Apache Shiro V1.2 SecurityUtils与SecurityManager的关系以及Subject的创建

huiselele

SecurityUtils是一个抽象的工具类，提供了 SecurityManager 实例的保存和获取的方法，以及创建Subject的方法。


一、SecurityUtils中获取subject的方法
SecurityUtils提供了 getSecurityManager()和setSecurityManager外，还有个特别的方法 getSubject()，这是获取subject的最有效的途径。

• public static Subject getSubject() {
  
• Subject subject = ThreadContext.getSubject();
  
• if (subject == null) {
  
• subject = (new Subject.Builder()).buildSubject();
  
• ThreadContext.bind(subject);
  
• }
  
• return subject;
  
• }
  

实际上，创建的subject的工作还是由SecurityManager 来完成的(DefaultSecurityManager的createSubject()方法)。
Buidler是在 Subject的内类，在Buidler中通过SecurityUtils 获取到了SecurityManager，调用buildSubject()。
在buildSubject()中调用了securityManager.createSubject()方法，完成subject创建的。


二、最终subject创建的代码


DefaultSecurityManager 实例化的时候，生成了SubjectFactory子类DefaultSubjectFactory 实例的属性。
DefaultSecurityManager的

createSubject()方法 调用

DefaultSubjectFactory 的 createSubject()方法最终完成了subject 的创建：
下面是DefaultSubjectFactory 中createSubject()方法的代码：

• public Subject createSubject(SubjectContext context) {
  
• SecurityManager securityManager = context.resolveSecurityManager();
  
• Session session = context.resolveSession();
  
• boolean sessionCreationEnabled = context.isSessionCreationEnabled();
  
• PrincipalCollection principals = context.resolvePrincipals();
  
• boolean authenticated = context.resolveAuthenticated();
  
• String host = context.resolveHost();
  
• 
  
• return new DelegatingSubject(principals, authenticated, host, session, sessionCreationEnabled, securityManager);
  
• }
  

可见，subject的最终实例是DelegatingSubject的实例，并且包含host,authenticated,principals,securityManager等丰富的信息。