2. 程式人生 > >【Shiro】- 認證授權過程原始碼分析

【Shiro】- 認證授權過程原始碼分析

阿新 發佈:2019-03-02

浪費了“黃金五年”的Java程式設計師,還有救嗎? >>>   

shiro: apahce的開源安全框架,因其強大、靈活的特點,則we在應用中經常使用,shiro認證和授權過程是分開的,下面從shiro的原始碼解析shiro的認證過程

subject.login(token);

DelegatingSubject

public void login(AuthenticationToken token) throws AuthenticationException {
        clearRunAsIdentitiesInternal();
        Subject subject = securityManager.login(this, token);

        PrincipalCollection principals;

        String host = null;

        if (subject instanceof DelegatingSubject) {
            DelegatingSubject delegating = (DelegatingSubject) subject;
            //we have to do this in case there are assumed identities - we don't want to lose the 'real' principals:
            principals = delegating.principals;
            host = delegating.host;
        } else {
            principals = subject.getPrincipals();
        }

        if (principals == null || principals.isEmpty()) {
            String msg = "Principals returned from securityManager.login( token ) returned a null or " +
                    "empty value.  This value must be non null and populated with one or more elements.";
            throw new IllegalStateException(msg);
        }
        this.principals = principals;
        this.authenticated = true;
        if (token instanceof HostAuthenticationToken) {
            host = ((HostAuthenticationToken) token).getHost();
        }
        if (host != null) {
            this.host = host;
        }
        Session session = subject.getSession(false);
        if (session != null) {
            this.session = decorate(session);
        } else {
           this.sessi     }
    }

接著呼叫: DefaultSecurityManager的login方法:

public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException {
        AuthenticationInfo info;
        try {
            info = authenticate(token);
        } catch (AuthenticationException ae) {
            try {
                onFailedLogin(token, ae, subject);
            } catch (Exception e) {
                if (log.isInfoEnabled()) {
                    log.info("onFailedLogin method threw an " +
                            "exception.  Logging and propagating original AuthenticationException.", e);
                }
            }
            throw ae; //propagate
        }

        Subject loggedIn = createSubject(token, info, subject);

        onSuccessfulLogin(token, info, loggedIn);

        return loggedIn;
    }

接著呼叫 父類的AuthenticatingSecurityManager處理

public AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {
        return this.authenticator.authenticate(token);
    }

接著呼叫安全管理器內部的認證器處理:AbstractAuthenticator

 public final AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {

        if (token == null) {
            throw new IllegalArgumentException("Method argumet (authentication token) cannot be null.");
        }

        log.trace("Authentication attempt received for token [{}]", token);

        AuthenticationInfo info;
        try {
            info = doAuthenticate(token);
            if (info == null) {
                String msg = "No account information found for authentication token [" + token + "] by this " +
                        "Authenticator instance.  Please check that it is configured correctly.";
                throw new AuthenticationException(msg);
            }
        } catch (Throwable t) {
            AuthenticationException ae = null;
            if (t instanceof AuthenticationException) {
                ae = (AuthenticationException) t;
            }
            if (ae == null) {
                //Exception thrown was not an expected AuthenticationException.  Therefore it is probably a little more
                //severe or unexpected.  So, wrap in an AuthenticationException, log to warn, and propagate:
                String msg = "Authentication failed for token submission [" + token + "].  Possible unexpected " +
                        "error? (Typical or expected login exceptions should extend from AuthenticationException).";
                ae = new AuthenticationException(msg, t);
            }
            try {
                notifyFailure(token, ae);
            } catch (Throwable t2) {
                if (log.isWarnEnabled()) {
                    String msg = "Unable to send notification for failed authentication attempt - listener error?.  " +
                            "Please check your AuthenticationListener implementation(s).  Logging sending exception " +
                            "and propagating original AuthenticationException instead...";
                    log.warn(msg, t2);
                }
            }


            throw ae;
        }

        log.debug("Authentication successful for token [{}].  Returned account [{}]", token, info);

        notifySuccess(token, info);

        return info;
    }

接著呼叫ModularRealmAuthenticator

protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
        assertRealmsConfigured();
        Collection<Realm> realms = getRealms();
        if (realms.size() == 1) {
            return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);
        } else {
            return doMultiRealmAuthentication(realms, authenticationToken);
        }
    }

然後呼叫:

 protected AuthenticationInfo doSingleRealmAuthentication(Realm realm, AuthenticationToken token) {
        if (!realm.supports(token)) {
            String msg = "Realm [" + realm + "] does not support authentication token [" +
                    token + "].  Please ensure that the appropriate Realm implementation is " +
                    "configured correctly or that the realm accepts AuthenticationTokens of this type.";
            throw new UnsupportedTokenException(msg);
        }
        AuthenticationInfo info = realm.getAuthenticationInfo(token);
        if (info == null) {
            String msg = "Realm [" + realm + "] was unable to find account data for the " +
                    "submitted AuthenticationToken [" + token + "].";
            throw new UnknownAccountException(msg);
        }
        return info;
    }

接著呼叫AuthenticatingRealm:

 public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        AuthenticationInfo info = getCachedAuthenticationInfo(token);
        if (info == null) {
            //otherwise not cached, perform the lookup:
            info = doGetAuthenticationInfo(token);
            log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);
            if (token != null && info != null) {
                cacheAuthenticationInfoIfPossible(token, info);
            }
        } else {
            log.debug("Using cached authentication info [{}] to perform credentials matching.", info);
        }

        if (info != null) {
            assertCredentialsMatch(token, info);
        } else {
            log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);
        }

        return info;
    }

分析: info = doGetAuthenticationInfo(token); 獲取客戶自定義Realm的獲取的認證資訊 assertCredentialsMatch(token, info); 這個是實際進行客戶登陸資訊和Realm資料來源進行比較的方法,根據該方法返回的介面進行整體意義的客戶登陸資訊認證

AuthenticatingRealm:assertCredentialsMatch(token, info)方法:

protected void assertCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) throws AuthenticationException {
        CredentialsMatcher cm = getCredentialsMatcher();
        if (cm != null) {
            if (!cm.doCredentialsMatch(token, info)) {
                //not successful - throw an exception to indicate this:
                String msg = "Submitted credentials for token [" + token + "] did not match the expected credentials.";
                throw new IncorrectCredentialsException(msg);
            }
        } else {
            throw new AuthenticationException("A CredentialsMatcher must be configured in order to verify " +
                    "credentials during authentication.  If you do not wish for credentials to be examined, you " +
                    "can configure an " + AllowAllCredentialsMatcher.class.getName() + " instance.");
        }
    }

分析:CredentialsMatcher cm = getCredentialsMatcher(); 這裡是獲取使用者自定義的金鑰匹配器的方法,可以在Spring中定義的init的方法,在Realm進行金鑰匹配器初始化的自定義方法:

HashedCredentialsMatcher  credentialsMatcher = new HashedCredentialsMatcher();
        //設定加密的方式
		credentialsMatcher.setHashAlgorithmName("MD5"); 
		//生成hash的迭代次數
		credentialsMatcher.setHashIterations(1024);  
		//設定憑證的匹配方式
		setCredentialsMatcher(credentialsMatcher);

cm.doCredentialsMatch(token, info)程式碼分析:

public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        Object tokenCredentials = getCredentials(token);
        Object accountCredentials = getCredentials(info);
        return equals(tokenCredentials, accountCredentials);
    }

這個程式碼是最底層的登陸認證資訊和Realm資料來源進行比較的實現,通過自定義/預設的金鑰匹配器比較,如果一致返回true,表示登陸認證通過,如果返回false,

相關推薦

Shiro- 認證授權過程原始碼分析

浪費了“黃金五年”的Java程式設計師,還有救嗎? >>>   

shiro認證授權

l  shiro框架的核心功能: 認證 授權 會話管理 加密 1.認證      shiro框架認證流程          applicationCode:應用程式程式碼,由開發人員負責開發     Subject:框架提供的介面,指當前使用者物件

Java定時任務Timer排程器 多執行緒原始碼分析(圖文版)

  上一節通過一個小例子分析了Timer執行過程,牽涉的執行執行緒雖然只有兩個,但實際場景會比上面複雜一些。 首先通過一張簡單類圖(只列出簡單的依賴關係)看一下Timer暴露的介面。   為了演示Timer所暴露的介面,下面舉一個極端的例子(每一個介面方法面

專欄 - muduo網路庫原始碼分析

muduo網路庫原始碼分析 muduo是基於Reactor模式的C++網路庫,採用Reactor + 執行緒池的方法提高併發性。內部對於事件驅動,執行緒池,定時器,io複用的設計都非常值得學習。設計技巧對C++程式碼風格有很大的幫

專欄 - Java 7併發原始碼分析

Java 7併發原始碼分析 主要是對Java 7中與多執行緒編寫相關的類進行詳細介紹,包括原子類、多執行緒鎖以及常見的支援併發的集合。專欄中對各個類的定義以及實現方法進行重點講解,以求能夠更好的理解和編寫出高質量的多執行緒程式碼!

008-shiro與spring web項目整合認證授權、session管理

添加 ner != efi ebs ref private date err 一、認證 1、添加憑證匹配器 添加憑證匹配器實現md5加密校驗。 修改applicationContext-shiro.xml: <!-- realm -->

ShiroShiro從小白到大神(三)-許可權認證(授權)

本節講許可權認證,也就是授權 基於角色的訪問控制和基於許可權的訪問控制的小例項 以及註解式授權和JSP標籤授權詳解 許可權認證 許可權認證核心要素 許可權認證,也就是訪問控制,即在應用中控制誰能訪問哪些資源 在許可權認證中,最核心的三

Spring MVCHandlerMapping初始化詳解(超詳細過程原始碼分析

Spring MVC的Control主要由HandlerMapping和HandlerAdapter兩個元件提供。HandlerMapping負責對映使用者的URL和對應的處理類,HandlerMapping並沒有規定這個URL與應用的處理類如何對映,在HandlerMapp

.NET Core專案實戰-統一認證平臺第八章 認證篇-IdentityServer4原始碼分析

上篇文章我介紹瞭如何在閘道器上實現客戶端自定義限流功能,基本完成了關於閘道器的一些自定義擴充套件需求,後面幾篇將介紹基於IdentityServer4(後面簡稱Ids4)的認證相關知識,在具體介紹ids4實現我們統一認證的相關功能前,我們首先需要分析下Ids4原始碼,便於我們徹底掌握認證的原理以及後續的擴

Spring MVCDispatcherServlet詳解(容器初始化超詳細過程原始碼分析

DispatcherServlet類相關的結構圖DispatcherServlet的初始化程式DispatcherServlet初始化了什麼,可以在其initStrategies()方法中知曉,這個方法如下: protected void initStrategies(App

ShiroApache Shiro架構之身份認證(Authentication)

trac pretty asm 安全保障 軟件測試 釋放 model tac 讀取配置文件 Shiro系列文章: 【Shiro】Apache Shiro架構之權限認證(Authorization) 【Shiro】Apache Shiro架構之集成web

Spring-Security1認證授權

部分 完整 業務 代碼 參數 web 用戶訪問 設置 管理權限 【認證】 憑據為基礎的認證: 當你登錄 e-mail 賬號時,你可能提供你的用戶名和密碼。E-mail的提供商會將你的用戶名與數據中的記錄進行匹配,並驗證你提供的密碼與對應的記錄是不是匹配。這些憑證(用戶名和

shiro登錄經歷的流程(執行ShiroAccountRealm doGetAuthenticationInfo經歷的過程

tor quest count ont lin etsec ret ebs com http://jinnianshilongnian.iteye.com/blog/2025656 攔截器機制。 在這裏 @Bean(name = "shiroFilter") pu

認證 (authentication) 和授權 (authorization) 的區別

這就是 飛機 登陸 簡單 輸入 區別 認證 的區別 auth 以前一直分不清 authentication 和 authorization,其實很簡單,舉個例子來說: 你要登機,你需要出示你的身份證和機票,身份證是為了證明你張三確實是你張三,這就是 authenticati

輸出文件 Android 加密 模組原始碼分析

                                   Android6.0 加密模組解析

kubernetes/k8s概念CNI host-local原始碼分析

接著上章節假設host-local成功分配IP,這章節講解host-local 原始碼地址: https://github.com/containernetworking/plugins 引數 { "name": "macvlannet", "cniVers

原始碼閱讀系列JDK 8 ConcurrentHashMap 原始碼分析之 由transfer引發的bug

不閱讀原始碼就不會發現這個事兒 前段時間在閱讀ConcurrentHashMap原始碼,版本JDK 8,目前原始碼研究已經告一段落。感謝魯道的ConcurrentHashMap原始碼分析文章,讀到文章,感覺和作者發生了一些交流,解答了很多疑惑,也驗證了一些想法。魯道在簡書的addCount分析文章點這裡&n

kubernetes/k8s概念CNI plugin calico原始碼分析

       calico解決不同物理機上容器之間的通訊,而calico-plugin是在k8s建立Pod時為Pod設定虛擬網絡卡(容器中的eth0和lo網絡卡),calico-plugin是由兩個靜態的二進位制檔案組成,由kubelet以命令列的形式呼叫,這兩個二進位制

Flink原理和應用:CliFrontend的原始碼分析

1. 前言 Flink的原始碼體系比較龐大,一頭扎進去,很容易一頭霧水,不知道從哪部分程式碼看起。但是如果結合我們的業務開發,有針對性地去跟進原始碼去發現問題,理解原始碼裡的執行細節,效果會更好。 筆者在近期的Flink開發過程中,因為產品的原因,只允許部署Flink stand

ArchAndroid 7 Nougat原始碼目錄結構分析

|- art // Android Runtime,一種App執行模式,區別於傳統的Dalvik虛擬機器,旨在提高Android系統的流暢性,包括以下幾個目錄。 |- benchmark // 程式測試基準。