用者根據表單資訊填寫使用者名稱和密碼,然後呼叫登陸按鈕。內部執行如下:
UsernamePasswordToken token = new UsernamePasswordToken(loginForm.getUsername(), loginForm.getPassphrase()); token.setRememberMe(true); Subject currentUser = SecurityUtils.getSubject(); currentUser.login(token);
第二步:代理DelegatingSubject繼承Subject執行login
public void login(AuthenticationToken token) throws AuthenticationException { clearRunAsIdentitiesInternal(); Subject subject = securityManager.login(this, token); PrincipalCollection principals; String host = null; if (subject instanceof DelegatingSubject) { DelegatingSubject delegating = (DelegatingSubject) subject; //we have to do this in case there are assumed identities - we don't want to lose the 'real' principals: principals = delegating.principals; host = delegating.host; } else { principals = subject.getPrincipals(); } if (principals == null || principals.isEmpty()) { String msg = "Principals returned from securityManager.login( token ) returned a null or " + "empty value. This value must be non null and populated with one or more elements."; throw new IllegalStateException(msg); } this.principals = principals; this.authenticated = true; if (token instanceof HostAuthenticationToken) { host = ((HostAuthenticationToken) token).getHost(); } if (host != null) { this.host = host; } Session session = subject.getSession(false); if (session != null) { this.session = decorate(session); } else { this.session = null; } }
第三步:呼叫DefaultSecurityManager繼承SessionsSecurityManager執行login方法
public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException { AuthenticationInfo info; try { info = authenticate(token); } catch (AuthenticationException ae) { try { onFailedLogin(token, ae, subject); } catch (Exception e) { if (log.isInfoEnabled()) { log.info("onFailedLogin method threw an " + "exception. Logging and propagating original AuthenticationException.", e); } } throw ae; //propagate } Subject loggedIn = createSubject(token, info, subject); onSuccessfulLogin(token, info, loggedIn); return loggedIn; }
第四步:認證管理器AuthenticatingSecurityManager繼承RealmSecurityManager執行authenticate方法:
/** * Delegates to the wrapped {@link org.apache.shiro.authc.Authenticator Authenticator} for authentication. */ public AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException { return this.authenticator.authenticate(token); }
第五步:抽象認證管理器AbstractAuthenticator繼承Authenticator, LogoutAware 執行authenticate方法:
public final AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException { if (token == null) { throw new IllegalArgumentException("Method argumet (authentication token) cannot be null."); } log.trace("Authentication attempt received for token [{}]", token); AuthenticationInfo info; try { info = doAuthenticate(token); if (info == null) { String msg = "No account information found for authentication token [" + token + "] by this " + "Authenticator instance. Please check that it is configured correctly."; throw new AuthenticationException(msg); } } catch (Throwable t) { AuthenticationException ae = null; if (t instanceof AuthenticationException) { ae = (AuthenticationException) t; } if (ae == null) { //Exception thrown was not an expected AuthenticationException. Therefore it is probably a little more //severe or unexpected. So, wrap in an AuthenticationException, log to warn, and propagate: String msg = "Authentication failed for token submission [" + token + "]. Possible unexpected " + "error? (Typical or expected login exceptions should extend from AuthenticationException)."; ae = new AuthenticationException(msg, t); } try { notifyFailure(token, ae); } catch (Throwable t2) { if (log.isWarnEnabled()) { String msg = "Unable to send notification for failed authentication attempt - listener error?. " + "Please check your AuthenticationListener implementation(s). Logging sending exception " + "and propagating original AuthenticationException instead..."; log.warn(msg, t2); } } throw ae; } log.debug("Authentication successful for token [{}]. Returned account [{}]", token, info); notifySuccess(token, info); return info; }
第六步:ModularRealmAuthenticator繼承AbstractAuthenticator執行doAuthenticate方法
protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException { assertRealmsConfigured(); Collection<Realm> realms = getRealms(); if (realms.size() == 1) { return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken); } else { return doMultiRealmAuthentication(realms, authenticationToken); } }
接著呼叫:
/** * Performs the authentication attempt by interacting with the single configured realm, which is significantly * simpler than performing multi-realm logic. * * @param realm the realm to consult for AuthenticationInfo. * @param token the submitted AuthenticationToken representing the subject's (user's) log-in principals and credentials. * @return the AuthenticationInfo associated with the user account corresponding to the specified {@code token} */ protected AuthenticationInfo doSingleRealmAuthentication(Realm realm, AuthenticationToken token) { if (!realm.supports(token)) { String msg = "Realm [" + realm + "] does not support authentication token [" + token + "]. Please ensure that the appropriate Realm implementation is " + "configured correctly or that the realm accepts AuthenticationTokens of this type."; throw new UnsupportedTokenException(msg); } AuthenticationInfo info = realm.getAuthenticationInfo(token); if (info == null) { String msg = "Realm [" + realm + "] was unable to find account data for the " + "submitted AuthenticationToken [" + token + "]."; throw new UnknownAccountException(msg); } return info; }
第七步:AuthenticatingRealm繼承CachingRealm執行getAuthenticationInfo方法
public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { AuthenticationInfo info = getCachedAuthenticationInfo(token); //從快取中讀取 if (info == null) { //otherwise not cached, perform the lookup: info = doGetAuthenticationInfo(token); //快取中讀不到,則到資料庫或者ldap或者jndi等去讀 log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info); if (token != null && info != null) { cacheAuthenticationInfoIfPossible(token, info); } } else { log.debug("Using cached authentication info [{}] to perform credentials matching.", info); } if (info != null) { assertCredentialsMatch(token, info); } else { log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}]. Returning null.", token); } return info; }
1. 從快取中讀取的方法:
/** * Checks to see if the authenticationCache class attribute is null, and if so, attempts to acquire one from * any configured {@link #getCacheManager() cacheManager}. If one is acquired, it is set as the class attribute. * The class attribute is then returned. * * @return an available cache instance to be used for authentication caching or {@code null} if one is not available. * @since 1.2 */ private Cache<Object, AuthenticationInfo> getAuthenticationCacheLazy() { if (this.authenticationCache == null) { log.trace("No authenticationCache instance set. Checking for a cacheManager..."); CacheManager cacheManager = getCacheManager(); if (cacheManager != null) { String cacheName = getAuthenticationCacheName(); log.debug("CacheManager [{}] configured. Building authentication cache '{}'", cacheManager, cacheName); this.authenticationCache = cacheManager.getCache(cacheName); } } return this.authenticationCache; }
2. 從資料庫中讀取的方法:
JdbcRealm繼承 AuthorizingRealm執行doGetAuthenticationInfo方法
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken upToken = (UsernamePasswordToken) token; String username = upToken.getUsername(); // Null username is invalid if (username == null) { throw new AccountException("Null usernames are not allowed by this realm."); } Connection conn = null; SimpleAuthenticationInfo info = null; try { conn = dataSource.getConnection(); String password = null; String salt = null; switch (saltStyle) { case NO_SALT: password = getPasswordForUser(conn, username)[0]; break; case CRYPT: // TODO: separate password and hash from getPasswordForUser[0] throw new ConfigurationException("Not implemented yet"); //break; case COLUMN: String[] queryResults = getPasswordForUser(conn, username); password = queryResults[0]; salt = queryResults[1]; break; case EXTERNAL: password = getPasswordForUser(conn, username)[0]; salt = getSaltForUser(username); } if (password == null) { throw new UnknownAccountException("No account found for user [" + username + "]"); } info = new SimpleAuthenticationInfo(username, password.toCharArray(), getName()); if (salt != null) { info.setCredentialsSalt(ByteSource.Util.bytes(salt)); } } catch (SQLException e) { final String message = "There was a SQL error while authenticating user [" + username + "]"; if (log.isErrorEnabled()) { log.error(message, e); } // Rethrow any SQL errors as an authentication exception throw new AuthenticationException(message, e); } finally { JdbcUtils.closeConnection(conn); } return info; }
接著呼叫sql語句:
private String[] getPasswordForUser(Connection conn, String username) throws SQLException { String[] result; boolean returningSeparatedSalt = false; switch (saltStyle) { case NO_SALT: case CRYPT: case EXTERNAL: result = new String[1]; break; default: result = new String[2]; returningSeparatedSalt = true; } PreparedStatement ps = null; ResultSet rs = null; try { ps = conn.prepareStatement(authenticationQuery); ps.setString(1, username); // Execute query rs = ps.executeQuery(); // Loop over results - although we are only expecting one result, since usernames should be unique boolean foundResult = false; while (rs.next()) { // Check to ensure only one row is processed if (foundResult) { throw new AuthenticationException("More than one user row found for user [" + username + "]. Usernames must be unique."); } result[0] = rs.getString(1); if (returningSeparatedSalt) { result[1] = rs.getString(2); } foundResult = true; } } finally { JdbcUtils.closeResultSet(rs); JdbcUtils.closeStatement(ps); } return result; }
其中authenticationQuery定義如下:
protected String authenticationQuery = DEFAULT_AUTHENTICATION_QUERY; protected static final String DEFAULT_AUTHENTICATION_QUERY = "select password from users where username = ?";
4. 小結
Apache Shiro 是功能強大並且容易整合的開源許可權框架,它能夠完成認證、授權、加密、會話管理等功能。認證和授權為許可權控制的核心,簡單來說,“認證”就是證明你是誰? Web 應用程式一般做法通過表單提交使用者名稱及密碼達到認證目的。“授權”即是否允許已認證使用者訪問受保護資源。
參考文獻:
http://kdboy.iteye.com/blog/1154644
http://www.ibm.com/developerworks/cn/java/j-lo-shiro/
相關推薦
原始碼分析shiro認證授權流程
1. shiro介紹 Apache Shiro是一個強大易用的Java安全框架,提供了認證、授權、加密和會話管理等功能: 認證 - 使用者身份識別,常被稱為使用者“登入”; 授權 - 訪問控制; 密碼加密 - 保護或隱藏資料防止被偷窺; 會話管理 - 每使用者相關的時間敏感的狀態。 對於
shiro認證授權原始碼分析
shiro內建了許多過濾器用來控制認證授權 anon : org.apache.shiro.web.filter.authc.AnonymousFilter authc : org.apache.shiro.web.filter.authc.FormAuthenticati
Shiro原始碼分析(3) - 認證器(Authenticator)
本文在於分析Shiro原始碼,對於新學習的朋友可以參考 [開濤部落格](http://jinnianshilongnian.iteye.com/blog/2018398)進行學習。 Authenticator就是認證器,在Shiro中負責認證使用者提交的資訊,
《springsecurity原始碼分析》2.springsecurity原始碼分析之認證流程
Spring Security核心就是一系列的過濾器鏈,當一個請求來的時候,首先要通過過濾器鏈的校驗,校驗通過之後才會訪問使用者各種資訊。 SecurityContextPersistenceFilter 當一個請求來的時候,它會將session中的值傳入到該執
shiro原始碼篇 - shiro認證與授權,你值得擁有
前言 開心一刻 我和兒子有個共同的心願,出國旅遊。昨天兒子考試得了全班第一,我跟媳婦合計著帶他出國見見世面,吃晚飯的時候,一家人開始了討論這個。我:“兒子,你的心願是什麼?”,兒子:“吃漢堡包”,我:“往大了說”,兒子:“變形金剛”,我:“今天你爹說了算,想想咱倆共同的心願”,兒子怯生生的瞅
如何使用shiro認證授權。
這裡是修真院後端小課堂,每篇分享文從 【背景介紹】【知識剖析】【常見問題】【解決方案】【編碼實戰】【擴充套件思考】【更多討論】【參考文獻】 八個方面深度解析後端知識/技能,本篇分享的是: 【如何使用shiro認證授權。】 【修真院java小課堂】如何使用shir
dubbo原始碼分析-服務端釋出流程-筆記
Spring對外留出的擴充套件 dubbo是基於spring 配置來實現服務的釋出的,那麼一定是基於spring的擴充套件來寫了一套自己的標籤,那麼spring是如何解析這些配置呢?具體細節就不在這裡講解,大家之前在學習spring原始碼的時候,應該有講過。總的來說,就是可以通過spring的擴充套
dubbo原始碼分析-服務端註冊流程-筆記
前面,我們已經知道,基於spring這個解析入口,到釋出服務的過程,接著基於DubboProtocol去釋出,最終呼叫Netty的api建立了一個NettyServer。 那麼繼續沿著RegistryProtocol.export這個方法,來看看註冊服務的程式碼: RegistryProtocol.ex
Spark2.x原始碼分析---spark-submit提交流程
本文以spark on yarn的yarn-cluster模式進行原始碼解析,如有不妥之處,歡迎吐槽。 步驟1.spark-submit提交任務指令碼 spark-submit --class 主類路徑 \ --master yarn \ --deploy-mode c
從原始碼分析struts框架執行流程
struts 原始碼解析 ActionServlet 的執行流程 •Tomcat 及封裝配置 2 // web.xml 檔案的 標籤,配置則伺服器啟動則建立ActionServlet,否則訪問時建立 Tomcat 一啟動就將 web.xml 檔案讀取到記憶體,
storm原始碼分析之acker工作流程
我們知道storm一個很重要的特性是它能夠保證你發出的每條訊息都會被完整處理,完整處理的意思是指: 一個tuple以及這個tuple所導致的所有的tuple都會被成功處理。而一個tuple會被認為處理失敗瞭如果這個訊息在timeout所指定的時間內沒有成功處理。 也就是說對
shiro配置 在springboot中前後端分離中,整合shiro認證授權框架
一:介紹 Apache Shiro是Java的一個安全框架。由於它相對小而簡單,現在使用的人越來越多。 Authentication:身份認證/登入,驗證使用者是不是擁有相應的身份。 Authorization:授權,即許可權驗證,驗證某個已認證
Android InputMethod 原始碼分析,顯示輸入法流程
1.簡介 大體流程如下: InputMethodManagerService(下文也稱IMMS)負責管理系統的所有輸入法,包括輸入法service(InputMethodService簡稱IMS)載入及切換。 程式獲得焦點時,就會通過 InputMet
小夥伴們的ceph原始碼分析二——monitor啟動流程
程式碼位置:src/ceph_mon.cc 首先help看下ceph-mon的usage usage: ceph-mon -i monid [--mon-data=pathtodata][flags] --debug_mon n debug monitor l
HBase原始碼分析之regionserver讀取流程分析
資料的讀取包括Get和Scan2種,通過get的程式碼可以看出實際也是通過轉換為一個Scan來處理的。 //HRegion.java public List<Cell> get(Get get, boolean withCoprocessor)
Yii原始碼分析——yii整個工作流程
下面是我根據yii原始碼畫的yii工作流,這裡只涉及一些基本的元件,其它元件是在使用時用到,沒在這個工作流中體現出來。這圖是用微軟的viso畫的,點選下載vsd原圖 靠,坑爹的csdn,傳張圖片竟然顯示不出來! 還得自己手動搞個外鏈的,這部落格有點垃圾!算了, 用360雲盤
android 6.0 SystemUI原始碼分析(4)-StatusBar顯示流程
1.StatusBar啟動 StatusBar繼承於SystemUI,在SystemUIApplication會啟動SysteBar. mServices[i].start(); SystemBar.java @Override public void start
[Android原始碼分析]藍芽開啟流程分析——jni層之下的偷偷摸摸(Service Record的建立)
在上一篇文章中我們詳細介紹了藍芽開啟過程中,jni之上的各個方方面面,應該說涉及到的地方全部講清楚了,從這一章開始就來講解一下開啟過程到了jni之下都做了些什麼。 為什麼取名為偷偷摸摸,因為從這裡往下在網際網路上就基本找不到任何資料了,大家都是憑藉函式的名字去猜測一下做了一
Cassandra原始碼分析:資料寫入流程
org.apache.cassandra.thrift.CassandraServer類的add方法將接受客戶端的請求,該函式定義如下: public void add(ByteBuffer key, ColumnParent column_parent, Counter