Fork me on GitHub

Apache Shiro --- 3 subject

阅读数:0
字数统计: 1.8k字   |   阅读时长≈ 8分

Subject 本质上是当前运行用户特定的’View’(视图),而单词“User”经常暗指一个人,Subject 可以是一个人,但也可以是第三方服务、守护进程帐户、时钟守护任务或者其它–当前和软件交互的任何事件。 Subject 实例都和(也需要)一个 SecurityManager 绑定,当你和一个Subject 进行交互,这些交互动作被转换成 SecurityManager 下Subject 特定的交互动作。

Subject 类图

Subject主要分为两类,一种是在非 Web 环境下使用,另一种是在 Web 环境下使用,包含了 java Servlet相关的信息。Subject的整个类图如下所示:

image-20210113134415179

Subject最为最顶层的接口,定义了用户基本信息的接口、登录相关和权限相关的接口。

DelegatingSubject实现了Subject接口,在非 Web 环境下使用。

WebDelegatingSubject则是在 Web 环境下使用,需要依赖于Servlet

RequestPairSource提供当前正在执行的请求关联的ServletRequest ServletRequestServletResponse ServletResponse

Subject 实例化

工厂类 SubjectFactory

SubjectFactory接口时负责创建并且初始化Subject

image-20210113135616631

1
2
3
4
public interface SubjectFactory {
	// 创建 Subject, SubjectContex表示初始化参数
    Subject createSubject(SubjectContext context);
}

它有两个子类,DefaultSubjectFactory使用在非 Web 环境下,会创建DelegatingSubject实例。DefaultWebSubjectFactory则对应在 Web 环境下,会创建WebDelegatingSubject实例。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
public Subject createSubject(SubjectContext subjectContext) {
        // 获取一个新的DefaultSubjectContext 里面还是旧subjectContext
        SubjectContext context = copy(subjectContext);
        // 确保SecurityManager存在,如果不存在,则将this添加到上下文中。这样可以确保在Subject构造期间SubjectFactory实例将有权访问SecurityManager
        context = ensureSecurityManager(context);
        //解析关联的Session(通常基于引用的Session ID),并将其放置在上下文中,然后发送到SubjectFactory。 SubjectFactory不需要知道如何获取会话,因为进程通常是特定于环境的-更好地保护SF免受这些细节的影响:
        context = resolveSession(context);
    	//类似地,SubjectFactory不需要使用RememberMe的任何概念-如果可能的话,请先在此处进行翻译,然后再移交给SubjectFactory
        context = resolvePrincipals(context);
        Subject subject = doCreateSubject(context);
  	  //(如有必要,请保存此主题,以供将来参考:(在此情况下,需要记住Me主体,并且需要将其存储在会话中,因此在此需要,所以我们不会在每次操作时都不断地对RememberMe PrincipalCollection进行补水) 。
        save(subject);
        return subject;
    }
    protected SubjectContext copy(SubjectContext subjectContext) {
        return new DefaultSubjectContext(subjectContext);
    }
	// 委派给SubjectFactory创建subject
    protected Subject doCreateSubject(SubjectContext context) {
        return getSubjectFactory().createSubject(context);
    }

初始化参数 SubjectContext

SubjectContext用于初始化Subject的,不同的子类对应着不同类型的Subject。比如下面的DefaultSubjectContext用作非 Web 环境下的DelegatingSubject初始化,而DefaultWebSubjectContext用于 Web 环境下的WebDelegatingSubject初始化。

image-20210113135912551

image-20210113140148650

SubjectContext提供了SecurityManagerSession、身份凭证AuthenticationToken、身份信息AuthenticationInfo、客户端 ip 等参数。

DefaultSubjectContext实现了SubjectContext接口,它相当于JavaBean,是上述这些信息的集合类。

DefaultSubjectContext只是在DefaultSubjectContext基础之上,添加了ServletRequestServletResponse的操作。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
//Subject中 Builder类的构造,此时SubjectContext就是在此时构造的
public Builder() {
            SecurityManager securityManager = SecurityUtils.getSecurityManager()
            if (securityManager == null) {
                throw new NullPointerException("SecurityManager method argument cannot be null.");
            }
            this.subjectContext = new DefaultSubjectContext();
            if (this.subjectContext == null) {
                throw new IllegalStateException("Subject instance returned from 'newSubjectContextInstance' " +
                        "cannot be null.");
            }
    		// 设置securityManager
            this.subjectContext.setSecurityManager(securityManager);
        }

我们来看下非web模式下Subject构造:

1
2
3
4
5
6
7
8
9
10
11
12
13
public Subject createSubject(SubjectContext context) {
    // 返回securityManager
    SecurityManager securityManager = context.resolveSecurityManager();
    // 返回 session
    Session session = context.resolveSession();
    // 是否启用session创建
    boolean sessionCreationEnabled = context.isSessionCreationEnabled();
    PrincipalCollection principals = context.resolvePrincipals();
    boolean authenticated = context.resolveAuthenticated();
    String host = context.resolveHost();
    // 创建DelegatingSubject
    return new DelegatingSubject(principals, authenticated, host, session, sessionCreationEnabled, securityManager);
}

Subject 实例化

1、spring BeanPostProcessor(项目启动)安全管理器来源

image-20210113160209990

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
// 看到这我们就很明白了setSecurityManager是什么时候设置进来的了
// 同时这时候过滤链都设置进来了

public class ShiroFilterFactoryBean implements FactoryBean, BeanPostProcessor{

}

@Configuration
public class ShiroConfig {

    /**
     * Shiro基础配置
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactory(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        // 注意过滤器配置顺序不能颠倒
        // 配置过滤:不会被拦截的链接
        filterChainDefinitionMap.put("/api/user/login/**", "anon");
        filterChainDefinitionMap.put("/api/user/logout/**", "anon");
        // 需要拦截的
        filterChainDefinitionMap.put("/**", "authc");
        // 配置shiro默认登录界面地址,前后端分离中登录界面跳转应由前端路由控制,后台仅返回json数据
        LinkedHashMap<String, Filter> filterMap = new LinkedHashMap<>();
        filterMap.put("authc", new ShiroFormAuthenticationFilter());
        shiroFilterFactoryBean.setFilters(filterMap);
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    /**
     * 安全管理器
     */
    @Bean
    public SecurityManager securityManager(SessionManager sessionManager) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setSessionManager(sessionManager);
        securityManager.setRememberMeManager(null);
        securityManager.setRealm(shiroRealm());
        return securityManager;
    }

}

2、shiro过滤器(请求前)

image-20210113152712046

在AbstractShiroFilter中

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
 protected void doFilterInternal(ServletRequest servletRequest, ServletResponse servletResponse, final FilterChain chain)
            final ServletRequest request = prepareServletRequest(servletRequest, servletResponse, chain);
            final ServletResponse response = prepareServletResponse(request, servletResponse, chain);
		   // 创建
            final Subject subject = createSubject(request, response);

            //noinspection unchecked
            subject.execute(new Callable() {
                public Object call() throws Exception {
                    updateSessionLastAccessTime(request, response);
                    executeChain(request, response, chain);
                    return null;
                }
            });
    }    
protected WebSubject createSubject(ServletRequest request, ServletResponse response) {
       // 创建
        return new WebSubject.Builder(getSecurityManager(), request, response).buildWebSubject();
    }

// 最后调用DefaultWebSubjectFactory.class的
    public Subject createSubject(SubjectContext context) {
        if (!(context instanceof WebSubjectContext)) {
            return super.createSubject(context);
        }
        WebSubjectContext wsc = (WebSubjectContext) context;
        SecurityManager securityManager = wsc.resolveSecurityManager();
        Session session = wsc.resolveSession();
        boolean sessionEnabled = wsc.isSessionCreationEnabled();
        PrincipalCollection principals = wsc.resolvePrincipals();
        boolean authenticated = wsc.resolveAuthenticated();
        String host = wsc.resolveHost();
        ServletRequest request = wsc.resolveServletRequest();
        ServletResponse response = wsc.resolveServletResponse();

        return new WebDelegatingSubject(principals, authenticated, host, session, sessionEnabled,
                request, response, securityManager);
    }

Subject 持久化

SubjectDAO接口定义了Subject的持久化

1
2
3
4
5
6
7
8
public interface SubjectDAO {
    
    // 存储
    Subject save(Subject subject);
    
    // 删除
    void delete(Subject subject);
}

目前只有一个实现类DefaultSubjectDAO,它的原理也比较简单,使用了 session 存储信息。它只是存储了用户的身份信息和是否已经成功认证。

session 属性名 类型 含义
DefaultSubjectContext.AUTHENTICATED_SESSION_KEY PrincipalCollection 身份列表(一个用户可能有多个身份)
DefaultSubjectContext.AUTHENTICATED_SESSION_KEY Boolean 是否通过身份认证

login 原理

现在我们来看看从Subject.login方法开始,看看整个 login 的过程。Subjectlogin方法只有DelegatingSubject子类实现了,它只是将请求转发给DefaultSecurityManager处理。

1
2
3
4
5
6
7
8
9
10
public class DefaultSecurityManager extends SessionsSecurityManager {
    
    public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException {
        // 执行身份验证,如果验证失败则会抛出异常
        AuthenticationInfo info = authenticate(token);
        // 验证成功后,创建新的Subject实例
        Subject loggedIn = createSubject(token, info, subject);
        return loggedIn;
    }
}

再继续看看Subject的创建过程

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
public class DefaultSecurityManager extends SessionsSecurityManager {

    protected Subject createSubject(AuthenticationToken token, AuthenticationInfo info, Subject existing) {
        // 创建并且初始化SubjectContext
        SubjectContext context = createSubjectContext();
        context.setAuthenticated(true);
        context.setAuthenticationToken(token);
        context.setAuthenticationInfo(info);
        context.setSecurityManager(this);
        if (existing != null) {
            context.setSubject(existing);
        }
        // 使用SubjectContext创建Subject
        return createSubject(context);
    }
    
    public Subject createSubject(SubjectContext subjectContext) {
        // .... 继续设置SubjectContext
        
        // 创建Subject
        Subject subject = doCreateSubject(context);
        
        // 持久化Subject 
        save(subject);
        return subject;
    }
}

上面调用了两个方法doCreateSubjectsave方法,最后来看看它们的原理

1
2
3
4
5
6
7
8
9
10
11
12
public class DefaultSecurityManager extends SessionsSecurityManager {

    // 使用SubjectFactory创建
    protected Subject doCreateSubject(SubjectContext context) {
        return getSubjectFactory().createSubject(context);
    }

    //使用SubjectDAO持久化
    protected void save(Subject subject) {
        this.subjectDAO.save(subject);
    }
}

整个 login 流程如下图所示:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
sequenceDiagram
    participant Subject
    participant DefaultSecurityManager
    participant Authenticator
    participant SubjectFactory
    participant SubjectDAO
    Subject->>+DefaultSecurityManager: login
    DefaultSecurityManager->>+Authenticator: authenticate
    Authenticator-->>-DefaultSecurityManager: AuthenticationInfo
    DefaultSecurityManager->>+SubjectFactory: createSubject
    SubjectFactory-->>-DefaultSecurityManager: Subject
    DefaultSecurityManager->>+SubjectDAO: save
    SubjectDAO-->>-DefaultSecurityManager: 
    DefaultSecurityManager-->>-Subject: .

logout 原理

在执行Subject.logout方法完成登出操作后,shrio 会将Subject的信息都设置为空,并且会删除关联的 session。

参考

1
2
https://blog.csdn.net/qq_34021712/article/details/80418112
https://zhmin.github.io/2020/04/14/shiro-session/

谢谢你请我吃糖果

支付宝
微信

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

主要涉及技术:
Java后端开发、聚合支付、
公众号开发、开源爱好者、Linux

联系QQ:2013881276

很惭愧

只做了一点微小的工作
谢谢大家