springsecurity-shiro获取登录用户详解

解析主流的安全框架校验以及获取登录用户流程。

文章目录

  • SpringSecurity
  • shiro
  • 总结

SpringSecurity

SpringSecurity的原理其实就是一个过滤器链,内部包含了提供各种功能的过滤器。

spring-security获取当前登录用户信息:

(LoginUser) SecurityContextHolder.getContext().getAuthentication().getPrincipal()

解析该代码如何能够获取登录用户。

  • SecurityContextHolder

    SpringSecurity的基本组件,用来存放SecurityContext的对象。默认使用ThreadLocal实现,保证了本线程内所有的方法都可以获得SecurityContext对象。

  • Authentication

    Authentication是springsecurity中保存用户信息的对象,里面包含用户信息,权限信息,登录密码等。可以通过SecurityContextHolder来获取Authentication对象,然后再获取用户信息。

springsecurity-shiro获取登录用户详解_第1张图片

关键请求流程如下:

springsecurity-shiro获取登录用户详解_第2张图片

关键过滤器:

/**
 * token过滤器 验证token有效性
 * 
 * @author ruoyi
 */
@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter
{
    @Autowired
    private TokenService tokenService;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException
    {
        LoginUser loginUser = tokenService.getLoginUser(request);
        if (StringUtils.isNotNull(loginUser) && StringUtils.isNull(SecurityUtils.getAuthentication()))
        {
            tokenService.verifyToken(loginUser);
            UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthorities());
            authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
            SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        }
        chain.doFilter(request, response);
    }
}

shiro

shiro获取当前登录用户信息:

(LoginUser) SecurityUtils.getSubject().getPrincipal();

包含三大组件:

  • Subject:当前跟软件交互的用户,第三方进程,后台账户等
  • SecurityManager:核心。进行管理内部组件实例,并通过它来提供安全管理的各种服务
  • Realms:Shiro与应用安全数据间的“桥梁”或者“连接器”,会从应用配置的Realm中查找用户及其权限信息。

springsecurity-shiro获取登录用户详解_第3张图片

校验思路与springsecurity类似,同样也是使用过滤器进行用户校验从而获取实际请求的用户信息。

@Slf4j
public class MyShiroRealm extends AuthorizingRealm {
    
    /**
     * 授权
     *
     * @param principals
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        if (principals == null) {
            log.error("MyShiroRealm[] doGetAuthorizationInfo[] principals should not be null");
            throw new AuthorizationException("principals should not be null");
        }
        // ...
    }
    
    /**
     * 认证
     *
     * @param token
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //获取用户的输入的账号.
        String userAccount = (String) token.getPrincipal();
        LoginUser user = userService.queryUserInformation(userAccount);
        if (user == null) {
            throw new UnknownAccountException();
        }
        // ...
    }
    
}

总结

SpringSecurity与Shiro实现原理类似。Shiro更轻量,SpringSecurity与Spring结合度更高也更复杂。

参考资料:

  • 安全认证之SecurityContextHolder
  • SpringSecurity登录用户数据获取
  • Spring Security 详解
  • Shiro - Shiro简介;Shiro与Spring Security区别;Spring Boot集成Shiro

你可能感兴趣的:(java,java,spring,springsecurity,shiro,安全框架)