欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

Shiro-Subject 分析

程序员文章站 2022-12-06 19:27:32
Subject反正就好像呈现的视图。所有Subject 都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者; 对于上面这句话的理解呢?怎么去理解这个很重要,看看 ......

subject反正就好像呈现的视图。所有subject 都绑定到securitymanager,与subject的所有交互都会委托给securitymanager;可以把subject认为是一个门面;securitymanager才是实际的执行者;
对于上面这句话的理解呢?怎么去理解这个很重要,看看别人的代码设计的流程也是比较的清楚的,subject都绑定到了securitymanager,因此我们在创建subject的时候,必须给框架的内部绑定了一个securitymanager,在前一个博客,我们已经基本的看了securitymanager,大致的主要的架构,现在来看看subject的主要的源码,学习一下别人这么写的用意何在?自己也是多多的总结很有很好,看看别人的优秀代码。
和上一个一样的
shrio.ini

[users]
zhang=123
wang=123
//得到factory对象
factory<org.apache.shiro.mgt.securitymanager> factory =
new inisecuritymanagerfactory("classpath:shiro.ini");

//2、得到securitymanager实例 并绑定给securityutils
org.apache.shiro.mgt.securitymanager securitymanager = factory.getinstance();
securityutils.setsecuritymanager(securitymanager);


//3、得到subject及创建用户名/密码身份验证token(即用户身份/凭证)
subject subject = securityutils.getsubject();
usernamepasswordtoken token = new usernamepasswordtoken("zhang", "123");

try {
//4、登录,即身份验证
subject.login(token);
} catch (authenticationexception e) {
//5、身份验证失败
}

assert.assertequals(true, subject.isauthenticated()); //断言用户已经登录

//6、退出
subject.logout();

securityutils:是一个非常关键的类,这里可以获取到我们的全局的资源,和当前的线程相关的,放置在threadlocal里面的,subject也是如此哦,和当前的环境相关


package org.apache.shiro;

import org.apache.shiro.mgt.securitymanager;
import org.apache.shiro.subject.subject;
import org.apache.shiro.util.threadcontext;


/**
* accesses the currently accessible
{@code subject} for the calling code
depending on runtime environment.
*获取subject,和当前的环境相关
* @since 0.2
*/
public abstract class securityutils {

/**
*threadcontext 这里保存的是和线程相关的东西,这里只是个备份
*感觉作用不是很大,这里只是用作在单线程的环境中
* only used as a 'backup' in vm singleton environments
(that is, standalone environments), since the
* threadcontext should always be the primary
source for subject instances when possible.
*/
private static securitymanager securitymanager;

public static subject getsubject() {
subject subject = threadcontext.getsubject();
if (subject == null) {
subject = (new subject.builder()).buildsubject();
threadcontext.bind(subject);
}
return subject;
}
//这里一般都是只在单线程中使用的,
//获取这个一般在threadloacal中获取,而不是这里哦
public static void setsecuritymanager(securitymanager securitymanager) {
securityutils.securitymanager = securitymanager;
}
//每次都是先去找线程相关的,然后没有在去在备份的static
public static securitymanager getsecuritymanager()
throws unavailablesecuritymanagerexception {
securitymanager securitymanager = threadcontext.getsecuritymanager();
if (securitymanager == null) {
securitymanager = securityutils.securitymanager;
}
if (securitymanager == null) {

throw new unavailablesecuritymanagerexception(msg);
}
return securitymanager;
}
}

如我们所知道的,设置securitymanager,之后才能绑定到.子进程共享父进程的信息 threadloacl http://blog.csdn.net/jiafu1115/article/details/7548605 这里讲的还不错。http://blog.csdn.net/feier7501/article/details/19088905 这里的例子 笔者也去试了一下子,这种用法太高级了。


public abstract class threadcontext {

// 这种唯一的key设置值得学习一下哦,通过名字
public static final string security_manager_key = threadcontext.class.getname() + "_security_manager_key";
public static final string subject_key = threadcontext.class.getname() + "_subject_key";

//这里使用了inheritablethreadlocalmap
//子线程会接收所有可继承的线程局部变量的初始值,
//以获得父线程所具有的值。通常,子线程的值与父线程的值是一致的
//这个就是比较高级的用法了,让子线程也可以获取到
private static final threadlocal<map<object, object>> resources = new inheritablethreadlocalmap<map<object, object>>();
protected threadcontext() {
}
//这个每次获取的都是新的哦,线程安全的。
public static map<object, object> getresources() {
return resources != null ? new hashmap<object, object>(resources.get()) : null;
}


private static object getvalue(object key) {
return resources.get().get(key);
}

public static object get(object key) {
object value = getvalue(key);
return value;
}


public static void put(object key, object value) {
if (key == null) {
throw new illegalargumentexception("key cannot be null");
}
if (value == null) {
remove(key);
return;
}
resources.get().put(key, value);
}
public static object remove(object key) {
object value = resources.get().remove(key);
return value;
}
public static void remove() {
resources.remove();
}
//获取总管家
public static securitymanager getsecuritymanager() {
return (securitymanager) get(security_manager_key);
}

public static void bind(securitymanager securitymanager) {
if (securitymanager != null) {
put(security_manager_key, securitymanager);
}
}
public static securitymanager unbindsecuritymanager() {
return (securitymanager) remove(security_manager_key);
}
public static subject getsubject() {
return (subject) get(subject_key);
}
public static void bind(subject subject) {
if (subject != null) {
put(subject_key, subject);
}
}

private static final class inheritablethreadlocalmap<t extends map<object, object>> extends inheritablethreadlocal<map<object, object>> {
protected map<object, object> initialvalue() {
return new hashmap<object, object>();
}

/**
* this implementation was added to address a
* <a href="http://jsecurity.markmail.org/search/?q=#query:+page:1+mid:xqi2yxurwmrpqrvj+state:results">
* user-reported issue</a>.
* @param parentvalue the parent value, a hashmap as defined in the {@link #initialvalue()} method.
* @return the hashmap to be used by any parent-spawned child threads (a clone of the parent hashmap).
*/
@suppresswarnings({"unchecked"})
protected map<object, object> childvalue(map<object, object> parentvalue) {
if (parentvalue != null) {
return (map<object, object>) ((hashmap<object, object>) parentvalue).clone();
} else {
return null;
}
}
}
}

上面的当前线程的值,保存了总管家了,和subject的信息。subject和总管家之间的关系如何呢?这个看看创建subject的时候怎么去处理的。一步步的解开谜底。
之前已经绑定总管家了

//3、得到subject及创建用户名/密码身份验证token(即用户身份/凭证)
subject subject = securityutils.getsubject();

–>下一步从当前线程中获取subject有没有?没有创建一个,通过subject自己的build设计模式,创建一个subject,此时我们跟进subject里面去看看。public interface subject,subject是个接口,builder是一个内部静态类。这种用法你不会使用吧

public static subject getsubject() {
subject subject = threadcontext.getsubject();
if (subject == null) {
subject = (new subject.builder()).buildsubject();
threadcontext.bind(subject);
}
return subject;
}

subject内部结构图可以看到builder中和管家绑定有关系吧!而且这个接口有很多的权限的查看信息这个和管家里面的继承结构那有关系的,哈哈,代理的模式估计应该就是那样的。这种定义build可以值得学习,用起来比较爽,比如okhttp好像也是这样的,模式哦很多的默认的参数,也可以自己设置自己喜欢的模式,进行处理。这个就是优点,比如android里面的dialog的参数设置,你可以自己设置,也可以使用默认的参数。

subject内部结构图可以看到builder中和管家绑定有关系吧!而且这个接口有很多的权限的查看信息这个和管家里面的继承结构那有关系的,哈哈,代理的模式估计应该就是那样的。这种定义build可以值得学习,用起来比较爽,比如okhttp好像也是这样的,模式哦很多的默认的参数,也可以自己设置自己喜欢的模式,进行处理。这个就是优点,比如android里面的dialog的参数设置,你可以自己设置,也可以使用默认的参数。
Shiro-Subject 分析

public static class builder {

/**
* hold all contextual data via the builder instance's method invocations to be sent to the
* {@code securitymanager} during the {@link #buildsubject} call.
数据保持器,在最后调用buildsubject的时候被使用。
*/
private final subjectcontext subjectcontext;
private final securitymanager securitymanager;

/**
* constructs a new {@link subject.builder} instance,
using the {@code securitymanager} instance available
*/
//这里使用了管家 subjectcontext 保存数据?被
// sent to the {@code securitymanager} to create a new {@code subject} instance.
public builder() {
this(securityutils.getsecuritymanager());
}

public builder(securitymanager securitymanager) {
if (securitymanager == null) {
throw new nullpointerexception("null.");
}
this.securitymanager = securitymanager;
this.subjectcontext = newsubjectcontextinstance();
if (this.subjectcontext == null) {
throw new illegalstateexception("newsubjectcontextinstance' " +
"cannot be null.");
}
//这个有点意思了,保存当前管家的一个引用。
this.subjectcontext.setsecuritymanager(securitymanager);
}

/**
* creates a new {@code subjectcontext} instance to
be used to populate with subject contextual data that
* will then be sent to the {@code securitymanager}
to create a new {@code subject} instance.
* @return a new {@code subjectcontext} instance
*/
//这个有点意思,放置在管家中去创建一个subject
protected subjectcontext newsubjectcontextinstance() {
return new defaultsubjectcontext();
}
//让后代使用
protected subjectcontext getsubjectcontext() {
return this.subjectcontext;
}

public builder sessionid(serializable sessionid) {
if (sessionid != null) {
this.subjectcontext.setsessionid(sessionid);
}
return this;
}

public builder host(string host) {
if (stringutils.hastext(host)) {
this.subjectcontext.sethost(host);
}
return this;
}

......
//这里才是真正的返回实例,这里调用了管家创建的方法
//subjectcontext 创建的信息,反应到当前的信息当中去处理
public subject buildsubject() {
return this.securitymanager.createsubject(this.subjectcontext);
}
}

defaultsubjectcontext的结构又是如何的?
public class defaultsubjectcontext extends mapcontext implements subjectcontext
defaultsubjectcontext 中的信息字段是由mapcontext这个类型安全的来维护的,defaultsubjectcontext 中的所有的字段的信息都是放置在map中的去维护的,且可以指定返回类型的安全性,如果非法,触发异常。mapcontext中主要是维护defaultsubjectcontext 中定义的字段的信息。

Shiro-Subject 分析 

简单介绍 defaultsubjectcontext 中的信息维护都是这样的类型

//这样可以指定返回的类型哦,不对的话,触发异常
public securitymanager getsecuritymanager() {
return gettypedvalue(security_manager, securitymanager.class);
}
//非空插入哦
public void setsecuritymanager(securitymanager securitymanager) {
nullsafeput(security_manager, securitymanager);
}

mapcontext设置得也是比较的精巧,获取的成员变量backingmap 是不允许直接引用的哦

private final map<string, object> backingmap;
public mapcontext() {
this.backingmap = new hashmap<string, object>();
}

不让外面直接的就引用,修改值。

public set<string> keyset() {
return collections.unmodifiableset(backingmap.keyset());
}

public collection<object> values() {
return collections.unmodifiablecollection(backingmap.values());
}

public set<entry<string, object>> entryset() {
return collections.unmodifiableset(backingmap.entryset());
}

非空检查

protected void nullsafeput(string key, object value) {
if (value != null) {
put(key, value);
}
}
检查得到的结果,是不是期待的呢?类型安全
isassignablefrom()方法是从类继承的角度去判断,instanceof()方法是从实例继承的角度去判断。
isassignablefrom()方法是判断是否为某个类的父类,instanceof()方法是判断是否某个类的子类。
class.isassignablefrom()是用来判断一个类class1和另一个类class2是否相同或是另一个类的子类或接口。
我记得好像是在java神书上面说过的。

protected <e> e gettypedvalue(string key, class<e> type) {
e found = null;
object o = backingmap.get(key);
if (o != null) {
if (!type.isassignablefrom(o.getclass())) {
string msg = "invalid object found in subjectcontext“;

throw new illegalargumentexception(msg);
}
found = (e) o;
}
return found;
}

说彪了,其实都是学习没关系的…
继续之前的subject的内部类创建subject的过程最后是
这个时候和我们的管家扯上关系了,我们知道管家的继承结构非常的复杂,里面的处理流程非常的多,最后的实现是在

public subject buildsubject() {
return this.securitymanager.createsubject(this.subjectcontext);
}
Shiro-Subject 分析

最后的一个管理者实现了创造subject的方法
defaultsecuritymanager,这里做了一些乱七八糟的东西很难懂,跟着业务..

public subject createsubject(subjectcontext subjectcontext) {
//create a copy so we don't modify the argument's backing map:
subjectcontext context = copy(subjectcontext);

//ensure that the context has a securitymanager instance, and if not, add one:
context = ensuresecuritymanager(context);

//resolve an associated session (usually based on a referenced session id),
//place it in the context before
//sending to the subjectfactory. the subjectfactory should not need to
//know how to acquire sessions as the
//process is often environment specific - better to shield the sf from these details:
context = resolvesession(context);

//similarly, the subjectfactory should not require any concept of rememberme -
//translate that here first
//if possible before handing off to the subjectfactory:
context = resolveprincipals(context);

//都是一些业务的逻辑,这里才是真正的创建
subject subject = docreatesubject(context);

//save this subject for future reference if necessary:
//(this is needed here in case rememberme principals were
//resolved and they need to be stored in the
//session, so we don't constantly rehydrate the rememberme
//principalcollection on every operation).
//added in 1.2:
//保存备份信息把,不用每次都这么麻烦
save(subject);

return subject;
}

得到创建subject的工厂,创建subject

protected subjectfactory subjectfactory;
public defaultsecuritymanager() {
super();
this.subjectfactory = new defaultsubjectfactory();
this.subjectdao = new defaultsubjectdao();
}
//调用的这里哦
protected subject docreatesubject(subjectcontext context) {
return getsubjectfactory().createsubject(context);
}

defaultsubjectfactory 唯一的实现了subjectfactory
subjectcontext 这个运输信息的,终于被弄出来了,然后呢,创建一个subject的实现,这个是最终的目的。 delegatingsubject 创建一个subject的实现了

public subject createsubject(subjectcontext context) {
securitymanager securitymanager = context.resolvesecuritymanager();
session session = context.resolvesession();
boolean sessioncreationenabled = context.issessioncreationenabled();
principalcollection principals = context.resolveprincipals();
boolean authenticated = context.resolveauthenticated();
string host = context.resolvehost();

return new delegatingsubject(principals, authenticated, host, session, sessioncreationenabled, securitymanager);
}

然后就是subjectdao保存,这个不在去看了…

但是subject.login->使用的是实现类delegatingsubject 中的总管家的的方法,然后总管家在调用内部的实现。调用内部的验证,在调用….这样的关系就拉上了。

Shiro-Subject 分析

 

Shiro-Subject 分析

1、首先调用subject.login(token)进行登录,其会自动委托给security manager,调用之前必
须通过securityutils. setsecuritymanager()设置;
2、securitymanager负责真正的身份验证逻辑;它会委托给authenticator进行身份验证;
3、authenticator才是真正的身份验证者,shiro api中核心的身份认证入口点,此处可以自
定义插入自己的实现;
4、authenticator可能会委托给相应的authenticationstrategy进行多realm身份验证,默认
modularrealmauthenticator会调用authenticationstrategy进行多realm身份验证;
5、authenticator 会把相应的token 传入realm,从realm 获取身份验证信息,如果没有返
回/抛出异常表示身份验证失败了。此处可以配置多个realm,将按照相应的顺序及策略进
行访问。
哈哈,这里这么多的东西,我还没开始了解呢!