shiro的认证过程

最新推荐文章于 2024-05-10 08:47:53 发布
最新推荐文章于 2024-05-10 08:47:53 发布
阅读量2.4k 收藏 2
点赞数 1
分类专栏: shiro 文章标签: shiro CredentialsMatcher
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ITWANGBOIT/article/details/102500492
版权

下图为调用subject.login()方法进行登录认证时的方法调用过程。

大致过程为:

1:当调用subject.login方法时,实际上调用的是SecurityManager的login方法。

2:SecurityManager里有个Authenticator(即认证器),SecurityManager会将认证动作交给认证器,认证器可以设置认证策略(这里不说)。

3:SecurityManager设置过AuthenticatingRealm的子类,最终认证动作会传递给AuthenticatingRealm的getAuthenticationInfo方法。

4:重点介绍一下AuthenticatingRealm类的getAuthenticationInfo方法

     (1)方法中的token参数是对用户输入的账号和密码的封装

     (2)代码第568行是根据token调用doGetAuthenticationInfo,来获取一个AuthenticationInfo对象

     (3)AuthenticatingRealm类的doGetAuthenticationInfo方法是抽象方法,供子类重写的(所以我们继承AuthenticatingRealm时都要重写doGetAuthenticationInfo方法),在重写的方法中,我们首先验证token中账号的合法性,然后再根据token中的账号获取到用户保存的密码,最后将密码封装成一个SimpleAuthenticationInfo对象(AuthenticationInfo的子类)返回给568行的info。

     (4)在第(3)步中已经进行了账号的合法性验证,而且获取到了用户保存的密码;代码第578行是将用户输入的信息的封装token和获取到的info进行比对(实际上仅仅是密码凭据的比对)。


     

4:该步骤就是进行密码凭据的比对,比对密码要借助CredentialsMatcher,代码第595行获取到CredentialsMatcher,第597行调用CredentialsMatcher的doCredentialsMatch方法进行比对。

5:CredentialsMatcher的实现类有很多

6:先介绍AuthenticatingRealm的默认Matcher:SimpleCredentialsMatcher是怎么比对密码凭据的。(一般人一眼就能看懂)

 

 

coding的大博哥
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
01-shiro认证流程.md
07-31
### Shiro 认证流程详解 #### 一、权限管理概览 权限管理是指在信息系统中,为了确保数据的安全性和完整性,对用户访问系统资源的行为进行控制的一种机制。权限管理通常涉及两个主要方面:用户认证(User ...
shiro认证及授权demo
10-28
这个"shiro认证及授权demo"应该包含了设置Shiro环境、配置 Realm、创建 SecurityManager、定义用户角色和权限以及处理登录、登出等核心功能的示例代码。 1. **Shiro环境设置**:首先,需要在项目中引入Shiro的依赖...
Shiro 认证过程
weixin_43145065的博客
10-19 156
Shiro 认证过程
详解Shiro认证流程
小小的人儿的博客
01-12 4234
通过前面对shiro源码的解读,我们知道,只要我们在拦截器里面配置了所有请求都经过FormAuthenticationFilter,那么我们就不用自己写login方法,shiro会自己帮我们处理登录逻辑。 isAccessAllowed shiro中的判断一个请求是否允许通过的条件是当前得到的subject是否已经认证过,或者当前请求是否是登录请求。 如何判断Subject是否认证过? org.apache.shiro.subject.support.DelegatingSubject#isAuthenti
解锁Apache Shiro:新手友好的安全框架指南(一)——整体架构与身份认证_apache shiro的配置包括安全管理器
最新发布
2401_84302796的博客
05-10 965
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Shiro】2. Shiro认证流程
xiaoyuan_27的博客
12-20 787
认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。 认证的关键对象 Subject:主体,主体可以是访问系统的用户、应用程序等。需要进行认证的都称为主体。 Principal:身份信息,是主体(Subject)进行身份认证的标识,标识必须具有唯一性。如用户名、手机号、邮箱地址等。一个主体可以有多个身份,但是必须有一个主身份(Primary Principal)
Shiro认证流程和授权流程
web15185420056的博客
08-24 1030
4、Authorizer会判断Realm的角色/权限是否和传入的匹配,如果有多个Realm,会委托给ModularRealmAuthorizer进行循环判断,如果匹配如isPermitted*/hasRole*会返回true,否则返回false表示授权失败。**principals:**身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。身份验证,即在应用中谁能证明他就是他本人。Shiro支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,即实例级别的),后续部分介绍。
shiro认证流程
nnnnnnnnnnii的博客
07-29 353
1.什么是权限管理? ** 只要用户参与的系统一般都要有权限管理,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源.** ** 対权限的管理分为两大类别:** 用户认证 用户授权 1.用户认证: 用户认证,用户去访问系统,系统要验证用户身份的合法性 最常用得到用户身份验证得到方法, 1, 用户密码方式, 2,指纹打卡机, 3,基于验证书验证方法 系统验证用户身份之后,用户可以访问系统的资源 用户认证的流程: 判断该资源是否能不认证就能访问[
Shiro-----Shiro认证流程
asdfadafd的博客
08-24 123
第三步、详细描述 通过 subject.login(token)进行用户认证 Subject 接受 token 信息 ,通过DelegatingSubject 将 token 委托给 securityManager 完成认证 securityManager。方法完成认证 使用其中的doAuthenticate 获得realms信息如果是单个直接进 行比较,判断是否成功,如果是多个 raalm。合抱之木,生于毫末;百丈之台,起于垒土;千里之行,始于足下。------《老子》第二步、封装了 token 信息。
shiro认证流程图
weixin_43150427的博客
08-14 212
shiro认证流程图
Shiro认证过程
weixin_43319635的博客
12-06 189
1.身份认证流程 获取当前的 Subject. 调用 SecurityUtils.getSubject(); 测试当前的用户是否已经被认证. 即是否已经登录. 调用 Subject 的 isAuthenticated() 若没有被认证, 则把用户名和密码封装为 UsernamePasswordToken 对象 首先调用 Subject.login(token) 进行登录,其会自动委托给Secu...
一文读懂 Shiro 登录认证全流程
csdn565973850的博客
09-14 5071
一起跟着源码看 Shiro 的登录认证流程
Apache Shiro 使用手册(二) Shiro 认证
09-15
Shiro认证过程中,用户需要提供实体信息(Principals)和凭据信息(Credentials)。Principals 是用来唯一标识用户的身份,比如用户名、身份证号等;Credentials 则是用来验证这些身份的证据,常见的如密码。...
javaSE环境下Shiro认证过程以及部分API
11-18
本篇文章将深入探讨Shiro认证过程,并介绍一些常用的API,帮助你更好地理解和应用Shiro。 首先,我们来了解Shiro认证过程。在Shiro中,认证是指验证用户身份的过程。它通常包括以下步骤: 1. **凭证匹配器...
shiro认证授权
08-03
当用户尝试登录时,Shiro 会调用 `Subject.login(token)` 方法,启动认证流程。 在 `shiro-demo` 中,你可能会看到类似以下的代码: ```java Subject subject = SecurityUtils.getSubject(); ...
SimpleCredentialsMatcher和HashedCredentialsMatcher的区别
ITWANGBOIT的博客
10-11 2404
如果不知道shiro认证过程,可以先看这篇文章:https://blog.csdn.net/ITWANGBOIT/article/details/102500492 1:它们都是CredentialsMatcher的实现类,而且HashedCredentialsMatcher还是SimpleCredentialsMatcher的子类 2:SimpleCredentialsMatcher进...
shiro的session的理解
ITWANGBOIT的博客
10-23 2333
以问答的形式 1:session的作用是什么? 和web容器中的session作用一样,就是用于记录浏览器和服务器之间的交互 2:登录状态和session有没有关系? 登录认证成功之后,shiro是将认证信息存储在session中的,以后的每次请求肯定会在过滤器中判断session中有没有认证信息,以作为放行的依据。 3:为什么要把session持久化,即为sessionDao?是为了分...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值