您好,登录后才能下订单哦!
密码登录
登录注册
点击 登录注册 即表示同意《亿速云用户服务条款》
# Shiro拦截认证的过程是什么
## 目录
1. [Shiro框架概述](#shiro框架概述)
2. [核心组件与认证流程](#核心组件与认证流程)
3. [拦截认证的详细过程](#拦截认证的详细过程)
- [3.1 请求拦截阶段](#31-请求拦截阶段)
- [3.2 认证执行流程](#32-认证执行流程)
- [3.3 结果处理与响应](#33-结果处理与响应)
4. [关键源码解析](#关键源码解析)
5. [实际应用案例](#实际应用案例)
6. [常见问题与解决方案](#常见问题与解决方案)
7. [总结与最佳实践](#总结与最佳实践)
---
## Shiro框架概述
Apache Shiro是一个强大灵活的Java安全框架,提供认证(Authentication)、授权(Authorization)、会话管理和加密等核心功能。其设计哲学是通过直观的API简化复杂的安全需求,开发者只需关注业务逻辑而无需深入底层安全机制。
**核心优势**:
- 轻量级:仅依赖少量JAR包
- 模块化:可单独使用认证或授权模块
- 跨平台:支持Web、非Web和企业级应用
## 核心组件与认证流程
### 基础架构
```java
Subject -> SecurityManager -> Realm
在Web环境中,Shiro通过ShiroFilter拦截请求,典型配置如下:
<!-- web.xml配置示例 -->
<filter>
<filter-name>shiroFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>shiroFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
拦截器链工作流程:
1. 请求到达AbstractShiroFilter
2. 创建Subject实例
3. 执行executeChain方法
4. 匹配配置的过滤器链
sequenceDiagram
participant Client
participant Filter
participant SecurityManager
participant Realm
Client->>Filter: 提交登录请求
Filter->>SecurityManager: login(token)
SecurityManager->>Realm: getAuthenticationInfo
Realm-->>SecurityManager: AuthenticationInfo
SecurityManager-->>Filter: 认证结果
Filter-->>Client: 返回响应
Token创建:
UsernamePasswordToken token = new UsernamePasswordToken(
username, password);
提交认证:
Subject currentUser = SecurityUtils.getSubject();
currentUser.login(token);
Realm验证:
protected AuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken token) throws AuthenticationException {
// 实现数据库查询等逻辑
}
成功处理: - 创建Subject会话 - 存储Principal信息 - 跳转至成功页面
失败处理:
- 抛出特定异常:
- IncorrectCredentialsException(密码错误)
- UnknownAccountException(账号不存在)
- 返回401状态码或错误页面
public interface SecurityManager extends Authenticator, Authorizer {
Subject login(Subject subject, AuthenticationToken token)
throws AuthenticationException;
// 其他核心方法...
}
DefaultSecurityManager.login()方法核心逻辑:
public Subject login(Subject subject, AuthenticationToken token) {
AuthenticationInfo info;
try {
info = authenticate(token);
} catch (AuthenticationException ae) {
// 异常处理...
}
Subject loggedIn = createSubject(token, info, subject);
notifyEvent(loggedIn, info, token);
return loggedIn;
}
@Bean
public ShiroFilterFactoryBean shiroFilter() {
ShiroFilterFactoryBean factory = new ShiroFilterFactoryBean();
factory.setSecurityManager(securityManager());
Map<String,String> filterChain = new LinkedHashMap<>();
filterChain.put("/login", "anon");
filterChain.put("/**", "authc");
factory.setFilterChainDefinitionMap(filterChain);
return factory;
}
public class CustomRealm extends AuthorizingRealm {
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken token) {
String username = (String) token.getPrincipal();
User user = userService.findByUsername(username);
if(user == null) {
throw new UnknownAccountException();
}
return new SimpleAuthenticationInfo(
user.getUsername(),
user.getPassword(),
ByteSource.Util.bytes(user.getSalt()),
getName());
}
}
| 问题现象 | 可能原因 | 解决方案 |
|---|---|---|
| 认证始终失败 | Realm未正确配置 | 检查spring.shiro.realms配置项 |
| 密码匹配异常 | 未配置CredentialsMatcher | 设置HashedCredentialsMatcher |
| 会话丢失 | Cookie配置问题 | 检查sessionIdCookie的domain/path |
@Bean
public CacheManager cacheManager() {
return new MemoryConstrainedCacheManager();
}
生产环境建议:
安全增强措施:
// 强制密码复杂度
@Bean
public PasswordMatcher passwordMatcher() {
PasswordMatcher matcher = new PasswordMatcher();
matcher.setPasswordService(new DefaultPasswordService());
return matcher;
}
扩展阅读: - Shiro官方文档 - OWASP认证指南 “`
注:本文实际约3000字,完整5550字版本需要补充以下内容: 1. 更详细的源码分析(如过滤器链实现细节) 2. 多场景对比(传统Web vs REST API认证) 3. 安全威胁模型分析 4. 性能基准测试数据 5. 历史版本演进对比 需要扩展哪个部分可以具体说明。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。