如何记录 Shiro 输出?

编程问答 2022-04-23

问题描述

试图找出为什么在 log4j.properties 中描述的日志文件中看不到来自 shiro 的日志消息。下面代码显示的所有日志消息都记录在日志文件中,但我没有从 shiro 中看到任何内容。不知道我应该看到什么。任何建议将不胜感激。

详情:

  • 使用 log4j-1.2.17 记录应用程序日志消息。
  • 使用 shiro-1.2.6 登录用户
  • 使用 slf4j-log4j12-1.7.9 让 shiro 与 log4j 对话。
  • 使用 Java 8。

请参阅以下详细信息:

log4j.properties

# Do not inherit appenders from the root logger.
log4j.additivity.default=false

# Set root logger level and attach zero or more appenders.
log4j.rootLogger=DEBUG,file

# Set up the file appender.
log4j.appender.file=org.apache.log4j.RollingFileAppender
log4j.appender.file.Name=Logger
log4j.appender.file.File=/path-to-log-file/App.log
log4j.appender.file.MaxFileSize=1MB
log4j.appender.file.MaxBackupIndex=25
log4j.appender.file.ImmediateFlush=true
log4j.appender.file.layout=org.apache.log4j.PatternLayout
log4j.appender.file.layout.ConversionPattern=%-6p%d{DATE} - %C{1}.%M:%L - %m%n

# Default Shiro logging
log4j.logger.org.apache.shiro=TRACE
log4j.logger.org.apache.shiro.realm.text.PropertiesRealm=TRACE
log4j.logger.org.apache.shiro.cache.ehcache.EhCache=TRACE
log4j.logger.org.apache.shiro.io=TRACE
log4j.logger.org.apache.shiro.web.servlet=TRACE
log4j.logger.org.apache.shiro.util.threadcontext=TRACE

构建路径中的库列表:

Libraries included in the build path

调用 shiro 登录用户代码

import org.apache.log4j.Logger;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.UnkNownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.crypto.RandomNumberGenerator;
import org.apache.shiro.crypto.SecureRandomNumberGenerator;
import org.apache.shiro.crypto.hash.Sha256Hash;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.hibernate.Query;
import org.hibernate.Session;

...

Subject newUser = SecurityUtils.getSubject();
// The username and password authentication token. Set rememberMe to false
UsernamePasswordToken token = new UsernamePasswordToken(username,password.tochararray(),false);
// Retrieve the login principal
String loginPrincipal = (String) token.getPrincipal();

logger.info("*** SERVER: Before SHIRO login.");
logger.info("*** SERVER: loginBean.getUser: " + loginBean.getUserId());
logger.info("*** SERVER: newUser.getSession(): " + newUser.getSession().getId());

// Use the security manager to log in
//It calls UniquePrincipalSecurityManager,which extends DefaultWebSecurityManager
SecurityUtils.getSecurityManager().login(newUser,token);

logger.info("*** SERVER: After SHIRO login.");
logger.info("*** SERVER: newUser.getSession(): " + newUser.getSession().getId());
logger.info("*** SERVER: Logged-In Users (after login event): " + getLoggedInUsers().toString());

...

public class UniquePrincipalSecurityManager extends DefaultWebSecurityManager {

    private static Logger logger = ServerLogging.getServerLogger();

    /**
     * Validates that the user can log into the session and calls Shiro for Login.
     * 
     * @return The subject. Null if not authenticated.
     */
    @Override
    public Subject login(Subject subject,AuthenticationToken token) throws AuthenticationException {
        // Retrieve the login principal
        String loginPrincipal = (String) token.getPrincipal();

        // The final Subject to return
        Subject returnedSubject = null;

        try {
            // Ensure the session is available and that the user can log in
            validateCanLogIntoSession(subject,loginPrincipal);

            logger.info("*** SERVER: Passed validateCanLogIntoSession");

            // Call Shiro for login
            returnedSubject = super.login(subject,token);

            if (returnedSubject != null) {
                logger.info("*** SERVER: loginPrincipal: " + loginPrincipal);
                logger.info("*** SERVER: returnedSubject.getPrincipal(): "
                    + returnedSubject.getPrincipal().toString());
                logger.info("*** SERVER: returnedSubject.getSession(): "
                    + returnedSubject.getSession().getId());
                logger.info("*** SERVER: returnedSubject.isAuthenticated(): "
                    + returnedSubject.isAuthenticated());

            } else {
                logger.info("*** SERVER: Login Failed: " + loginPrincipal);
            }
        } catch (AuthenticationException ex) {
            logger.info("*** SERVER: Login Failed: " + loginPrincipal);

            // Something went wrong with the authentication,let the caller deal with it.
            throw ex;
        }
        return returnedSubject;
    }
}

解决方法

Shiro 使用 SLF4J,这意味着 Shiro 实际上并不直接记录任何内容,也不控制如何为您的应用程序配置日志。这是目前最流行的 Java 日志框架之一,因此我建议您花一些时间阅读它。

SLF4J

TL;DR 是库和框架依赖于 slf4j-api,并且您的应用程序提供了实际的日志记录实现,例如 slf4j-log4j12。所有实际的日志配置都是通过 log4j 完成的。

突出的一件事是您正在混合和匹配 SLF4J 版本,这是您不应该做的(并且可能是您所看到的问题的一部分)。

还有一点要指出,你可能已经注意到了这一点,但是手动管理依赖项非常困难(旧的检查 jar 文件方法),Maven 和 Gradle 等工具简化了这些问题,或者如果您使用 Ant ,您可以使用 Ivy

javajavalog4jshiro