Shiro——认证策略

最新推荐文章于 2022-09-01 09:20:17 发布
最新推荐文章于 2022-09-01 09:20:17 发布
阅读量623 收藏 1
点赞数
文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ascend2015/article/details/78574598
版权

在上一篇中介绍了一下关于多个realm的配置,那么随之而来的疑问是,当我们配置好多个realm之后,当用户进行登录操作时,是同时满足所有realm才算认证成功还是说,只要有一个或者部分realm即可?这就涉及到了认证策略的问题。所以这里也说一下。
关于AuthenticationStategy:

  • FirstSuccessfulStrategy:只要第一个realm验证成功即可,只返回第一个realm验证成功的信息,其他的忽略;
  • AtLeastOneSuccessfulStrategy:至少有一个realm验证成功即可,和FirstSuccessfulStrategy不同的是,该策略将会返回所有验证成功的认证信息;
  • AllSuccessfulStrategy:所有Realm验证成功才算成功,且返回所有验证成功的信息,有一个失败,那么整个验证失败。
    Shiro默认的验证策略是AtLeastOneSuccessfulStrategy。

AtLeastOneSuccessfuleStrategy

查看ModularRealmAuthenticator的源码,其中有一个doMultiRealmAuthentication(Collection< Realm > realms, AuthenticationToken token)方法:

protected AuthenticationInfo doMultiRealmAuthentication(Collection<Realm> realms, AuthenticationToken token) {
        //这是ModularRealmAuthenticator的一个属性
        AuthenticationStrategy strategy = this.getAuthenticationStrategy();
        AuthenticationInfo aggregate = strategy.beforeAllAttempts(realms, token);
        if (log.isTraceEnabled()) {
            log.trace("Iterating through {} realms for PAM authentication", realms.size());
        }

        Iterator var5 = realms.iterator();

        while(var5.hasNext()) {
            Realm realm = (Realm)var5.next();
            aggregate = strategy.beforeAttempt(realm, token, aggregate);
            if (realm.supports(token)) {
                log.trace("Attempting to authenticate token [{}] using realm [{}]", token, realm);
                AuthenticationInfo info = null;
                Throwable t = null;

                try {
                    info = realm.getAuthenticationInfo(token);
                } catch (Throwable var11) {
                    t = var11;
                    if (log.isDebugEnabled()) {
                        String msg = "Realm [" + realm + "] threw an exception during a multi-realm authentication attempt:";
                        log.debug(msg, var11);
                    }
                }

                aggregate = strategy.afterAttempt(realm, token, info, aggregate, t);
            } else {
                log.debug("Realm [{}] does not support token {}.  Skipping realm.", realm, token);
            }
        }

strategy是ModularRealmAuthenticator的一个成员变量,即认证策略。我们可以在spring配置文件中更改相应的认证器bean属性,如下:

<bean id="authenticator" class="org.apache.shiro.authc.pam.ModularRealmAuthenticator">
        <property name="realms">
            <list>
                <ref bean="myrealm"/>
                <ref bean="secondRealm"/>
            </list>
        </property>
        <!-- 修改策略属性 -->
        <property name="authenticationStrategy" ref="allSuccessfulStrategy"/>
    </bean>
<!--给定一个策略bean -->
    <bean id="allSuccessfulStrategy" class="org.apache.shiro.authc.pam.AllSuccessfulStrategy"/>
Ascend2015
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro——认证
08-05
对应博客:https://blog.csdn.net/fancheng614/article/details/81433130
spring boot爬坑之旅途--shiro-MyShiroConfig配置(config)(8)
热门推荐
日进斗识
05-06 1万+
package com.zm.blog.config.shiro; import java.io.Serializable; import java.util.ArrayList; import java.util.Collection; import java.util.LinkedHashMap; import java.util.Map; import org.apache.shiro....
Apache Shiro(三)——Spring Boot 与 Shiro的 整合
web13985085406的博客
09-01 174
在了解了Apache Shiro的架构、认证、授权之后,我们来看一下Shiro与Web的整合。下面以Spring Boot为例,介绍一下Spring Boot 与 Shiro的 整合。
shiro多realm认证学习实现
u011017284的博客
06-02 453
突然接到了一个需求,一个系统需要实现多种认证登录。 之前都是修改shiro的realm,根据不同情况去判断,会造成代码特别臃肿。 所以这次尝试用多个realm 来实现多种认证方式登录。 认证之前先了解了一下shiro多realm处理的三种策略: SecurityManager 接口继承了 Authenticator,另外还有一个 ModularRealmAuthenticator 实现,其委托给多个 Realm 进行验证,验证规则通过 AuthenticationStrategy 接口指定,默认提供的实现:
Shiro之多Realm的认证认证策略-yellowcong
m0_67392010的博客
08-24 478
多重认证是操作的是多个Realm。第一种方式是,在ModularRealmAuthenticator里面可以配置多个Reamls,默认的验证策略是,至少一个满足即可(AtLeastOneSuccessfulStrategy)。建议将多Realm配置在DefaultWebSecurityManager ,将验证策略和Reaml分开来管理,也就是下面,多重认证的第二种方式。
安全认证框架Shiro认证
weixin_46178852的博客
05-15 1442
1. 集成Spring 1. 集成Spring 导入Spring依赖包:spring-webmvc 在web.xml中配置监听、前端控制器 配置applicationContext.xml         注解驱动         扫描包         视图转换器配前.
shiro认证及授权demo
10-28
包含使用Shiro实现认证和授权的Demo,对应博客:https://blog.csdn.net/fancheng614/article/details/83477345
shiro认证 类图关系简化版
04-13
shiro认证 类图关系简化版
LayUI+Spring Boot+MySQL+JPA+Shiro——科研信息管理系统.zip
最新发布
03-04
人工智能-项目实践-信息管理系统设计与开发
shiro权限认证和授权
02-26
shiro权限认证和授权
其实我不仅会 Spring Security,Shiro 也略懂一二!
江南一点雨的专栏
04-08 2990
和大家分享一个松哥原创的 Shiro 教程吧,还没写完,先整一部分,剩下的敬请期待。 1.Shiro简介 Apache Shiro是一个开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架具有直观、易用等特性,同时也能提供健壮的安全性,虽然它的功能不如SpringSecurity那么强大,但是在普通的项目中也够用了。 1.1 由来 Shiro的前身是JSecurity,2004年,Les Hazlewood和Jeremy Haile创办了Jsecurity。当时他们找不到适用于应用程序级别的合
自学-自定义AuthenticationStrategy的验证策略-10
女神的高冷范
12-21 2157
如果进项多个Realm的校验时,第一个Realm验证通过,第二个验证不通过,我们该怎么进行处理呢?这时候我们就应该使用Shiro的验证策略来解决这个问题了。 验证策略有三种: llSuccessFulStrategy:所有Realm验证成功才算成功,且返回所有 Realm身份验证成功的认证信息,如果有一个失败就失败了。 AtLeastOneSuccessFulAtrategy:
Java高级技术
12-19
本阶段课程涵盖Java开发流行的自动化构建工具:Maven,版本控制系统:SVN和Git,容器虚拟化技术:Docker,权限模型:RBAC,集成测试:Jenkins,微服务架构:SpringCloud等核心内容。旨在应对各种实际开发情况下的的各种开发场景及业务的需要。
Apache Shiro 认证过程
王浩的技术博客
10-11 238
3.1.1 示例 Shiro验证Subjects 的过程中,可以分解成三个不同的步骤: 1. 收集Subjects 提交的Principals(身份)和Credentials(凭证); 2. 提交Principals(身份)和Credentials(凭证)进行身份验证; 3. 如果提交成功,则允许访问,否则重新进行身份验证或者阻止访问。 收集身份/凭据信息 //Example...
Shiro-----认证策略
qq_48788523的博客
01-09 2364
睡前小文章,学完睡更香
Shiro学习随笔【二】身份认证
OceanSky的专栏
09-14 630
一、身份认证也就是提供相应的凭证证明你是用户本人,通常是指用户名和密码,在Shiro中用户需要体用Principals(身份)、Credentials(证明)给shiro,从而能够验证用户的身份。 Principals:身份,即主题的标识属性,可以有多个如邮箱、手机号、用户名等,但是只能有一个主身份标识。 Credentials:证明/凭证,即用户的密码或者数字证书。   二、用户的登录和...
Shiro权限管理】12.Shiro认证策略
程序猿之洞
11-26 2680
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。 上一篇我们讲到了Shiro的多Realm验证,并且编写实例进行了测试。对于多Realm校验,我们还需要知道,两个Realm时,怎么才能知道认证通过了?是一个Realm通过了就通过,还是全部Realm通过了才通过,还是其它?这就牵扯到了认证策略认证策略实际上是AuthenticationStrategy这个接口,它有三个
shiro 认证的流程
07-30
Shiro是一个强大且灵活的Java安全框架,它提供了身份验证、授权、加密和会话管理等功能。下面是Shiro认证的基本流程: 1. 创建SecurityManager:首先,你需要创建一个SecurityManager对象,它是Shiro的核心组件之一。SecurityManager负责协调整个认证和授权过程。 2. 创建Subject:Subject代表当前操作的用户。你可以通过Subject工具类获取当前用户的实例。 3. 提交认证:用户提交自己的身份信息,比如用户名和密码。一般情况下,你可以把用户输入的身份信息封装成一个UsernamePasswordToken对象。***

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值