shiro入门实战笔记(3)--身份认证

最新推荐文章于 2021-08-19 14:19:59 发布
最新推荐文章于 2021-08-19 14:19:59 发布
阅读量1.1k 收藏 2
点赞数 1
分类专栏: Shiro 文章标签: java apache shiro 入门 教程 示例
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ABCD898989/article/details/50644875
版权

[本系列文章是博主的学习笔记,而非经典教程,特此说明]

本文我们将来介绍shiro中基础常用的身份认证,我们将会通过实例的方式来说明shiro身份认证的流程和机制。

准备工作:

a.操作系统:win7 x64

b.开发工具:myeclipse 2014,jdk1.7,maven3.3.3,mysql5.0

-------------------------------------------------------------------------------------------------------------------------------------

正文开始:

1.创建shiro02工程,工程结构如下:【jdk显示为1.5的缘由上文中已经叙述,请读者自行查阅】


2.我们接着来引入本例中所需要的jar包,pom文件的内容如下:

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
	<modelVersion>4.0.0</modelVersion>
	<groupId>com.java.shiro</groupId>
	<artifactId>shiro02</artifactId>
	<version>0.0.1-SNAPSHOT</version>
	<name>shiro02</name>
	<description>shiro02</description>
	<dependencies>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-core</artifactId>
			<version>1.2.4</version>
		</dependency>
		<dependency>
			<groupId>org.slf4j</groupId>
			<artifactId>slf4j-log4j12</artifactId>
			<version>1.7.13</version>
		</dependency>
		<dependency>
			<groupId>c3p0</groupId>
			<artifactId>c3p0</artifactId>
			<version>0.9.1.2</version>
		</dependency>
		<dependency>
			<groupId>commons-logging</groupId>
			<artifactId>commons-logging</artifactId>
			<version>1.2</version>
		</dependency>
		<dependency>
			<groupId>mysql</groupId>
			<artifactId>mysql-connector-java</artifactId>
			<version>5.1.38</version>
		</dependency>
	</dependencies>

</project>
写入上面的依赖,保存,maven会帮助我们自动的下载相关的包。下载号之后,我们在工程的maven dependencies下就可以看到如下内容,如果有遗漏,请读者认真检查。


3.创建jdbc_realm.ini配置文件,位置在src/main/resources下,请注意,一定按照如下的格式书写:

[main]
jdbcRealm = org.apache.shiro.realm.jdbc.JdbcRealm
dataSource = com.mchange.v2.c3p0.ComboPooledDataSource
dataSource.driverClass=com.mysql.jdbc.Driver
dataSource.jdbcUrl=jdbc:mysql://localhost:3306/shiro
dataSource.user=root
dataSource.password=1234
jdbcRealm.dataSource=$dataSource
securityManager.realms=$jdbcRealm
现在,我们来逐一解释配置文件中的配置项的含义:

[main]:主体配置信息,后续还有别的配置。可以理解为保留字。shiro就是这么规定的,非这么写不可

jdbcRealm:固定配置,使用数据库作为用户信息的来源时,需要引用shiro包中的类

dataSource:数据源。此处可选的内容较多,在此以稳定性较好的c3p0为例。

dataSource.driverClass:数据库驱动,此处与本机使用的数据库保持一致

dataSource.jdbcUrl:数据库地址

dataSource.User:数据库用户名

dataSource.password:数据库用户对应的密码

jdbcRealm.dataSource:对我们在上面配置类中的常量赋值

securityManager.realms:对我们在上面配置类中的常量赋值

4.创建数据库:

上面我们已经显示了我们创建的示例代码使用的数据库名称为shiro,读者可以按照自己的兴趣起名字。注意表的名称必须为users,列的名称必须按照下面的规则创建,注意大小写,具体内容如下:


5.创建log4j配置文件,配置内容在上文中已经叙述,本文就不再贴出代码了,请读者自行查阅。

6.创建JDBCRealm.java文件,代码我们基于上文的hellworld来编写:

package com.shiro.test;


import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;

public class JDBCRealm{
	public static void main(String[] args) {
		//读取配置文件,初始化SecurityManager工厂
		Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:jdbc_realm.ini");
		//获取SecurityManager实例
		SecurityManager securityManager = factory.getInstance();
		//把securityManager 实例绑定到SecurityUtils
		SecurityUtils.setSecurityManager(securityManager);
		//得到当前用户
		Subject currentUser = SecurityUtils.getSubject();
		//创建token令牌,用户名/密码
		UsernamePasswordToken token = new UsernamePasswordToken("shiro01","1234");
		
		try {
			//登陆
			currentUser.login(token);
			System.out.println("success");
		} catch (Exception e) {
			e.printStackTrace();
			System.out.println("fail");
		}
		//推出
		currentUser.logout();
	}
}
7.运行结果我们在此不在贴出,请读者自行查看。

9.下面,我们来说明shiro身份验证的过程。在这里,我们首先需要从官方文档中查看这部分内容的介绍:


a.第一步,调用Subject.login(token)进行登陆,其会自动委托给Security Manager,调用之前,必须进行SecurityUtils.set SecurityManager()设置。

b.第二步,Security Manager负责真正的身份验证逻辑,它会委托给Authenticator进行身份验证。

c.第三步,Authenticator才是真正的身份验证者,shiro api中核心的身份认证入口,这里我们也可以自定义实现。

d.第四步,Authenticator可能会委托相应的Authentication Strategy进行多个realm身份认证,默认ModularRealmAuthenticator会调用Authentication Strategy进行多realm身份认证。

e.第五步,Authenticator会把相应的token传入realm,从realm中获取身份验证信息,如果没有返回,或者发生异常表示身份验证失败。此处可以配置多个realm,按照相应的顺序进行策略进行访问。这里realm可以理解为身份信息的来源。比如,我们在上文中从shiro.ini配置文件中获取用户信息,本文中我们从数据库中获取用户信息。我们使用的就是所谓的“realm”。

在此,有一个特别之处,其会在上文示例代码中的token中包含,并且在身份认证流程中使用。就是:

用户的身份:principals,即区分用户的主键,常用的如用户名,手机号,邮箱等。本例中为“shiro01”

用户的凭证:credentials,即证明“我就是我”的证明,常见的如密码,数字令牌,短信验证码等。本例中为“1234

-------------------------------------------------------------------------------------------------------

至此,shiro入门实战笔记(3)--身份认证结束

备注:

在本文中,我们已经基本介绍了shiro身份认证的基本流程,希望读者已经对上述的过程有了一个简单的了解,对于多个realm的使用等,由于博主目前只学习及实现到本文,后续如有深入研究,博主会继续更新此部分内容,敬请期待!

参考资料:

官方文档:http://shiro.apache.org/documentation.html

其他博文:http://jinnianshilongnian.iteye.com/blog/2018936







y-yg
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro(二)shiro详解
牧小农
11-24 2937
一、HelloWorld 在类路径下加入如下 jar 包 在类路径下加入如下配置文件: samples\quickstart\src\main\resources*。 在 src 下加入 samples\quickstart\src\main\java\ Quickstart.java 修改 log4j.properties,只保留如下部分 二、Shiro 配置基础:users1、Shiro 被设计
shiro获取登录状态和用户信息
08-04
shiro根据session获取登录状态和用户信息
spring security起步四:退出登录配置以及logout属性详解
热门推荐
小鱼儿的专栏
07-15 4万+
用户退出登录实质是使当前登录用户的session失效的操作。一般来说,用户退出后,将会被重定向到站点的非安全保护页,比如登录页面.用户退出功能实现增加hader.jsp<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <%@ taglib prefix="c" uri="htt
shiro框架下的logout说明
abou15871390117的博客
11-15 1万+
在使用shiro管理框架下,在登录拦截时我们可以注销掉如下代码: /* //用户退出 @RequestMapping("/logout") public String logout(HttpSession session)throws Exception{ //session失效 session.invalidate(); //重定向到商品查询页面 return "redirec
shiro-attack-4.7.0-SNAPSHOT-all.zip
最新发布
10-24
Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能,广泛应用于各种类型的Java应用程序中。标题提到的"shiro-attack-...
shiro-root-1.2.3-source-release zipa包 和相关jar包
04-20
Shiro提供了多种身份验证策略,如记住我(Remember Me)服务,支持与数据库、缓存或任何其他后端服务交互。 2. **授权(Authorization)**:即权限控制,确定用户是否有执行特定操作的权限。Shiro提供角色(Role)...
shiro-core-1.3.2-API文档-中文版.zip
04-08
赠送jar包:shiro-core-1.3.2.jar; 赠送原API文档:shiro-core-1.3.2-javadoc.jar; 赠送源代码:shiro-core-1.3.2-sources.jar; 包含翻译后的API文档:shiro-core-1.3.2-javadoc-API文档-中文(简体)版.zip ...
springboot-shiro认证系统框架--成型框架
09-17
总之,SpringBoot-Shiro认证系统框架是一个功能齐全、易于定制的安全框架,适合用于生产环境的快速开发,同时也为学习和研究提供了良好的平台。通过理解并掌握SpringBoot的自动配置和Shiro的安全管理机制,开发者...
shiro-web-1.3.2-API文档-中文版.zip
04-08
赠送jar包:shiro-web-1.3.2.jar; 赠送原API文档:shiro-web-1.3.2-javadoc.jar; 赠送源代码:shiro-web-1.3.2-sources.jar; 包含翻译后的API文档:shiro-web-1.3.2-javadoc-API文档-中文(简体)版.zip 对应...
Tornado 用户注册&登录&登出(User regist&login&logout)
taylorgogo
07-17 2655
Tornado 用户注册&登录&登出(User regist&login&logout) ############################################ @Tornad 英文官网 @Tornado 用户认证(User authentication )示例文档 @Tornado 博客(blog)GitHub 示例代码 ####...
shiro框架学习笔记(6)——登录认证+过滤器链+退出logout
xinpz的博客
08-08 9537
5.8 登陆  5.8.1 原理 使用FormAuthenticationFilter过虑器实现 ,原理如下:   将用户没有认证时,请求loginurl进行认证用户身份和用户密码提交数据到loginurl FormAuthenticationFilter拦截住取出request中的username和password(两个参数名称是可以配置的) FormAuthenticationF...
springmvc + shiro 登录登出
gdn_wolf的专栏
11-17 2268
原文:http://blog.csdn.net/michnus/article/details/7962410 [java] view plaincopyprint? @Controller  @RequestMapping(value = "/roll")  public class RollLoginController {        @RequestMapping
spring中 shiro logout 配置方式
ght521的专栏
08-29 1万+
shiro logout的两种配置方式
shiro-根据JSESSIONID获取用户信息和判断是否登陆
Java_feng的博客
08-22 4万+
/** * 验证是否登陆 * * org.apache.shiro.subject.support.DefaultSubjectContext_AUTHENTICATED_SESSION_KEY ; true * org.apache.shiro.subject.support.DefaultSubjectContext_PRINCIPALS_SESSION
Shiro系列(一)--- 初识Shiro
FAIRYTAIL的博客
08-19 207
从这一篇开始记录一下shiro相关的学习笔记,各位看到此博客的小伙伴,如有不对的地方请及时通过私信我或者评论此博客的方式指出,以免误人子弟。多谢! 学习一门新技术的最好的参考就是官方文档了,中文官方文档地址 当然如果你们找到一个成系列的博客由简入神的进行讲解也是很好的,我在学习的过程中会尽量记录的完善一些,方便自己后续查阅,也方便新入门的小伙伴参考学习。 我们知道,shiro是一个安全框架,我们是想通过shiro保护我们的程序,那当保护我们的程序时,最关注的问题可能就是“当前的用户是谁?”或“用户是否允
shiro入门实战笔记(11)--加密/解密
y-yg的博客
02-20 1万+
[本系列文章是博主的学习笔记,而非经典教程,特此说明] 在前面的文章中,我们在数据库中使用明文存储了用户名密码等敏感信息,这在我们开放的网络环境。一旦账号密码泄露,这对于客户的损失将是不可估量的。因此我们有必要来学习一下常用的安全性较好的加密/解密算法。另外,在下文中,我们仅仅举例如何使用加密解密,而不会探讨加密算法本身的设计与实现,感兴趣的读者请自行查阅相关资料。 准备工作: a.操作系统
shiro入门实战笔记(6)--Permission配置
y-yg的博客
02-17 3010
[本系列文章是博主的学习笔记,而非经典教程,特此说明] 在前面的两篇文章中,我们讲述了shiro中关键的用户,角色,权限这三个关键的概念,和与之密切相关的概念。接下来我们来深入学习在权限认证当中的Permission配置。下面讲述的内容,在实际应用中不一定都会用到,请读者按照自己的需求使用即可。具体示例在后续中给出。 --------------------------------------
shiro-redis-spring-boot-starter
10-06
Apache Shiro是一个强大而灵活的Java安全框架,用于身份验证、授权和会话管理等安全功能。而Redis是一个高性能的内存数据库,其具有快速的数据存取能力和持久化支持。 shiro-redis-spring-boot-starter提供了一种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值