Shiro learning

 

Shiro认证流程

在学习认证流程之前，你应该先了解Shiro的基本使用流程

认证

• 身份认证： 证明用户是谁。用户需要提供相关的凭证principals（身份标识）和Credentials (凭证,证明你是这个用户，可以理解成密码)
• Principals： 用户的属性，可以有多个。但是至少有一个属性能唯一用户
• Credentials: 证明信息，密码或者证书之类的

认证流程

• token传给Subject.login(Token)。在调用login方法时候，内部完成了认证和授权
• 实际上的认证是由SecurityManager调用Authenticator认证器
• Authenticator认证器在调用实际的Realms的时候根据配置的Authentication Strategy认证策略规则判断是否认证成功

详细的认证流程

Subject是个接口，实际上的

login(AuthenticationToken var1)是由子类DelegatingSubject实现的

public void login(AuthenticationToken token) throws AuthenticationException {
        this.clearRunAsIdentitiesInternal();
        Subject subject = this.securityManager.login(this, token);
        String host = null;
        PrincipalCollection principals;
        if (subject instanceof DelegatingSubject) {
            DelegatingSubject delegating = (DelegatingSubject)subject;
            principals = delegating.principals;
            host = delegating.host;
        } else {
            principals = subject.getPrincipals();
        }

        if (principals != null && !principals.isEmpty()) {
            this.principals = principals;
            this.authenticated = true;
            if (token instanceof HostAuthenticationToken) {
                host = ((HostAuthenticationToken)token).getHost();
            }

            if (host != null) {
                this.host = host;
            }

            Session session = subject.getSession(false);
            if (session != null) {
                this.session = this.decorate(session);
            } else {
                this.session = null;
            }

        } else {
            String msg = "Principals returned from securityManager.login( token ) returned a null or empty value.  This value must be non null and populated with one or more elements.";
            throw new IllegalStateException(msg);
        }
    }

可以看到在第三行中

调用了ScurityManager.login

因此可以证明subject只是存储用户信息，用户的认证和授权其实是通过SecurityManager调用认证器和授权器实现的。可以把SecurityManager理解成一个中央调度器。

SecurityManager是一个接口，集成Authenticator, Authorizer, SessionManager 

public interface SecurityManager extends Authenticator, Authorizer, SessionManager {
    Subject login(Subject var1, AuthenticationToken var2) throws AuthenticationException;

    void logout(Subject var1);

    Subject createSubject(SubjectContext var1);
}

SecurityManager有login方法，因此我们可以找找SecurityManager的实现类

我们可以在DefaultSecurityManager中找到Login()方法

 public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException {
        AuthenticationInfo info;//存储用户的认证信息和授权信息
        try {
            info = this.authenticate(token);//划重点
        } catch (AuthenticationException var7) {
            AuthenticationException ae = var7;

            try {
                this.onFailedLogin(token, ae, subject);
            } catch (Exception var6) {
                if (log.isInfoEnabled()) {
                    log.info("onFailedLogin method threw an exception.  Logging and propagating original AuthenticationException.", var6);
                }
            }

            throw var7;
        }

        Subject loggedIn = this.createSubject(token, info, subject);
        this.onSuccessfulLogin(token, info, loggedIn);
        return loggedIn;
    }

第四行调用了authenticate（token）.这个方法是SecurityManager的一个实现类AuthenticatingSecurityManager.java实现的，也是DefaultSecurityManager的父类

 private Authenticator authenticator = new ModularRealmAuthenticator();//认证器

   public AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {
        return this.authenticator.authenticate(token);
    }

可以看到最终认证器的实现是 ModularRealmAuthenticator

总结: Shiro通过调用Subject的子类DelegatingSubject 的login(AuthenticationToken token)完成用户的认证和授权。实际上的认证是由SecurityManager的默认子类DefaultSecurityManager中的Login方法调用SecurityManager的另外一个子类AuthenticatingSecurityManager也同时是DefaultSecurityManager的父类authenticate（AuthenticationToken token）完成认证。并且最终的认证器类型是ModualRealmAuthenticator