从源码角度分析Shiro的验证过程

背景

  • 我们这个项目是前后端分离的架构。由于前端在一次退出登录时,存在同一用户多次登录的情况,导致退出登录失败!存在Redis服务器中的SessionId被删除,也就不能再尝试退出登录了。
  • 但是更想不到的是,自此以后,不论账号密码对不对都报:"Realm [" com.cx.shiro.MyShiroRealm "] was unable to find account data for the " + "submitted AuthenticationToken [" + token + "]"。而且我在本地服务器测试账号密码都正确的情况下没出现这个问题,那接下来就是通过服务器的日志进行排查了。

排查思路

  1. 查看服务器日志,只发现执行了一次查询,然后再无下文。退出登录出错日志倒是很多,但是这并不影响我们排查登录出错的接口。因为我把Redis服务器的相关缓存清空了。
  2. 在本地服务器重现这个错误;
  3. 从这个错误调试从后往前查看一遍,再从前往后排查;
  4. 定位导致出错的代码。

具体解决

  1. 从错误中我们可以得知,该账号不存在。所以我在我本地测试的时候输入一个数据库中并没有的账号,果然重现了这个错误。
  2. 接着启动debug模式,来一步步进行调试:
    先看一波shiro验证涉及的主要类图:


    image.png

    image.png

    image.png

    再来一波方法调用图:绿色的是接口,蓝色的是类:


    image.png

首先在登录操作的代码上打上断点:

   @RequestMapping(value = "/login.do",method = RequestMethod.POST)
   @ResponseBody
   @ApiOperation(value = "登录接口" ,notes = "根据用户账号密码登录" ,httpMethod = "POST")
    public ServerResponse Login(@Param("employeeId") String employeeId, @Param("password") String password) throws ParseException {
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(employeeId,password);
        usernamePasswordToken.setRememberMe(true);
        try{
            subject.login(usernamePasswordToken);  // 打断点的位置
        }catch(UnknownAccountException e){
           return ServerResponse.createByErrorMessage(e.getMessage());
        }catch (IncorrectCredentialsException e){
            return ServerResponse.createByErrorMessage(e.getMessage());
        }catch (LockedAccountException e){
            return ServerResponse.createByErrorMessage(e.getMessage());
        }catch (AuthenticationException e){
            return ServerResponse.createByErrorMessage("账户验证失败");
        }

subject.login()实际调用的是DelefatingSubject中的login()方法:

public void login(AuthenticationToken token) throws AuthenticationException {
        this.clearRunAsIdentitiesInternal();  // 如果session存在,则清除掉原有的session
        Subject subject = this.securityManager.login(this, token);//真正login的调用方法
        //以下代码省略
        ...

接securityManaget.login()这个方法调用了DefaultSecurityManager.login(Subject subject, AuthenticationToken token)这个方法,接着往下看:

public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException {
        AuthenticationInfo info;
        try {
            info = this.authenticate(token); //实际进行验证的方法
        } catch (AuthenticationException var7) {  // 抛出验证失败的Exception
            AuthenticationException ae = var7;

            try {
                this.onFailedLogin(token, ae, subject);
            } catch (Exception var6) {
                if (log.isInfoEnabled()) {
                    log.info("onFailedLogin method threw an exception.  Logging and propagating original AuthenticationException.", var6);
                }
            }

            throw var7;
        }

        Subject loggedIn = this.createSubject(token, info, subject);
        this.onSuccessfulLogin(token, info, loggedIn);
        return loggedIn;
    }

那我们下一步就是查看这个真正进行用户验证的方法:
它在AuthenticatingSecurityManager.class中调用了 authenticate(AuthenticationToken token)方法

 public AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {
        return this.authenticator.authenticate(token);
    }

this.authenticator.authenticate(token)方法实际上是调用了 AbstractAuthenticator这个抽象类的authenticate方法。

public final AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {
        if (token == null) {
            throw new IllegalArgumentException("Method argumet (authentication token) cannot be null.");
        } else {
            log.trace("Authentication attempt received for token [{}]", token);

            AuthenticationInfo info;
            try {
                info = this.doAuthenticate(token);//这里调用验证的方法
                if (info == null) {//这里可以知道info == null
                    //这个就是我们要找的错误
                    String msg = "No account information found for authentication token [" + token + "] by this " + "Authenticator instance.  Please check that it is configured correctly.";
                    throw new AuthenticationException(msg);
                }
            } catch (Throwable var8) {
                AuthenticationException ae = null;
                if (var8 instanceof AuthenticationException) {
                    ae = (AuthenticationException)var8;
                }

                if (ae == null) {
                    String msg = "Authentication failed for token submission [" + token + "].  Possible unexpected " + "error? (Typical or expected login exceptions should extend from AuthenticationException).";
                    ae = new AuthenticationException(msg, var8);
                }

                try {
                    this.notifyFailure(token, ae);
                } catch (Throwable var7) {
                    if (log.isWarnEnabled()) {
                        String msg = "Unable to send notification for failed authentication attempt - listener error?.  Please check your AuthenticationListener implementation(s).  Logging sending exception and propagating original AuthenticationException instead...";
                        log.warn(msg, var7);
                    }
                }

                throw ae;
            }

            log.debug("Authentication successful for token [{}].  Returned account [{}]", token, info);
            this.notifySuccess(token, info);
            return info;
        }
    }

this.doAuthenticate(token)调用的是ModularRealmAuthenticator.doAuthenticate(AuthenticationToken authenticationToken)方法

protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
        this.assertRealmsConfigured();
        Collection<Realm> realms = this.getRealms(); //这个来查看我们
        return realms.size() == 1 ? this.doSingleRealmAuthentication((Realm)realms.iterator().next(), authenticationToken) : this.doMultiRealmAuthentication(realms, authenticationToken);
    }

这里如果你配置了多个Realm就调用

doMultiRealmAuthentication(realms, authenticationToken),

如果配置了一个Realm就调用

doSingleRealmAuthentication((Realm)realms.iterator().next(), authenticationToken)

这里我只说配置一个Realm的情况,多个Realm的情况有很多种,下次另开一篇来具体分析。doSingleRealmAuthentication((Realm)realms.iterator().next(), authenticationToken)是在ModularRealmAuthenticator中调用的

protected AuthenticationInfo doSingleRealmAuthentication(Realm realm, AuthenticationToken token) {
        if (!realm.supports(token)) {
            String msg = "Realm [" + realm + "] does not support authentication token [" + token + "].  Please ensure that the appropriate Realm implementation is " + "configured correctly or that the realm accepts AuthenticationTokens of this type.";
            throw new UnsupportedTokenException(msg);
        } else {
            //这个是验证方法,Realm是一个接口
            AuthenticationInfo info = realm.getAuthenticationInfo(token);
            if (info == null) {
                String msg = "Realm [" + realm + "] was unable to find account data for the " + "submitted AuthenticationToken [" + token + "].";
                throw new UnknownAccountException(msg);
            } else {
                return info;
            }
        }
    }

接着调用AuthenticatingRealm中的getAuthenticationInfo()方法

public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //先从缓存中尝试拿到info
        AuthenticationInfo info = this.getCachedAuthenticationInfo(token);
        if (info == null) {
            //缓存中没有再执行验证
            info = this.doGetAuthenticationInfo(token);
            log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);
            if (token != null && info != null) {
                this.cacheAuthenticationInfoIfPossible(token, info);
            }
        } else {
            log.debug("Using cached authentication info [{}] to perform credentials matching.", info);
        }

AuthenticatingRealm中这是一个抽象方法,而我们自定义的Realm就是继承该方法的,并且重写了这个方法

 protected abstract AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken var1) throws AuthenticationException;

最后我们看一下我们自定义的Realm里面重写的这个方法

 //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //拿到账号
        String employeeId = (String) authenticationToken.getPrincipal();
        //拿到密码
        String password = new String((char[]) authenticationToken.getCredentials());
        //使用MD5进行加密
        password = MD5Util.MD5Encode(password);
        LOGGER.error("password"+ password);
        //从数据库中拿到对应的员工的数据
        Employee employee = employeeService.selectEmployeeById(employeeId);
        //就是这个,错误的根源
        if((employee == null)||!employee.getPassword().equals(password)){
            return  null;
        }
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(employee,password,getName());
        //盐值
      authenticationInfo.setCredentialsSalt(ByteSource.Util.bytes(PropertiesUtil.getProperty("password.salt")));
        return authenticationInfo;
    }

经过我们上面的分析,我们知道返回的AuthenticationInfo是null。再看看我们自定义的Realm中的doGetAuthenticationInfo()方法,我们可以知道:

  1. employee找不到,为null;
  2. employee的password跟MD5加密后的密码不同。
    我查看服务器日志,发现employee是存在的,不为null,那就只有通过MD5加密后的密码和数据库中的密码不一致的情况了。
    所以我把密码加密后的密码和数据库中的密码打印出来,发现真的不一样,而且很奇怪的就是盐值让我改了。什么?盐值让我改了?什么时候的事,我没有!


    image.png

* 解决办法:把盐值改回来!把盐值改回来!把盐值改回来!给我气的啊!

但是为什么会出现本地测试没问题,线上测试有问题呢!我觉得是:

  • 由于我设置session缓存的时间是一天,所以在这一天内,缓存的session不会消失。也就是我redis服务器在这一天内一直都有这个session,但是线上服务器的session被删了,没错,因为退出登录其实是成功的!但是返回出错,这个问题需要再解决一下。

总结

  • 由于自己的手贱,花了好久的时间才解决的这个bug。
  • shiro的源码还是很容易懂的,建议新手可以读一读,有很多很好的设计。
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,558评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,002评论 3 387
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,036评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,024评论 1 285
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,144评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,255评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,295评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,068评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,478评论 1 305
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,789评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,965评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,649评论 4 336
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,267评论 3 318
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,982评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,223评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,800评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,847评论 2 351

推荐阅读更多精彩内容