深入浅出学Shiro(一)--登录认证

最新推荐文章于 2022-08-24 04:57:53 发布
最新推荐文章于 2022-08-24 04:57:53 发布
阅读量9.4k 收藏 11
点赞数 8
分类专栏: 权限框架 JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hejingyuan6/article/details/45441707
版权

ApacheShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能:

 

Shiro为解决下列问题,提供了保护应用的API:


  认证 - 用户身份识别,常被称为用户“登录”;

  授权 - 访问控制;

  密码加密 - 保护或隐藏数据防止被偷窥;

  会话管理 - 每用户相关的时间敏感的状态。

 

对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro要简单的多。

 

核心概念:Subject,SecurityManager和Realms



Subject

 

  

     “当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(DaemonAccount)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。但考虑到大多数目的和用途,你可以把它认为是Shiro的“用户”概念。

Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。

 

SecurityManager

 

  它是Shiro框架的核心,典型的Facade模式,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。

 

Realms

 

   Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当切实与像用户帐户这类安全相关数据进行交互,执行认证(登录)和授权(访问控制)时,Shiro会从应用配置的Realm中查找很多内容。

  从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。

 

认证流程:



1、应用程序构建了一个终端用户认证信息的AuthenticationToken实例后,调用Subject.login方法。

 

2Sbuject会委托应用程序设置的securityManager实例调用securityManager.login(token)方法。 


3、SecurityManager接受到token(令牌)信息后会委托内置的Authenticator的实例(通常都是ModularRealmAuthenticator类的实例)调用authenticator.authenticate(token).ModularRealmAuthenticator在认证过程中会对设置的一个或多个Realm实例进行适配,它实际上为Shiro提供了一个可拔插的认证机制。


4、如果在应用程序中配置了多个Realm,ModularRealmAuthenticator会根据配置的AuthenticationStrategy(认证策略)来进行多Realm的认证过程。在Realm被调用后,AuthenticationStrategy将对每一个Realm的结果作出响应。 

注:如果应用程序中仅配置了一个Realm,Realm将被直接调用而无需再配置认证策略。 


5、Realm将调用getAuthenticationInfo(token);getAuthenticationInfo方法就是实际认证处理,我们通过覆盖Realm的doGetAuthenticationInfo方法来编写我们自定义的认证处理。 

 

 

下面结合一个实例来理解以上这些概念(结合SpringMVC):

 

Web.xml中添加 Shiro Filter

	<context-param>
		<param-name>contextConfigLocation</param-name>
		<param-value>classpath:applicationContext.xml,classpath:spring-shiro.xml</param-value>
	</context-param>
	<!-- apache shiro权限 -->
	<!-- Shiro主过滤器本身功能十分强大,其强大之处就在于它支持任何基于URL路径表达式的、自定义的过滤器的执行-->  
	<!-- Shiro Filter -->  
	<filter>
		<filter-name>shiroFilter</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
		<init-param>
			<param-name>targetFilterLifecycle</param-name>
			<param-value>true</param-value>
		</init-param>
	</filter>

	<filter-mapping>
		<filter-name>shiroFilter</filter-name>
		<url-pattern>*.do</url-pattern>
	</filter-mapping>
	<filter-mapping>
		<filter-name>shiroFilter</filter-name>
		<url-pattern>*.jsp</url-pattern>
	</filter-mapping>

spring-mvc.xml

<!-- 开启Shiro的注解,实现对Controller的方法级权限检查(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证 -->  
    <!-- 配置以下两个bean即可实现此功能, 应该放在spring-mvc.xml中 -->  
    <!-- Enable Shiro Annotations for Spring-configured beans. Only run after the lifecycleBeanProcessor has run -->  
	<bean
		class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
		depends-on="lifecycleBeanPostProcessor" > 
		<property name="proxyTargetClass" value="true" />
	</bean>
	<bean
		class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
		<property name="securityManager" ref="securityManager" />

</bean>

spring-shiro.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:util="http://www.springframework.org/schema/util"
	xsi:schemaLocation="http://www.springframework.org/schema/beans 
	http://www.springframework.org/schema/beans/spring-beans-3.0.xsd   
    http://www.springframework.org/schema/util 
    http://www.springframework.org/schema/util/spring-util-3.0.xsd">
    <description>Shiro 配置</description>
    
   	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<!--设置自定义realm -->
		<property name="realm" ref="monitorRealm" />
	</bean>
	<!--继承自AuthorizingRealm的自定义Realm,即指定Shiro验证用户的认证和授权 --> 
	<!--自定义Realm 继承自AuthorizingRealm -->
	<bean id="monitorRealm" class="com.shiro.service.MonitorRealm"></bean>
	
	<!-- Shiro主过滤器本身功能十分强大,其强大之处就在于它支持任何基于URL路径表达式的、自定义的过滤器的执行 --> 
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<!-- Shiro的核心安全接口,这个属性是必须的 -->  
		<property name="securityManager" ref="securityManager" />
		<!-- 要求登录时的链接,非必须的属性,默认会自动寻找Web工程根目录下的"/login.jsp"页面 -->  
		<property name="loginUrl" value="/login.jsp" />
		<!-- 用户访问未对其授权的资源时,所显示的连接 -->
		<property name="unauthorizedUrl" value="/error/noperms.jsp" />
		<property name="filterChainDefinitions">
			<value>
			 <!-- Shiro 过滤链的定义-->   
      <!-- 
					Anon:不指定过滤器 
					Authc:验证,这些页面必须验证后才能访问,也就是我们说的登录后才能访问。
					-->
					 <!--下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 -->   
					<!--anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 -->   
        <!--authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter-->   
				
				/login.jsp* = anon
				/login.do* = anon
				/index.jsp*= anon
				/error/noperms.jsp*= anon
				/*.jsp* = authc
				/*.do* = authc
			</value>
		</property>
	</bean>
	
		<!-- 保证实现了Shiro内部lifecycle函数的bean执行 -->
	<bean id="lifecycleBeanPostProcessor"
		class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />
		
</beans>

自定义RealmMonitorRealm

@Service("monitorRealm")
public class MonitorRealm extends AuthorizingRealm {

	//获取身份验证相关信息 
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken authcToken) throws AuthenticationException {
		/* 这里编写登陆认证代码 */
//		UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
//		User user = userService.get(token.getUsername());
		User user = new User();
		user.setUserName("admin");
		user.setPassword(EncryptUtils.encryptMD5("admin"));
		
		
		return new SimpleAuthenticationInfo(user.getUserName(),
			user.getPassword(), getName());
		
		/* //令牌——基于用户名和密码的令牌  
        UsernamePasswordToken token = (UsernamePasswordToken) authcToken;  
        //令牌中可以取出用户名密码  
        String accountName = token.getUsername();  
          
      // 此处无需比对,比对的逻辑Shiro会做,我们只需返回一个和令牌相关的正确的验证信息,因此在随后的登录页面上只有admin/admin123才能通过验证  
        return new SimpleAuthenticationInfo("admin","admin123",getName());  */
	}


LoginController

@Controller
@RequestMapping(value = "login")
public class LoginController {
	/**
	 * 用户登录
	 * 
	 * @param user
	   *            登录用户
	 * @return
	 */
	@RequestMapping(params = "main")
	public ModelAndView login(User user,HttpSession session, HttpServletRequest request) {

		ModelAndView modelView = new ModelAndView();
		/*就是代表当前的用户。*/
		Subject currentUser = SecurityUtils.getSubject();
		//获取基于用户名和密码的令牌 
		//这里的token大家叫他令牌,也就相当于一张表格,你要去验证,你就得填个表,里面写好用户名密码,交给公安局的同志给你验证。
		UsernamePasswordToken token = new UsernamePasswordToken(
				user.getUserName(), EncryptUtils.encryptMD5(user.getPassword()));
		/*UsernamePasswordToken token = new UsernamePasswordToken(
				user.getUserName(), user.getPassword());*/
//		但是,“已记住”和“已认证”是有区别的: 
//		已记住的用户仅仅是非匿名用户,你可以通过subject.getPrincipals()获取用户信息。但是它并非是完全认证通过的用户,当你访问需要认证用户的功能时,你仍然需要重新提交认证信息。 
//		这一区别可以参考亚马逊网站,网站会默认记住登录的用户,再次访问网站时,对于非敏感的页面功能,页面上会显示记住的用户信息,但是当你访问网站账户信息时仍然需要再次进行登录认证。 
		token.setRememberMe(true); 
		
		try {
			//这句是提交申请,验证能不能通过,也就是交给公安局同志了。这里会回调reaml里的一个方法
			// 回调doGetAuthenticationInfo,进行认证
			currentUser.login(token);
		} catch (AuthenticationException e) {
			modelView.addObject("message", "login errors");
			modelView.setViewName("/login");
			e.printStackTrace();
			return modelView;
		}
		//验证是否通过 
		if(currentUser.isAuthenticated()){
			user.setUserName("张三");
			session.setAttribute("userinfo", user);
			modelView.setViewName("/main");
		}else{
			modelView.addObject("message", "login errors");
			modelView.setViewName("/login");
		}
		return modelView;
	}


附:currentUser.login(token);的方法调用,调用到Subjectsubject = securityManager.login(this, token);方法后,则跳转到自定义Realm


public void login(AuthenticationToken token) throws AuthenticationException {
        clearRunAsIdentitiesInternal();
        Subject subject = securityManager.login(this, token);

        PrincipalCollection principals;

        String host = null;

        if (subject instanceof DelegatingSubject) {
            DelegatingSubject delegating = (DelegatingSubject) subject;
            //we have to do this in case there are assumed identities - we don't want to lose the 'real' principals:
            principals = delegating.principals;
            host = delegating.host;
        } else {
            principals = subject.getPrincipals();
        }

        if (principals == null || principals.isEmpty()) {
            String msg = "Principals returned from securityManager.login( token ) returned a null or " +
                    "empty value.  This value must be non null and populated with one or more elements.";
            throw new IllegalStateException(msg);
        }
        this.principals = principals;
        this.authenticated = true;
        if (token instanceof HostAuthenticationToken) {
            host = ((HostAuthenticationToken) token).getHost();
        }
        if (host != null) {
            this.host = host;
        }
        Session session = subject.getSession(false);
        if (session != null) {
            this.session = decorate(session);
        } else {
            this.session = null;
        }
    }


总结:

      

     以上是一个简单的Shiro的登录认证过程,其实这部分功能也就是帮助我们验证此用户是否能登录本系统,和我们普通的登录完成的是同样的功能,Shiro是帮我们封装了这部分内容,让我们无需将登录的验证均写到程序中,而是使用配置的方式,更加灵活的应对变化,符合我们所说的OCP原则。

 

 


静静~嗯嗯
关注
  • 8
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 13
    评论
专栏目录
shiro-core 低版本漏洞检测
01-31
shiro-core 低版本漏洞检测工具
shiroshiro 登陆Subject().login()与SecurityManager().login()
mfkarj的博客
01-07 1920
今天踩坑,写一跨域登陆, 开始如下: UsernamePasswordToken token = new UsernamePasswordToken(username, password); SecurityUtils.getSecurityManager().login(SecurityUtils.getSubject(), token); 登陆是登陆成功了,但是后续获取Security...
深入浅出Shiro
10-29
Apache Shiro 角色权限 文档 api
深入浅出shiro
09-26
深入浅出shiro
shiro-core-1.6.0.jar
08-20
该资源是目前最新的shiro-core核心包,暂时魏安全性较高的版本,没有发现漏洞版本。提供登录安全性的校验,该资源来自官网,仅供习参考,请前往官网下载
Spring-shiro-Boot-3 AuthenticationToken体系
良之才的专栏
03-11 847
登陆认证时,必须要先构造登陆令牌。 在是shiro中,用AuthenticationToken接口来表达登陆令牌。 这里介绍shiroAuthenticationToken体系,在实际使用中,很多时候需要继承原有令牌实现私有化功能。 一、shiro身份验证的基本概念: (1)身份验证: 这就不多说了,给shiro传递【身份+证明】,就可以进行验证。 (2)身份 粗浅的说,相当于账户。比如手机号、邮箱、用户名这些。 准确的说,相当于身份。 shiro中把这个封装成了【principals】
Spring Shiro基础组件 AuthenticationToken
我家有猫已长成的博客
02-04 587
Spring Shiro基础组件 AuthenticationToken 简介。
Shiro自定义Token
drhrht的博客
08-24 1156
***//*** 公司ID*//*** 用户名称*//*** 用户密码*/}}}}}}}@Override}@Override}}/***//*** 重写supports方法,使 Shiro 能够识别自定义的 Token* @return*/@Override}@Override/*PrincipalCollection 身份的集合一个主体可以有多个身份,但是只有一个主身份*/// 获取主体的主身份。
shiro源码(二)——login方法源码解读
敲代码的小小酥的博客
12-31 3348
一、shiro认证流程源码 使用shiro框架做登录,只需调用subject的login方法即可,代码如下: public AjaxResult ajaxLogin(String username, String password, Boolean rememberMe) { UsernamePasswordToken token = new UsernamePasswordToken(username, password, rememberMe); Subject
三分钟彻底弄明白shiro原理
StephenLiousYuan的博客
06-10 3629
目前越来越多的项目都用到了shiro框架,毕竟它简单、容易(呃呃~其实一点都不简单),花三分钟理解下面的三个概念,你就掌握了shiro百分之九十的核心。 一、Subject:主体,代表了当前 “用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫,机器人等;即一个抽象概念;所有 Subject 都绑定到 SecurityManager,与 Subject 的所有交互都会委托给 SecurityManager;可以把 Subject 认为是一个门面;SecurityM
shiro-all-1.4.2.jar下载
08-21
shiro是java安全框架工具,而使用shiro jar包可以执行身份验证,授权,密码和会话管理功能,想使用shiro这款安全框架的朋友们,欢迎前来下载shiro jar包进行使用。
shiroshiro-all-1.8.0.jar)
03-21
shiroshiro-all-1.8.0.jar)
shiro-jwt-oauth权限认证
11-11
包含两个项目模块,一个是基于jwt的token认证方式,一个是基于shiro-jwt-oatuh的认证方式。
shiro-jar-1.7.0.zip相关资源包
12-24
解决:升級1.7后附件中文路径报400错误的问题 压缩包中包含: shiro-cas-1.7.0.jar shiro-core-1.7.0.jar shiro-ehcache-1.7.0.jar shiro-spring-1.7.0.jar shiro-web-1.7.0.jar CustomShiroFilterFactoryBean.java spring-context-shiro.xml 修改说明.txt
shiro-core-1.7.1 jar
07-12
shiro shiro-core-1.7.1 jar shiro漏洞
CAS 实现单点登录(SSO)基本实现流程(一)
热门推荐
何静媛
03-15 2万+
单点登录(Single Sign On),简称为SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。   CAS (Central Authentication Service),中央认证服务。CAS(Central Authentication Service)是一款不错的针对 Web 应用的单点登录框架
CAS 实现单点登录(SSO)返回更多用户信息(五)
何静媛
04-19 2万+
配置转换器返回更多用户信息 从cas server登录成功后,默认只能从cas server得到用户名。但程序中也可能遇到需要得到更多如姓名,手机号,email等更多用户信息的情况。 cas client拿到用户名后再到数据库中查询,的确可以得到关于该用户的更多信息。 但是如果用户登录成功后,直接从cas server返回给cas client用户的详细信息,这也是一个不错的做法。这个好处,
CAS 实现单点登录(SSO)简单实例demo(二)
何静媛
04-07 1万+
本文目的很明确,并不是要逐步讲清楚每一步的操作,具体的步骤网上有很多,那么整理本文的目的只是要梳理一下自己的知识点,帮助自己加深理解。   小知识点积累:   域名地址的修改:   根据演示需求,用修改hosts文件的方法添加域名最简单方便(这个非常重要),在文件 C:\Windows\System32\drivers\etc\hosts 文件中添加三条   127.0.0.1
shiro-spring-boot-starter
最新发布
08-26
Shiro-Spring-Boot-Starter 是一个用于集成 Shiro 框架到 Spring Boot 应用中的起步依赖。Shiro 是一个 Java 安全框架,可以为应用程序提供身份认证、授权、加密和会话管理等功能。通过使用 Shiro-Spring-Boot-Starter,你可以轻松地配置和使用 Shiro,无需繁琐的手动配置。 该起步依赖提供了一些默认的配置,同时也允许你根据自己的需求进行自定义配置。它还提供了一些自动配置的功能,如自动注入 Shiro 的核心组件和自动注册 Shiro 的过滤器链等。 使用 Shiro-Spring-Boot-Starter,你只需要添加相应的依赖到你的项目中,并进行一些简单的配置,即可快速搭建一个安全可靠的应用程序。你可以在你的代码中使用 Shiro 的注解和 API 来进行身份认证和授权操作。 总之,Shiro-Spring-Boot-Starter 是一个方便的工具,可以简化 Shiro 在 Spring Boot 中的集成和配置过程,帮助你快速构建安全的应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值