shiro理解

最新推荐文章于 2024-06-04 10:08:47 发布
最新推荐文章于 2024-06-04 10:08:47 发布
阅读量325 收藏 3
点赞数 1
分类专栏: java 文章标签: shiro java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MyCurlingStick/article/details/116463857
版权

1. Subject(主体)通常我们会将Subject对象理解为一个用户,同样的它也有可能是一个三方程序,它是一个抽象的概念,可以理解为任何与系统交互的“东西”都是Subject。

如果使用常见的账号+密码验证:UsernamePasswordToken

Subject subject = SecurityUtils.getSubject();
subject.login(new UsernamePasswordToken(username,password));

当使用login时,实际会调用AuthorizingRealm中的doGetAuthenticationInfo方法。

所以实际doGetAuthenticationInfo方法参数的AuthenticationToken,
(1)可以通过getPrincipal()获取其username,通过getCredentials()获取password
(2)强转为UsernamePasswordToken,使用getUsername()和getPassword()

也可实现AuthenticationToken重写方法改变返回值。
在这里插入图片描述

2.doGetAuthorizationInfo(PrincipalCollection principals)中
可通过principals.getPrimaryPrincipal()获取在认证方法中返回的
SimpleAuthenticationInfo第一个参数principal形成的集合中的第一个数据。
在这里插入图片描述

认证方法返回:SimpleAuthenticationInfo(Object principal, Object credentials, String realmName)

剖析SimpleAuthenticationInfo,实例化返回时,做了哪些:

 在认证时,将realmName作为key,principal作为值( is/isnot Collection不同对待),
放入SimpleAuthenticationInfo中的PrincipalCollection 中的Map<String,Set> realmPrincipals中。

principal可以放想要通过PrincipalCollection 或者Subject获取到的数据,credentials用于验证跟token的密码是否相同。

所以info的credentials不能放token的credentials,不然就是自己跟自己比较肯定正确。

在这里插入图片描述在这里插入图片描述
在这里插入图片描述

  1. SimpleAuthenticationInfo类getPrincipals方法返回的PrincipalCollection跟Subject的getPrincipals方法返回的SimplePrincipalCollection相同
  2. doGetAuthorizationInfo(PrincipalCollection principals)中的参数 同3
principals = subject.getPrincipals() = SimpleAuthenticationInfo.getPrincipals()

principals.getPrimaryPrincipal() 
= SimpleAuthenticationInfo.getPrincipals().getPrimaryPrincipal()
= subject.getPrincipals().getPrimaryPrincipal()
 = subject.getPrincipal();

5.实际登陆就是在能通过用户名查询到用户存在的情况下,匹配token的credentials和SimpleAuthenticationInfo的credentials
在这里插入图片描述

假以时日夜兼程
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
对于shiro的一些理解
qq_44450023的博客
01-14 550
一、shiro是一个安全(权限)框架 shiro和security都是安全框架 security整合了spring,shiro通用,具体的用看适用环境,一般用shiro 基础核心内容也就是 1.认证:(看用户是否拥有相应的身份,也就是这个用户是否在数据库中, 举个例子:小区中,门禁卡里边有的信息大概有几单元,几号楼,几层,门牌号 就说明你在这个小区) 2.授权:(可以说是查询用户有那种权限,而并不是授予用户哪种权限) 3.加密也可以,不过是通过加盐的操作 (意思就是在注册用户的时候,shiro会自动在密码后
权限项目总结(三) shiro 认证
柏修的专栏
06-01 2366
认证是shiro在使用过程中最开始的一个步骤,只有通过了认证才回有下面授权等操作。认证就是shiro获取当前 用户凭据并进行匹配的过程,最朴素的理解就是弄清楚当前用户的到底是谁的过程。这里也是针对在应用层面的总结,因为发现跟到shiro内部东西就很多了,容易迷失自己。   其实shiro认证过程简化的步骤非常简单   1.提交凭据 2.获取验证信息 3.验证凭据和验证信息是否一致
Shiro学习笔记
qq_42034205的博客
08-09 393
Shiro依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</version> </dependency>
Shiro subject.getPrincipal()类型转换异常 java.lang.ClassCastException
最新发布
qq_30255033的博客
06-04 145
热部署后 Shiro subject.getPrincipal()类型转换异常 java.lang.ClassCastException
Shiro权限控制,获取当前登录用户信息
weixin_34503526的博客
01-03 2841
1.在自定义 UserRealm,doGetAuthenticationInfo 方法中 ,设置 登录用户userInfo return new SimpleAuthenticationInfo(userInfo, token, "userRealm"); protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken auth) throws AuthenticationException { // ..
shiro深入了解subject,认证登录后执行的授权,然后进行权限认证Vs自己定义拦截器实现权限,还有shiro自身的session管理
weixin_42765975的博客
10-27 1899
/*一定要了解这两个方法的执行顺序,这个对shiro框架的思路很重要, 思路:执行currUser.login(token)就会执行doGetAuthenticationInfo()方法,进行密码登录; 登录成功后就会通过SimpleAuthenticationInfo来存取用户的信息,通过subject.getPrincipal()方法来获取信息 登录后再进行授权执行doGetAuthoriza...
RasGetCredentials
cozil的专栏
08-25 576
DWORD RasGetCredentials( _In_ LPCTSTR lpszPhonebook, _In_ LPCTSTR lpszEntry, _Inout_ LPRASCREDENTIALS lpCredentials );说明该函数用于获取与指定RAS电话簿条目关联的用户凭证。 参数lpszPhonebook [in]指向一个
关于spring security 认证的简单知识整理
perfect_red的博客
10-23 239
  1.认证   几个重要的类: UsernamePasswordAuthenticationFilter 从名字上看,就知道,这是一个验证username 和 password的过滤器,通过 filter获取request,从request获取username 和 password 来进行验证,最后生成一个UsernamePasswordAuthenticationToken ,...
shiro理解
01-09
在深入理解Shiro之前,我们需要了解几个核心概念: 1. **Subject**: Shiro 的核心概念,代表当前用户的安全主体,它封装了认证、授权、会话管理和密码策略等操作。在上述代码中,`SecurityUtils.getSubject()` 获取...
shiro1.5.3
05-11
同时,还需要理解Shiro的事件监听、缓存管理等高级特性,以便更好地优化和扩展你的安全架构。 总之,Apache Shiro 是一个全面的Java安全解决方案,1.5.3版本的发布意味着它已经经过了广泛的测试和完善,能够为你的...
shiro_springboot
10-04
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了认证、授权、加密和会话管理功能,简化了开发人员处理安全问题的过程。...通过深入理解和实践这些知识点,开发者可以构建更安全、更灵活的 SaaS 应用程序。
Apache Shiro教程
12-30
这个教程将帮助你深入理解和有效地使用Shiro框架。在本文中,我们将详细探讨Shiro的核心概念、主要功能和常见用法。 1. **核心概念** - **身份验证(Authentication)**:确认用户的身份,即验证用户提供的凭证...
shiro.docx
03-28
Shiro的出现使得开发者可以快速构建安全的系统,无需深入理解底层复杂的实现细节。它不仅适用于Java SE环境,还能无缝集成到Java EE环境中。 Shiro的核心功能如下: 1. **身份认证(Authentication)**:Shiro提供...
Shiro中new String((char[])token.getCredentials());与 token.getCredentials().toString();的区别
u013456370的专栏
11-28 8561
String password = new String((char[])token.getCredentials()); 以上:这个可以正常通过测试! String password = token.getCredentials().toString(); 报错: org.apache.shiro.authc.IncorrectCredentialsException at com.a
源码分析Shiro框架的密码加密及校验
王绍桦
11-28 1322
前言 我们知道Shiro框架有提供凭证匹配器类HashedCredentialsMatcher来实现密码校验的,在该类中可以自定义加密方式、加密次数、编码规则等 //权限管理 @Bean public SecurityManager securityManager() { DefaultWebSecurityManager securityManager = new...
史上最烂 spring security 原理分析
红衣女妖仙的博客
08-07 788
spring security 简介、核心组件、初始化流程、认证初始化、授权初始化、认证流程、授权流程  spring security 是一个。。。巴拉巴拉一大堆。其和 shiro 怎么怎么样。。。又巴拉巴拉一大堆。  spring security 核心组件主要由 SecurityBuilder、Security Exception、Authenticate、Authorize、Authentication、SecurityContext、SecurityContextHolder、SecurityCo
Spring Security 实现身份认证
热门推荐
小尘
03-30 2万+
Spring Security可以运行在不同的身份认证环境中,当我们推荐用户使用Spring Security进行身份认证但并不推荐集成到容器管理的身份认证中时,但当你集成到自己的身份认证系统时,它依然是支持的。     1. Spring Security中的身份认证是什么?     现在让我们考虑一下每个人都熟悉的标准身份认证场景:    
第六章 Realm及相关对象——《跟我学Shiro
jinnianshilongnian的专栏
02-26 976
  目录贴: 跟我学Shiro目录贴     6.1 Realm 【2.5 Realm】及【3.5 Authorizer】部分都已经详细介绍过Realm了,接下来再来看一下一般真实环境下的Realm如何实现。    1、定义实体及关系 即用户-角色之间是多对多关系,角色-权限之间是多对多关系;且用户和权限之间通过角色建立关系;在系统中验证时通过权限验证,角色只是权限集合,即...
Shiro认证、盐加密
weixin_43939301的博客
10-13 119
目标 1、shiro认证 2、盐加密 Shiro认证 Pom依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.3.2</version> &lt...
理解Shiro认证: Realm与授权详解
"Shiro是一个强大的Java安全框架,主要用于实现身份认证、...Apache Shiro通过其灵活的组件设计和清晰的认证授权流程,为开发者提供了一套易于理解和使用的安全框架,使得在Java应用中实现安全功能变得更加简单高效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值