Shiro源码分析之认证过程

  在前面分析的基础上我们来继续看下认证的过程

Shiro认证过程的源码

认证过程的时序图

在这里插入图片描述

源码跟踪

1.DelegatingSubject类中的login 方法

2.DefaultSecurityManager类的login方法

3.AuthenticatingSecurityManager类中authenticate方法

4.AbstractAuthenticator类中的authenticate方法

5.ModularRealmAuthenticator类中的doAuthenticate方法

doSingleRealmAuthentication方法

6.AuthenticatingRealm类中的getAuthenticationInfo方法

7.SimpleAccountRealm类中执行doGetAuthenticationInfo方法

8.CredentialsMatcher中密码验证

至此整个过程结束

总结

1. 如果没有自定义Realm那么默认的是SimpleAccountRealm
2. 账号验证和密码验证是分开的，先验证账号如果为null直接抛UnknownAccountException异常，
3. 如果账号存在则验证密码是否匹配，如果不匹配则会抛IncorrectCredentialsException异常。
4. 2,3步如果都没有抛异常那么说明认证成功，后续会完成subject的创建及session的设置，以及认证成功后的初始化操作。
5. 如果我们需要自定义Realm那么继承AuthorizingRealm即可。