AuthenticationStrategy在验证过程中到底做了什么

最新推荐文章于 2023-03-27 14:26:17 发布
最新推荐文章于 2023-03-27 14:26:17 发布
阅读量533 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Shiro 文章标签: spring boot shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DoubleRam/article/details/117215773
本文深入探讨了Shiro的AuthenticationStrategy在验证过程中的作用,重点解析了beforeAllAttempts、beforeAttemps、afterAttempt和afterAllAttempts四个关键方法的功能。通过自定义Strategy,可以实现特定的异常处理和认证逻辑,确保认证流程的灵活性和可控性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Shiro getAuthenticationInfo()中抛出异常, 全局异常处理却收不到自己抛出的异常中, 介绍了通过覆盖AuthenticationStrategy的afterAttempt方法, 更改Shiro的异常抛出逻辑.

本文介绍AuthenticationStrategy在验证过程中到底做了什么

想要弄清Strategy, 就要关注在ModularRealmAuthenticator.doMultiRealmAuthentication()的aggregate

protected AuthenticationInfo doMultiRealmAuthentication(Collection<Realm> realms, 
                        AuthenticationToken token) {		
				// 获取验证策略
        AuthenticationStrategy strategy = getAuthenticationStrategy();
        **AuthenticationInfo aggregate = strategy.beforeAllAttempts(realms, token);**			
				// 循环遍历realm
        for (Realm realm : realms) {
						// 
            try {
                **aggregate = strategy.beforeAttempt(realm, token, aggregate);**
            } catch (ShortCircuitIterationException shortCircuitSignal) {
                break;
            }

            if (realm.supports(token)) {
                AuthenticationInfo info = null;
                Throwable t = null;
                try {
										**// 这里调用了自定义Realm的getAuthenticationInfo方法**
                    **info = realm.getAuthenticationInfo(token);**
                } catch (Throwable throwable) {... }
                **aggregate = strategy.afterAttempt(realm, token, info, aggregate, t);**

            } else {...}
        }
        **aggregate = strategy.afterAllAttempts(token, aggregate);**

        return aggregate;

首先, 根据字面意思, aggregate释义"集合, 集合体".

其次, 在上述方法的执行过程中, aggregate起到了将从realm中返回的认证信息(即AuthenticationInfo)组成一个大集合的作用.

上述代码块中, 标注黑体的地方就是Strategy发挥作用的地方, 下面进行一一解析.

beforeAllAttempts 方法:

new并返回了一个 空的SimpleAuthenticationInfo

public AuthenticationInfo beforeAllAttempts(Collection<? extends Realm> realms, AuthenticationToken token) throws AuthenticationException {
    return new SimpleAuthenticationInfo();
}

beforeAttemps方法:

看似传了一大波参数, 实际上就是将aggregate原封不动地返回

public AuthenticationInfo beforeAttempt(Realm realm, AuthenticationToken token, AuthenticationInfo aggregate) throws AuthenticationException {
    return aggregate;
}

afterAttempt方法,

传入了当前Realm, 在Realm中抛出的异常, 以及两个AuthenticationInfo.

两个Info解释: 假设目前已经有n个Realm执行, 那么aggregateInfo就是前n-1个Realm中返回Info的聚合, singleRealmInfo 则是第n个Realm返回的Info.

@Override
public AuthenticationInfo afterAttempt(Realm realm, AuthenticationToken token, AuthenticationInfo singleRealmInfo, AuthenticationInfo aggregateInfo, Throwable t) throws AuthenticationException {
    if (t != null && t instanceof AuthenticationException){
        throw (AuthenticationException) t;
    }
    return super.afterAttempt(realm, token, singleRealmInfo, aggregateInfo, t);
}

继续查看父类中的afterAttemp:

public AuthenticationInfo afterAttempt(Realm realm, AuthenticationToken token, AuthenticationInfo singleRealmInfo, AuthenticationInfo aggregateInfo, Throwable t) throws AuthenticationException {
        AuthenticationInfo info;
        if (singleRealmInfo == null) { // 如果当前Info为null, 那就直接不聚合该Info
            info = aggregateInfo;
        } else { // 否则对该Info进行聚合
            if (aggregateInfo == null) {  
                info = singleRealmInfo;// 如果之前聚合过的Info为空, 那么直接设当前Info为聚合Info
            } else {
                info = merge(singleRealmInfo, aggregateInfo); // 否则将两个info进行聚合
            }
 }

到这里, 大概可以明白: afterAttempt方法的作用就是: 对Realm中的异常进行处理, 聚合新的Info.

public AuthenticationInfo afterAttempt(Realm realm, AuthenticationToken token, AuthenticationInfo singleRealmInfo, AuthenticationInfo aggregateInfo, Throwable t) throws AuthenticationException {
    AuthenticationInfo info;
    if (singleRealmInfo == null) {
        info = aggregateInfo;
    } else {
        if (aggregateInfo == null) {
            info = singleRealmInfo;
        } else {
            info = merge(singleRealmInfo, aggregateInfo);
        }
    }

    return info;
}

afterAllAttempts 方法 :

判断aggregate是否为null或Empty, ...

说白了就是: 处理当aggregate异常的状况

public AuthenticationInfo afterAllAttempts(AuthenticationToken token, AuthenticationInfo aggregate) throws AuthenticationException {
    if (aggregate == null ||isEmpty(aggregate.getPrincipals())) {
        throw new AuthenticationException("...");
    }
    return aggregate;
}

当且仅当上述四个方法执行过程中没有抛出任何异常, doMultiRealmAuthentication()方法才能将最终聚合的Info成功返回!

在实际的开发中, 当然可以通过对这些方法进行自定义, 实现自己想要的逻辑! 具体流程的话, 可以看看: Shiro getAuthenticationInfo()中抛出异常, 全局异常处理却收不到自己抛出的异常

shiro内置过滤器学习记录
weixin_41038905的博客
03-18 925
shiro是个认证权限框架,除了登录、退出逻辑我们需要加入项目代码之外,验证用户是否已经登录、是否拥有权限的代码其实都是过滤器来完成的,可以这么说,shiro其实就是一个过滤器链集合。 当运行web应用程序时,Shiro将创建一些有用的默认过滤器实例,并使它们在[main]部分自动可用。您可以像配置任何其他bean一样在main中配置它们,并在链定义中引用它们。 默认筛选器实例由DefaultFilter enum中定义 public enum DefaultFilter { anon(Anony
Authentication—身份验证流程
微服务技术栈
01-21 7010
本篇是对Shiro体系架构的介绍,本栏目大部分内容来自于Shiro官网。翻译过程中已经尽量保证用词的准确性和易懂性,如有不准确或者不确切的地方,请联系作者加以修改。本篇内容翻译自Authentication特征与Authentication官方指南。 Authentication是身份验证过程,即证明该用户是否合法,对于证明一个用户是否合法,用户需要提供一些身份识别信息,以及系统能信任的身份证...
Shiro系列-Authenticator和AuthenticationStrategy是什么
初学者
10-29 2086
导语   之前的博客中分享了关于身份认证以及Realm的内容其中提到了一个比较关键的类,AuthenticationInfo也就是认证信息的类。怎么样去获取到这个身份 认证的信息类呢? 文章目录Authenticator(认证器)AuthenticationStrategy(认证策略)自定义认证策略总结 Authenticator(认证器)   之前的内容中提到过如果用户通过login方法认证...
Shiro中异常捕捉
fenfenguai的专栏
01-13 1874
在使用shiro的项目中,验证身份时抛出异常无法捕捉让人很苦恼 解决办法如下 集成 AtLeastOneSuccessfulStrategy import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc
Apache Shiro认证流程
u013551615的博客
09-21 292
Subject 第一步:获取用户名(Principal)和密码(Credential); //获取当前的Subject UsernamePassworkToken token = new UsernamePassworkToken (username,password); //Rmember me功能 .token.setRememberMe(true) AuthenticationToken接口:用于表示用户提交的用户名和密码的接口 通常使用UsernamePassworkToken类(派生自Aut
Shiro权限管理】12.Shiro认证策略
程序猿之洞
11-26 2796
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。 上一篇我们讲到了Shiro的多Realm验证,并且编写实例进行了测试。对于多Realm校验,我们还需要知道,两个Realm时,怎么才能知道认证通过了?是一个Realm通过了就通过,还是全部Realm通过了才通过,还是其它?这就牵扯到了认证策略。 认证策略实际上是AuthenticationStrategy这个接口,它有三个
在身份认证中断言是什么意思
最新发布
05-10
例如,在认证过程中,可能会使用断言来确保用户已经通过认证,或者在访问控制时断言用户具有特定的角色或权限。如果用户未通过认证,断言失败可能会触发异常,进而中断后续流程,确保系统的安全性。 同时,要考虑到...
shiro web 身份、权限验证流程
TheThirdMoon的博客
03-27 383
1. 权限验证更灵活的方式是使用aop和注解方式 2. 除了权限验证还有一个角色验证,流程和权限验证类似,使用了UserFilter, RolesAuthorizationFilter
Shiro全攻略:身份验证、授权与Spring集成详解
教程旨在帮助读者全面理解并掌握Shiro,一个在Java Web应用中用于实现身份验证、授权和会话管理的安全框架。 1. **Shiro简介**:首先介绍了Shiro的基本概念,包括其作用和在Web应用中的地位,以及它与其他安全框架...
Apache Shiro入门到精通教程:身份验证、授权与集成
2. **身份验证**:这部分深入讲解了如何设置 Shiro 的身份验证流程,包括环境准备、登录和退出功能,以及 REALM(安全领域)和相关的 AUTHENTICATOR 和 AUTHENTICATIONSTRATEGY(身份验证器和身份验证策略)。...
Shiro Authenticator及AuthenticationStrategy
qq_37538698的博客
11-14 349
  Authenticator的职责是验证 用户帐号,是Shiro API中身份验证核心的入口点,接口如下 public interface Authenticator { AuthenticationInfo authenticate(AuthenticationToken var1) throws AuthenticationException; }   如果验证成功,将...
关于身份认证中的Authenticator及AuthenticationStrategy
qq383264679的专栏
06-13 3977
在流程图3中,有Authenticator和AuthenticationStrategy2个接口。 Authenticator的职责是验证用户帐号,是Shiro API中身份验证核心的入口点:          它只有一个方法: public AuthenticationInfo authenticate(AuthenticationToken authenticationToken)
第二章 身份验证 (二) Realm + Authenticator及AuthenticationStrategy
yifanSJ的博客
08-16 1745
Realm:域,Shiro 从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource , 即安全数据源。如我们之前的ini 配置方式将使用org.apache.shiro.re
Httpclient4.5详解之源码解析和使用一: 关键执行流程源码解读
派大星的博客
08-16 2788
前言 作为一个java后端开发,调用http协议的请求一直使用的httpclient,但是对他内部原理却一概不知,由于它使用了连接池来解决连接资源消耗所带来的问题,同时我们在使用时他也隐匿了连接池操作的很多细节,所以若是使用不当势必会带来很多隐藏的坑(诸如CLOSE_WAIT过多造成服务假死之类)所以最近有时间看了他内部源码,特此记录下来。 httpclient当前版本总览: httpc...
springboot】处理shiro多realm的自定义异常捕获问题
dan339811953的专栏
03-11 3111
前言 1、基于springboot前后端分离项目,基于shiro权限校验 2、多个realm:1)userRealm:校验登陆验证码; 2) OauthRealm:校验登陆后请求token 3、springboot版本 2.1.1 shiro版本 1.3.2 4、急着处理问题的可以直接看最下面解决的 O(∩_∩)O~ 问题描述 Realm自定义自定义的异常无法正常捕获,均捕获为“A...
多个realm时,抛出自定义的异常
chuanxuzheng1943的博客
11-27 777
1.继承一个ModularRealmAuthenticator类 创建一个类,继承ModularRealmAuthenticator,然后重写doMultiRealmAuthentication方法 /** * ,抛出realm中第一个遇到的异常 * @param realms 领...
CAS单点登录:服务端5.3,springboot集成客户端
hzj666的博客
03-04 3097
文章目录一、准备二、配置三、遇到的问题1.无法返回自定义attributes信息2.服务端无法使用自己的文件,编译之后还是使用模板的代码3.在过滤器中自己配置了Cas30ProxyReceivingTicketValidationFilter,没有生效 一、准备 jdk版本最低要求1.8 服务端使用cas-overlay-template,版本是5.3,下载地址,下载解压完成后,作为maven项目...
Shiro 多realm认证登陆 密码不正确时抛出错误异常,无法捕获问题
Mr_Wanter
11-01 3976
1、使用自定义MultiRealmAuthenticator <bean id="authenticator" class="com.xxx.commons.shiro.MultiRealmAuthenticator"> 2、MultiRealmAuthenticator类 import org.apache.shiro.authc.AuthenticationExcep...
Oracle Proxy Authentication(代理身份认证)
老徐的博客只有干货
04-05 3859
一 首先看一下Oracle官方给出的介绍: Oracle 代理身份验证在 Oracle8i 中首次推出,旨在为应用程序开发人员在设计多层体系结构时提供更多的灵活性。由于能够满足基于 Internet 的应用程序的伸缩性需求,多层体系结构在二十世纪九十年代开始流行。它们包含两个组件 — 一个中间层和一个后端数据库。基于 Oracle 的多层体系结构包含 Oracle 融合中间件和 Oracle
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值