权限项目总结(三) shiro 认证

最新推荐文章于 2021-05-06 21:39:17 发布
最新推荐文章于 2021-05-06 21:39:17 发布
阅读量2.3k 收藏 1
点赞数 1
分类专栏: 【权限设计】
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cfl20121314/article/details/46301671
版权

   

   认证是shiro在使用过程中最开始的一个步骤,只有通过了认证才回有下面授权等操作。认证就是shiro获取当前

用户凭据并进行匹配的过程,最朴素的理解就是弄清楚当前用户的到底是谁的过程。这里也是针对在应用层面的总结,因为发现跟到shiro内部东西就很多了,容易迷失自己。

 

其实shiro认证过程简化的步骤非常简单

 

1.提交凭据

2.获取验证信息

3.验证凭据和验证信息是否一致


看一下详细的步骤


粗略的跟了一下shiro认证的流程,处理流程如下。



计算机生成了可选文字::Deleaa七nasublect:De伪ultsecurit喇Manaaer:Authen七ca七n口SecurltYManaoer:sim以eCreden七al咖atchero:Authen七ca七nQRealm:ModularRealmAuthen七cator:AbstractAuthen七cator1:Iogino2:authen七cateo3:authen七cateodoS.ngleRealmAuthen廿ca七卿0::卯恢uthen七ca七onln伪6:doCreden七alsMatchO



流程中省去了提交表单获取凭据的过程,也省去了在自定义realm的过程,咱们直接看从代理类

DelegatingSubject开始login的过程。


第一步:调用默认securityManagerDefaultSecurityManager这个主要是shiro认证、授权、会话管理等操作的包装类。常见的Facade模式。


第二步:之后调用DefaultSecurityManager继承SessionsSecurityManager执行login方法

第三步:认证管理器AuthenticatingSecurityManager继承RealmSecurityManager执行authenticate方法:

第四步:抽象认证管理器AbstractAuthenticator继承Authenticator, LogoutAware 执行authenticate方法:

第五步:ModularRealmAuthenticator继承AbstractAuthenticator执行doAuthenticate方法

第六步:AuthenticatingRealm继承CachingRealm执行getAuthenticationInfo方法

第七步:最后在调用SimpleCredentialsMatcherdoCredentialsMatch()

 

我们可以看一下这个doCredentialMatch(),特别有意思。

 

publicclass SimpleCredentialsMatcher extends CodecSupport implementsCredentialsMatcher {
//log处理
    private static final Logger log =LoggerFactory.getLogger(SimpleCredentialsMatcher.class);
 
  //得到提交的凭据
    protected ObjectgetCredentials(AuthenticationToken token) {
        return token.getCredentials();
    }
 
//得到存在于数据库的凭据
    protected ObjectgetCredentials(AuthenticationInfo info) {
        return info.getCredentials();
    }
 
                 //验证提交的token和存在于数据库中的凭据信息是否一致
    protected boolean equals(ObjecttokenCredentials, Object accountCredentials) {
        if (log.isDebugEnabled()) {
            log.debug("Performingcredentials equality check for tokenCredentials of type [" +
                   tokenCredentials.getClass().getName() + " and accountCredentials oftype [" +
                   accountCredentials.getClass().getName() + "]");
        }
        if (isByteSource(tokenCredentials)&& isByteSource(accountCredentials)) {
            if (log.isDebugEnabled()) {
                log.debug("Bothcredentials arguments can be easily converted to byte arrays.  Performing " +
                        "array equalscomparison");
            }
            byte[] tokenBytes =toBytes(tokenCredentials);
            byte[] accountBytes =toBytes(accountCredentials);
            return Arrays.equals(tokenBytes,accountBytes);
        } else {
            returnaccountCredentials.equals(tokenCredentials);
        }
    }
  //验证是否一致
    public booleandoCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        Object tokenCredentials =getCredentials(token);
        Object accountCredentials =getCredentials(info);
        return equals(tokenCredentials,accountCredentials);
    }
 
}



这个类应该说不是很复杂,没有各种的设计原则和模式,仅仅是判断。走到最后发现shiro认证在刨去一些调用

和封装之外,落实到最后的还是我们常见的哪些判断、选择、顺序这些常用的代码结构设计。也是一件很有意

思的事情。

 

走完了一些处理的流程,下面主要针对shiro+spring如何结合使用来整理一下。

 

整合spring

 

<!--1.配置shiro的DelegatingFilterProxy,对于shiro里filter的代理,这个类的好处就是通过spring来管理shiro中的filter类 -->
<beanid="shiroFilter"class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<propertyname="securityManager" ref="securityManager" />
<propertyname="loginUrl" value="/login.jsp" />
<propertyname="successUrl" value="/login.jsp" />
<propertyname="unauthorizedUrl" value="/error/noperms.jsp" />
 
<!-- url过滤器 -->
<propertyname="filterChainDefinitions">
<value>
/login.jsp*= anon
/login.do*= anon
/index.jsp*=anon
/error/noperms.jsp*=anon
/*.jsp*= authc
/*.do*= authc
</value>
</property>
</bean>



通过配置将shiro所有的过滤器都交给spring来管理,类似于struts2shirofiler11个。



 

上图表摘自:


http://www.baidu.com/link?url=-EzqJe6QFf7QEf8AF7bbETApsjBuulcLUcIxROOr8hmtfvp8KHD8brzcrBKNQCr1dJGJLCICdv4t9CMTK-i45a

 


<!--        2.配置securityManager,securityManager为调用shiro内部各个realm的入口-->
<beanid="securityManager"class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!--设置自定义realm-->
<propertyname="realm" ref="monitorRealm" />
 
</bean>
<!--3.自定义Realm继承自AuthorizingRealm -->
<beanid="monitorRealm"class="com.shiro.service.MonitorRealm"></bean>
 
<!--4.注入securityManager类的arguments属性-->
<beanclass="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
<propertyname="staticMethod"value="org.apache.shiro.SecurityUtils.setSecurityManager" />
<propertyname="arguments" ref="securityManager" />
</bean>


 

以上主要是shiro认证流程处理,加上后面shiro如何和spring结合使用的配置。主要是这两个部分:


 

.通过shiro时序图可以发现其实shiro没有想象复杂的,当然其中一些调用类的包装还是挺多的。但是最为基础的认证还是比较简单的,这里仅仅是比较简单的认证。

.shirospring的结合主要在于shirofilterfactorybean的配置以及自定义realm的配置。

柏修的个人笔录
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Security 实现身份认证
小尘
03-30 2万+
Spring Security可以运行在不同的身份认证环境中,当我们推荐用户使用Spring Security进行身份认证但并不推荐集成到容器管理的身份认证中时,但当你集成到自己的身份认证系统时,它依然是支持的。     1. Spring Security中的身份认证是什么?     现在让我们考虑一下每个人都熟悉的标准身份认证场景:    
Shiro学习笔记(四)加密和令牌匹配
JuFF_白羽的博客
10-11 496
常用加密方式如哈希、对称、非对称,而想要自定义加密方式,就得了解shiro是如何对令牌进行匹配的。 1.普通匹配 密码校验等相关操作,在shiro中是属于Realm的功能,自定的Realm继承org.apache.shiro.realm.AuthorizingRealm类,实现了org.apache.shiro.realm.AuthorizingRealm.doGetAuthori...
shiro理解
MyCurlingStick的博客
05-06 307
1. Subject(主体)通常我们会将Subject对象理解为一个用户,同样的它也有可能是一个方程序,它是一个抽象的概念,可以理解为任何与系统交互的“东西”都是Subject。 如果使用常见的账号+密码验证:UsernamePasswordToken Subject subject = SecurityUtils.getSubject(); subject.login(new UsernamePasswordToken(username,password)); 当使用login时,实际会调用Autho
关于spring security 认证的简单知识整理
perfect_red的博客
10-23 235
  1.认证   几个重要的类: UsernamePasswordAuthenticationFilter 从名字上看,就知道,这是一个验证username 和 password的过滤器,通过 filter获取request,从request获取username 和 password 来进行验证,最后生成一个UsernamePasswordAuthenticationToken ,...
RasGetCredentials
cozil的专栏
08-25 564
DWORD RasGetCredentials( _In_ LPCTSTR lpszPhonebook, _In_ LPCTSTR lpszEntry, _Inout_ LPRASCREDENTIALS lpCredentials );说明该函数用于获取与指定RAS电话簿条目关联的用户凭证。 参数lpszPhonebook [in]指向一个
Shiro中new String((char[])token.getCredentials());与 token.getCredentials().toString();的区别
u013456370的专栏
11-28 8532
String password = new String((char[])token.getCredentials()); 以上:这个可以正常通过测试! String password = token.getCredentials().toString(); 报错: org.apache.shiro.authc.IncorrectCredentialsException at com.a
springboot与shiro整合—登录认证权限管理实例项目
04-16
亲测可用的,springboot与shiro整合—登录认证权限管理实例项目,对于学习理论之后需要实战实现功能的初级程序员很有用!
权限管理shiro学习总结
09-19
1. 了解基于资源的权限管理方式 2. 权限数据模型 3. 基于url的权限管理(不适应shiro实现权限管理) 4. Shiro实现用户认证 5. Shiro实现用户授权 6. Shiro与企业web整合开发方法
shiro-jwt-oauth权限认证
11-11
包含两个项目模块,一个是基于jwt的token认证方式,一个是基于shiro-jwt-oatuh的认证方式。
spring boot+shiro 权限认证管理案例
12-20
spring boot+shiro 权限认证管理案例 shiro搭配缓存处理
由浅入深掌握Shiro权限框架资料.zip
最新发布
07-31
2、shiro权限框架的核心组件;3、springboot下shiro的使用; 4、shiro认证鉴权的缓存机制;5、分布式下使用shrio处理统一会话;6、密码重试次数,并发登录控制;7、前后端分离的鉴权方式;8、建立分布式统一鉴权系统...
(2)Shiro学习过程中我用到的类和API
千里之行始于足下
09-21 541
Shiro常用的类首先是配置shiro的几个类1.LifecycleBeanPostProcessor 这个类是shiro的生命周期bean2.DefaultAdvisorAutoProxyCreator 代理对象 主要为shiro配置代理3.CredentialsMatcher 凭证匹配器所用到的类(一般我们用自己实现的凭证匹配器)4.AuthRealm 安全域 也用自己实现的域5.Def
Shiro认证原理(Subject#login的背后故事)
热门推荐
不忘初心,方能始终。
02-07 2万+
登录操作一般都是我们触发的: Subject subject = SecurityUtils.getSubject(); AuthenticationToken authenticationToken = new ... subject.login(authenticationToken); Subject的登录将委托给SecurityManager,SecurityManager的log
shiro笔记之----SimpleAuthenticationInfo 验证password
hubeilihao的专栏
05-28 8037
公司项目中用的是shiro做安全认证框架,从代码中看到了判断验证码的,也看到了判断用户名是否存在的,就是没有发现判断密码是否正确的,后从网上文章以及查看源码才大概了解shiro对于密码验证的流程。 自定义的shiroRealm public class ShiroRealm extends AuthorizingRealm { @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
Shiro的身份验证流程的源码分析
huangjhai的博客
02-25 551
这篇文章将对上一篇文章:SSM项目整合Shiro进行身份验证中的身份验证流程进行分析。 这是项目中的具体使用,分为以下个步骤: 创建Subject对象 封装UsernamePasswordToken 对象token 将token通过调用Subject对象的login方法进行登录认证 Subject currentUser = SecurityUtils.getSubject(); // 把用...
SSM框架下shiro的验证码登录
开源世界
04-19 704
所谓的验证码登录也就是 验证码正确之后利用shiro的免密登录啦 验证码的验证:发送短信的时候,把验证码信息放到缓存里(key为sessionid),表单提交过来的时候,从缓存里拿出来比较就好。 接下来就是shiro 的免密登录:http://github.crmeb.net/u/defu 1、思路 自定义token,在进行授权时判断是密码登陆或无密码登陆,自定义密码认证方法,即写一个方法继承HashedCredentialsMatcher,重写其中的doCredentialsMatch,将其中的to
shiro用户加密默认方式_shiro验证加密过程是怎样的
weixin_39929153的博客
12-22 285
shiro类方法调用示意图1.getAuthenticationInfo核心方法public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {//传入的AuthenticationToken token为表单提交参数封装的类,存储了用户...
SpringBoot权限控制
weixin_33935777的博客
10-08 123
权限控制是一个比较重要的知识点。 先讲一下相关理论知识,如图: 每次发送请求都会调用到controller,而controller又会调用subject,每个用户对应一个subject(subject包含了session),且subject会负责和shiro交互,securityManager管理了Realm,而Realm可以进行登录验证,可以对用户...
Shiro认证及授权说明备忘
一只蜗牛的博客
08-22 2760
我的代码: @Override   protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException{       UsernamePasswordToken token = (UsernamePassword
shiro前后端分离权限认证
05-29
对于前后端分离的应用,shiro可以使用JWT(JSON Web Token)来实现权限认证。JWT是一种基于JSON的开放标准,用于在网络应用间传递声明。它由部分组成:头部、载荷和签名。其中,头部和载荷都是JSON格式的数据,签名则是对头部和载荷的加密结果。JWT可以在客户端和服务器之间进行传递,用于验证和保护API请求数据。 在使用shiro+JWT实现权限认证时,需要实现一个自定义的JWTToken类,继承shiro的AuthenticationToken类,用于封装JWT的内容。在shiro的Realm中,可以通过获取JWTToken中的信息进行用户认证权限控制。同时,在前端请求API时,需要将JWTToken作为请求头信息发送给后端,后端可以通过解析JWTToken来获取用户信息和权限信息。 需要注意的是,在使用JWT进行权限认证时,需要对JWTToken进行有效期的设置,以保证系统的安全性。同时,还需要使用密钥来对JWT进行签名和验证,以保证JWT的真实性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值