shiro权限框架详解04-shiro认证

最新推荐文章于 2022-10-08 15:50:41 发布
最新推荐文章于 2022-10-08 15:50:41 发布
阅读量3.2k 收藏 5
点赞数 4
分类专栏: shiro 权限管理 shiro入门和项目实战 文章标签: shiro 框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/facekbook/article/details/54906635
版权

shiro认证

本文介绍shiro的认证功能

  • 认证流程
  • 入门程序(用户登录和退出)
  • 自定义Realm
  • 散列算法

认证流程

Created with Raphaël 2.1.0 开始 构造SecurityManager环境 subject.login();提交认证 securityManager.login()执行认证 Authenticator执行认证 Realm根据身份获取验证信息 结束

入门程序(用户登录和退出)

创建Java项目

jdk版本:1.7.0_67

加入shiro的jar包以及依赖包

shiro核心包和依赖包截图

log4j.properties日志文件配置

log4j.rootLogger=debug, stdout

log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n

eclipse中ini文件打开方式配置

shiro使用ini文件作为配置文件。所以需要修改eclipse中ini文件的打开方式,默认的话ini文件是使用记事本打开。具体如下图:
这里写图片描述

创建ini配置文件

在classpath路径下创建shiro-first.ini文件,文件内容是测试用户的账号和密码。内容如下:

[users]
zhangsan=123
lisi=456

认证代码

@Test
    public void testLoginAndLogOut() {
        // 构建SecurityManager工厂,IniSecurityManagerFactory可以从ini文件中初始化SecurityManager环境
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-first.ini");
        // 通过工厂创建SecurityManager
        SecurityManager securityManager = factory.getInstance();
        // 将SecurityManager设置到运行环境中
        SecurityUtils.setSecurityManager(securityManager);
        //创建一个Subject实例,该实例认证需要使用上面创建的SecurityManager
        Subject subject = SecurityUtils.getSubject();
        //创建token令牌,账号和密码是ini文件中配置的
        AuthenticationToken token = new UsernamePasswordToken("zhangsan", "123");
        try {
            //用户登录
            subject.login(token);
        } catch (AuthenticationException e) {
            e.printStackTrace();
        }
        //用户认证状态
        Boolean isAuthenticated = subject.isAuthenticated();
        System.out.println("用户认证状态:"+isAuthenticated);//输出true

        //用户退出
        subject.logout();

        isAuthenticated = subject.isAuthenticated();
        System.out.println("用户认证状态:"+isAuthenticated);//输出false
    }

认证执行流程

1.创建token令牌,token中有用户提交的认证信息即账号和密码。
2.执行subject.login(token),最终由securityManager通过 Authenticator进行认证。
3.Authenticator的实现ModuleRealmAuthenticator调用realm从init文件读取用户真实的账号和密码,这里使用的是IniRealm(Shiro自带)
4.IniRealm先根据token中的账号去ini中找该账号,如果找不到则给ModuleRealmAuthenticator返回null,如果找到则匹配密码,匹配密码成功则认证通过。

常见的异常

  • UnknownAccountException
    账号不存在异常如下:
org.apache.shiro.authc.UnknownAccountException: Realm [org.apache.shiro.realm.text.IniRealm@9cdc393] was unable to find account data for the submitted AuthenticationToken [org.apache.shiro.authc.UsernamePasswordToken - zhangsan1
  • IncorrectCredentialsException
    当输入密码错误会抛出此异常,如下:
org.apache.shiro.authc.IncorrectCredentialsException: Submitted credentials for token [org.apache.shiro.authc.UsernamePasswordToken - zhangsan, rememberMe=false] did not match the expected credentials.

更多异常信息如下:
DisabledAccountException(帐号被禁用)
LockedAccountException(帐号被锁定)
ExcessiveAttemptsException(登录失败次数过多)
ExpiredCredentialsException(凭证过期)等
类结构如下图
这里写图片描述

自定义Realm

上面的程序使用的是Shiro自带的IniRealm,IniRealm从ini配置文件中读取用户的信息。但是实际情况中大部分情况下是从数据库中获取用户信息,所以需要自定义realm。

Shiro中Realm

这里写图片描述
最基础的是Realm接口,CachingRealm负责缓存管理,AuthenticatingRealm负责认证,AuthorizingRealm负责授权,通常自定义的Realm继承AuthorizingRealm。

自定义Realm代码

通过继承AuthorizingRealm类实现

public class CustomRealm extends AuthorizingRealm {

    /**
     * 认证方法
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        // 从token中获取用户身份信息
        String username = (String) token.getPrincipal();

        // 正常逻辑应该是通过username查询数据库。
        // 如果查询不到返回null
        if (!"zhangsan".equals(username)) {// 这里模仿查询不到
            return null;
        }

        // 模拟从数据获取密码
        String password = "123";

        // 返回认证信息交由父类AuthorizingRealm认证
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username, password, "");

        return authenticationInfo;
    }

    /**
     * 授权方法
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }
}

ini配置文件

新建shiro-realm.ini文件。内容如下:

[main]
#自定义realm
customRealm=com.knight.shiro.realm.CustomRealm
#将realm设置到securityManager
securityManager.realm=$customRealm

这里不需要配置users,是因为我们这里模拟users的获取来自数据库。

测试代码

@Test
    public void testCustomeRealm() {
        // 构建SecurityManager工厂,IniSecurityManagerFactory可以从ini文件中初始化SecurityManager环境
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-realm.ini");
        // 通过工厂创建SecurityManager
        SecurityManager securityManager = factory.getInstance();
        // 将SecurityManager设置到运行环境中
        SecurityUtils.setSecurityManager(securityManager);
        //创建一个Subject实例,该实例认证需要使用上面创建的SecurityManager
        Subject subject = SecurityUtils.getSubject();
        //创建token令牌,账号和密码是ini文件中配置的
        //AuthenticationToken token = new UsernamePasswordToken("zhangsan", "123");//账号密码正确token
        //AuthenticationToken token = new UsernamePasswordToken("zhangsan", "1234");//密码错误异常token
        AuthenticationToken token = new UsernamePasswordToken("zhangsan1", "123");//账号错误异常token
        try {
            //用户登录
            subject.login(token);
        } catch (AuthenticationException e) {
            e.printStackTrace();
        }
        //用户认证状态
        Boolean isAuthenticated = subject.isAuthenticated();
        System.out.println("用户认证状态:"+isAuthenticated);//输出true
    }

散列算法

散列算法一般用于生成一段文本的摘要信息,散列算法不可逆,也就是将内容生成摘要,但是反过来通过摘要生成内容是不可以的。散列算法常用于对密码进行散列,常用的散列算法有MD5、SHA。一般散列算法需要提供一个salt(盐)与原始内容生成摘要,这样做的目的是为了安全性。

例子

        Md5Hash  md5Hash = new Md5Hash("111111");
        System.out.println("md5加密,不加盐:"+md5Hash.toString());

        //md5加密,加盐,一次hash
        String password_md5_sale_1 = new Md5Hash("11111", "aga23", 1).toString();
        System.out.println("md5加密,加盐,一次hash:"+password_md5_sale_1);

        //md5加密,加盐,两次hash
        String password_md5_sale_2 = new Md5Hash("11111", "aga23", 2).toString();
        System.out.println("md5加密,加盐,两次hash:"+password_md5_sale_2);//相当于md5(md5('1111'))

        //使用simpleHash
        String simpleHash = new SimpleHash("MD5", "11111", "aga23", 1).toString();
        System.out.println(simpleHash);

在realm中使用散列算法

实际系统中是将盐和散列后的值存储在数据库中,自定义realm从数据库取出盐和加密后的值由shiro完成密码校验。

自定义支持散列的realm
public class CustomRealmMd5 extends AuthorizingRealm {

    /**
     * 认证方法
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        // 从token中获取用户身份信息
        String username = (String) token.getPrincipal();

        // 正常逻辑应该是通过username查询数据库。
        // 如果查询不到返回null
        if (!"zhangsan".equals(username)) {// 这里模仿查询不到
            return null;
        }

        // 模拟从数据获取密码
        String password = "fdf907b0d3f427b9ffa2f86f213d1afd";
        // 盐
        String salt = "aga23";
        // 返回认证信息交由父类AuthorizingRealm认证
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username, password,
                ByteSource.Util.bytes(salt), "");

        return authenticationInfo;
    }

    /**
     * 授权方法
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }
}
支持散列的realm配置
[main]
#定义凭证匹配器
credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher
#设置散列算法
credentialsMatcher.hashAlgorithmName=md5
#设置散列次数
credentialsMatcher.hashIterations=1

#将凭证匹配器设置到realm
customRealm=com.knight.shiro.realm.CustomRealmMd5
customRealm.credentialsMatcher=$credentialsMatcher
securityManager.realms=$customRealm
测试代码

注意修改配置文件的路径

    @Test
    public void testCustomeRealmMd5() {
        // 构建SecurityManager工厂,IniSecurityManagerFactory可以从ini文件中初始化SecurityManager环境
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-realm-md5.ini");
        // 通过工厂创建SecurityManager
        SecurityManager securityManager = factory.getInstance();
        // 将SecurityManager设置到运行环境中
        SecurityUtils.setSecurityManager(securityManager);
        //创建一个Subject实例,该实例认证需要使用上面创建的SecurityManager
        Subject subject = SecurityUtils.getSubject();
        //创建token令牌,账号和密码是ini文件中配置的
        //AuthenticationToken token = new UsernamePasswordToken("zhangsan", "11111");//账号密码正确token
        AuthenticationToken token = new UsernamePasswordToken("zhangsan", "1234");//密码错误异常token
        //AuthenticationToken token = new UsernamePasswordToken("zhangsan1", "11111");//账号错误异常token
        try {
            //用户登录
            subject.login(token);
        } catch (AuthenticationException e) {
            e.printStackTrace();
        }
        //用户认证状态
        Boolean isAuthenticated = subject.isAuthenticated();
        System.out.println("用户认证状态:"+isAuthenticated);//输出true
    }

该文章涉及的代码

代码地址

在路上的JavaCoder-尹骑
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Shiro权限管理框架详解
02-24
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证认证通过后用户具有该资源的访问权限方可访问。1.2.1概念身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。1.2.2用户
shiro学习遇到的问题
黄黄黄黄黄的博客
08-07 1108
本人使用IDEA平台 1.org.apache.shiro.authc.UnknownAccountException: Realm [org.apache.shiro.realm.SimpleAccountRealm@763d9750] was unable to find account data for the submitted AuthenticationToken [org.a...
Spring Boot 使用IniRealm进行认证授权(三)
深入Java世界:探索编程之美与技术深度
09-15 116
SpringBoot 使用IniRealm进行认证授权概述配置 .ini 文件测试 上一篇博客中我们利用 SimpleAccountRealm 在程序中写死了用户安全数据,接下来我们使用 .ini 将数据移到配置文件中。 概述 IniRealmShiro提供一种Realm实现。用户、角色、权限等信息集中在一个.ini文件那里。 配置 .ini 文件 在 resources 目录下创建一个 shiro.ini 文件 #账号信息 [users] #账号=密码,角色 test=123456,test ad
记一个shiro报错org.apache.shiro.authc.UnknownAccountException:
weixin_50950554的博客
10-08 698
第一次使用Shiro的小例子报错
unable to find account data for the submitted AuthenticationToken
AAAhxz的博客
10-26 4089
没能找到所提供的授权码的记录数据 也就是说,你的用户名和密码不在数据库中
Request processing failed; nested exception is java.lang.NullPointerException
T
09-07 868
java.lang.NullPointerException at cn.sunking.system.bigdata.service.impl.***.sewageAnalysis(*****.java:28) at cn.sunking.system.bigdata.controller.****.sewageAnalysisAll(*****.java:69) at sun.refle...
org.apache.shiro.authc.UnknownAccountException
jq1223的博客
01-11 3459
Shiro身份验证抛出AuthenticationException异常 这个异常是在登录的时候出现错误时抛出的异常,比如账户锁定,证书失效等,先来看下 AuthenticationException常用的的子类: 1.UsernameNotFoundException 用户找不到 2.BadCredentialsException 坏的凭据 3.AccountStatusException 用户状态异常它包含如下子类 4.AccountExpiredException 账户过期 5.Locked
shiro登陆失败提示_Shiro认证失败
weixin_39663593的博客
12-22 954
org.apache.shiro.authc.UnknownAccountException: Realm [org.apache.shiro.realm.SimpleAccountRealm@2d6a9952] was unable to find account data for the submitted AuthenticationToken [org.apache.shiro.authc...
org.apache.shiro.authc.UnknownAccountException异常解决方案
sun
10-13 1645
最近搭建SpringBoot框架在整合Shiro时候出现异常,详细内容是: org.apache.shiro.authc.UnknownAccountException: Realm [com.zzl.cn.config.userRealm@1d113502] was unable to find account data for the submitted AuthenticationToken [org.apache.shiro.authc.UsernamePasswordToken - zzl, r
org.apache.shiro.authc.UnknownAccountException错误,亲测可用
Bernie_7的博客
07-24 1344
踩坑记录 springboot整合shiro之后,测试登录报错【org.apache.shiro.authc.UnknownAccountException】 登录成功与否都报错。 错误原因 找了别人的博客都不行,自己debug走排坑。发现登录的时候Realm认证方法走了两次。 等于说登录方法被拦截了,登陆之前走了一次,登录的时候又走了一次 登录之前走的Realm认证方法,里面token啥都没有或者已经过期了,所有拿不到东西,拿不到东西数据库就查不到数据,那你的user类就是null,就会报这个错 解决方
springboot-shiro认证系统框架--成型框架
09-17
springboot-shiro认证系统框架--成型框架认证中心服务,分布式框架,可以直接使用,配置多元化,组件化,只需修改配置文件,达到相应需求,适合生产开发,开发学习
shiro-attack-4.7.0-SNAPSHOT-all.zip
最新发布
10-24
shiro_attack-4.7.0-SNAPSHOT-all.zip 序列化验证工具
由浅入深掌握Shiro权限框架资料.zip
07-31
2、shiro权限框架的核心组件;3、springboot下shiro的使用; 4、shiro认证鉴权的缓存机制;5、分布式下使用shrio处理统一会话;6、密码重试次数,并发登录控制;7、前后端分离的鉴权方式;8、建立分布式统一鉴权系统...
shiro权限框架详解06-shiro与web项目整合(上)
在路上
02-09 8908
shiro和web项目整合,实现与真实项目一致的基本需求。并全面介绍shiro的常用filter的作用。
shiro权限框架详解05-shiro授权
在路上
02-07 6304
介绍shiro授权的流程、自定义realm实现授权
shiro权限框架详解03-shiro介绍
在路上
02-06 3910
1、介绍shiro的一个整体架构 2、介绍shiro的主要类的作用。 3、shiro lib包的maven坐标和作用
shiro权限框架详解06-shiro与web项目整合(下)
在路上
02-10 3758
在web项目实现认证、授权功能 并在授权后使用缓存功能。通过自定义filter实现验证码校验。并使用shiro实现记住我功能
shiro权限框架详解01-权限理论介绍
在路上
02-06 2394
介绍权限管理理论知识,方面后面学习shiro框架
shiro权限框架详解
08-14
- *1* *2* *3* [Shiro权限管理框架详解](https://blog.csdn.net/WGH100817/article/details/101723148)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值