shiro的两种认证过程

最新推荐文章于 2024-05-11 03:40:31 发布
最新推荐文章于 2024-05-11 03:40:31 发布
阅读量3.9k 收藏 1
点赞数 1
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/PotentialEnergy/article/details/52328478
版权

介绍两种比较常见的认证方法。适用于不同的场景

1、传统的认证 (适用于客户端、服务器端直接跳转页面的情况)

java后台能直接跳转的应用

配置如下:

application.xml中配置

<!-- Shiro Filter -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<!-- 这个是用户未登录,会直接跳转到/login。 服务器端会让客户端重定向到 /login请求。 -->
		<property name="loginUrl" value="/login" />
		<!-- 用户认证通过,则同样通知客户端重定向到 /index 请求。 -->
		<property name="successUrl" value="/index" />
        <property name="filters">
	        <map>
	        	<!-- 
	        	<entry key="authc" value-ref="baseFormAuthenticationFilter"/>
	        	-->
	        	<!-- 是否启用验证码检验 -->
	            <entry key="authc" value-ref="captchaFormAuthenticationFilter"/>
	        </map>
        </property>
		<property name="filterChainDefinitions">
			<value>
				/Captcha.jpg = anon
				/styles/** = anon
				/Captcha.jpg = anon
				/login/timeout = anon
				/login = authc
				/logout = logout
		    	/** = user
		 	</value>
		</property>
	</bean>


在java controller中配置

@Controller
@RequestMapping("/login")
public class LoginController {
	private static final String LOGIN_PAGE = "login";

	@RequestMapping(method = RequestMethod.GET)
	public String login(HttpServletRequest request) {
		return LOGIN_PAGE;
	}
	
	@RequestMapping(method = RequestMethod.POST)
	public String fail(String username,Map<String, Object> map, HttpServletRequest request) {

		String msg = parseException(request);
		
		map.put("msg", msg);
		map.put("username", username);
		
		return LOGIN_PAGE;
	}
	
	private String parseException(HttpServletRequest request) {
		String error = (String) request
				.getAttribute(FormAuthenticationFilter.DEFAULT_ERROR_KEY_ATTRIBUTE_NAME);
		String msg = "其他错误!";
		if (error != null) {
			if ("org.apache.shiro.authc.UnknownAccountException".equals(error))
				msg = "未知帐号错误!";
			else if ("org.apache.shiro.authc.IncorrectCredentialsException"
					.equals(error))
				msg = "密码错误!";
			else if ("com.ketayao.security.shiro.IncorrectCaptchaException"
					.equals(error))
				msg = "验证码错误!";
			else if ("org.apache.shiro.authc.AuthenticationException"
					.equals(error))
				msg = "认证失败!";
			else if ("org.apache.shiro.authc.DisabledAccountException"
					.equals(error))
				msg = "账号被冻结!";
		}
		return "登录失败," + msg;
	}
	
}

以上的认证过程为:  

当在login.jsp 中 点击登录按钮,POST请求 /login      {username:"admin", password: "123456"}

    首先 进入 /login = authc 认证过滤器,将请求来的username password 在自定义的Realm进行认证,

    如果认证通过,则走 <property name="successUrl" value="/index" />

    如果认证失败,走继续走/login 的action,也就是LoginController中的fail()方法

如果上面的认证过程不是很明白,则可以参考源码。


看一下AdviceFilter的源码吧:

public abstract class AdviceFilter extends OncePerRequestFilter{
    public void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain)
            throws ServletException, IOException {

        Exception exception = null;
        try {

            boolean continueChain = preHandle(request, response);
            if (log.isTraceEnabled()) {
                log.trace("Invoked preHandle method.  Continuing chain?: [" + continueChain + "]");
            }

            if (continueChain) {
                executeChain(request, response, chain);
            }

            postHandle(request, response);
            if (log.isTraceEnabled()) {
                log.trace("Successfully invoked postHandle method");
            }

        } catch (Exception e) {
            exception = e;
        } finally {
            cleanup(request, response, exception);
        }
    }
}

当前面所讲的认证通过后,boolean continueChain= preHandle(request,response);

continueChain会返回false。

所以下面的代码是不执行的。

if (continueChain) {

               executeChain(request, response, chain);

}

但是认证失败时,返回true,就会执行自己的action操作。



2、自定义认证(适用于ajax类的json操作,非web应用)

第二种配置相比之下就较灵活 ,首先配置applicationContext-shiro.xml

<!-- Shiro Filter -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<property name="loginUrl" value="/login" /> 
        <property name="filters">
	        <map>
	        	<!-- 
	        	<entry key="authc" value-ref="baseFormAuthenticationFilter"/>
	        	-->
	        	<!-- 是否启用验证码检验 -->
	                <!-- <entry key="authc" value-ref="captchaFormAuthenticationFilter"/> --> 
	        </map>
        </property>
		<property name="filterChainDefinitions">
			<value>
				/ = anon
				/views/** = anon
				/styles/** = anon
				/login = anon
				/login/timeout = anon
				/Captcha.jpg = anon
				/logout = logout
		    	        /** = user
		 	</value>
		</property>
	</bean>
咋看一下,几乎没什么区别,主要的一个区别是:/login = authc 这句配置没有了。也就是说,认证的过程由自己控制了。

先看一下LoginController中的代码

        @RequestMapping(value = "/login", method = RequestMethod.POST)
	public @ResponseBody String login(String username,String password,HttpServletRequest request) {

		UsernamePasswordToken token = new UsernamePasswordToken( username, password );
		token.setRememberMe(true);
		Subject currentUser = SecurityUtils.getSubject();
		
		String messageCode = MessageCode.LOGIN_SUCCESS  ;
		
		try {
		    currentUser.login(token);
		} catch ( UnknownAccountException ex ) { 
			messageCode = MessageCode.LOGIN_ACCOUNT_ERROR;
			ex.printStackTrace();
		} catch ( IncorrectCredentialsException ex ) {
			messageCode = MessageCode.LOGIN_PASSWORD_ERROR;
			ex.printStackTrace();
		} catch ( LockedAccountException ex ) { 
			messageCode = MessageCode.LOGIN_ACCOUNT_LOCKED;
			ex.printStackTrace();
		} catch ( ExcessiveAttemptsException ex ) {
			messageCode = MessageCode.LOGIN_EXCESSIVE_ERROR;
			ex.printStackTrace();
		} catch ( AuthenticationException ex ) {
			messageCode = MessageCode.LOGIN_AUTHTICATION_FAIL;
			ex.printStackTrace();
		}
		
		if(currentUser.isAuthenticated()){
			return new ResultVO<>(messageCode).toString();<span>	</span>//认证成功
		}else{
			return new ResultVO<>(ResultVO.FAILURE,messageCode).toString();  //认证失败
		}
		
		
	}

因为在applicationContext-shiro.xml中已经配置了 /login=anon, 所以就直接进入了 LoginController的 login() 方法。通过自己调用 currentUser.login(token)

来进行验证,然后 在try{} catch(){} 语句中,得到相应的错误。

根据下面的判断,来返回json数据给前端

		if(currentUser.isAuthenticated()){
			return new ResultVO<>(messageCode).toString();<span>	</span>//认证成功
		}else{
			return new ResultVO<>(ResultVO.FAILURE,messageCode).toString();  //认证失败
		}
前端就能根据返回的json数据,做出自己的选择。也就实现了 前后台的隔离。

与第一种验证方法还是有些不同,第一种方法 是后台进行逻辑跳转。

而且第二种方法也能适用于非web应用的程序。





彦love博
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro实现多个realm的认证和授权
kuai_le_de_xiao_erbi的博客
01-02 4795
认证的话大家可以参考这个链接shiro实现不同身份使用不同Realm进行验证 这里具体说一下授权的处理,下面是我的代码public class CustomerAuthrizer extends ModularRealmAuthorizer { @Override public boolean isPermitted(PrincipalCollection principals,
使用Shiro实现权限验证
热门推荐
YanMonarch博客
01-17 10万+
《使用Shiro实现权限验证》 1. Shiro入门 ApacheShiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理。 Shiro有三大核心组件: Subject:即当前用户,在权限管理的应用程序里往往需要知道谁能够操作什么,谁拥有操作该程序的权利,shiro中则需要通过Subject来提供基础的当前用户信息,Subject 不仅仅代表某个用户,与当前
Shiro之多Realm的认证认证策略-yellowcong
m0_67392010的博客
08-24 501
多重认证是操作的是多个Realm。第一种方式是,在ModularRealmAuthenticator里面可以配置多个Reamls,默认的验证策略是,至少一个满足即可(AtLeastOneSuccessfulStrategy)。建议将多Realm配置在DefaultWebSecurityManager ,将验证策略和Reaml分开来管理,也就是下面,多重认证的第二种方式。
2024年最全Shiro安全框架——【快速入门、登录拦截、用户认证(1),2024年最新抖音四面被拒再战头条终获offer
最新发布
2401_84302507的博客
05-11 776
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。
Apache Shiro安全框架深入讲解+面试题+案例
07-02
本课程共24节,包含一节课程总结和面试题讲解。内容包括权限管理原理和表结构设计,基于文本域的身份验证和权限验证,基于JDBC域的身份验证和权限验证,盐和加密,集成web环境,shiro过滤器的使用,session的管理,缓存和SSM的集成等。边讲边记,绝不照搬照念,是shiro学习的好资料。
权限管理项目实战springboot+vue+shiro(毕业设计)
09-23
适用人群Java开发人员,Vue开发人员,前后端分离开发人员,权限管理和配置开发人员课程概述【讲师介绍】      现某知名大型互联网公司资深架构师,技术总监,职业规划师,首席面试官,曾在某上市培训机构,高校任教多年。     Array(Array老师)10多年互联网公司实战经验,知名的大型互联网公司的架构师,高管等职,在企业长期从事于技术的源码阅读和新技术的研究;擅长于职业规划,面试辅导,从事面试官多年 技术选型开发环境:Eclipse/Idea ,JDK 1.8以上 后端技术核心框架:SpringBoot2.x框架系列(同样适用Springcloud F版本以后的版本),如下(节选):    持久层框架:MyBatis 3.x + Mybatis-plus 3.x日志管理:SLF4J 1.7 + Log4j2 2.7工具类:Apache Commons、Jackson 、fastjson、Gson权限验证前端技术  Vue  Vue-cliElementUI ---https://element.eleme.io/JSX (JavaScript Xml)前台的权限验证和路由设置开发模式       前后端分离的开发数据库       Mysql5IDE    Intellij Idea【课程收益】学完课程能独立完成springboot2+vue+elementUI的整合项目开发(前后端分离) 学完课程能Shiro的权限控制,按钮级别的权限控制 学完课程能独立后端开发和独立前端开发Vue 学完课程能快速的掌握目前互联网用的前沿的框架和技术实战
SpringBoot整合Shiro两种方式(总结)
08-25
本文将详细介绍两种在Spring Boot中整合Shiro的方法。 **第一种方法:原生的Shiro整合** 1. **创建项目和添加依赖** 创建一个Spring Boot项目,基础依赖只需包含`spring-boot-starter-web`。然后,引入Shiro的...
oauth2 shiro 多表认证
06-16
OAuth2和Shiro两种广泛应用于身份验证和授权的开源框架。在多表认证的场景下,它们可以联合工作,为复杂的企业级应用提供安全控制。以下是对这两个框架及其在多表认证中的应用的详细解释。 OAuth2是一个开放标准...
shiro-jwt-oauth权限认证
11-11
2. **基于Shiro-JWT-OAuth的认证方式**:这是更复杂的一种认证策略,结合了Shiro的权限管理功能和JWT以及OAuth2.0的授权流程。用户首先通过OAuth2.0流程获取访问令牌,然后使用该令牌获取JWT。Shiro负责处理JWT的...
CAS+Shiro实现认证授权
11-15
在IT行业中,安全是至关重要的,特别是在Web应用中。本文将深入探讨如何使用Apache Shiro和Central Authentication Service(CAS)来...通过学习和实践这两种技术的结合,开发者可以提升其在Web安全领域的专业能力。
Shiro安全登录认证、权限授权封装模块代码
01-23
Shiro 支持角色(Roles)和权限(Permissions)两种方式。你可以通过 Realm 获取用户的角色和权限信息,并在需要时进行权限检查,例如使用 `subject.hasRole('admin')` 或 `subject.isPermitted('delete:user')`。 ...
django面试题总结
weixin_39247197的博客
09-11 2033
列举HTTP中常见的请求方式 HTTP请求的方法: HTTP/1.1协议中共定义了八种方法(有时也叫“动作”),来表明Request-URL指定的资源不同的操作方式 注意: 1)方法名称是区分大小写的,当某个请求所针对的资源不支持对应的请求方法的时候,服务器应当返回状态码405(Mothod Not Allowed);当服务器不认识或者不支持对应的请求方法时,应返回状态码501(Not Implemented)。 2)HTTP服务器至少应该实现GET和HEAD/POST方法,其他方法都是可选的,此
Shiro认证流程和授权流程
Emma_Joans的博客
10-12 1万+
认证:身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。 在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals
Shiro(3)实现验证码认证
小9的专栏
08-14 2万+
Shiro整合Spring,图形验证码防止暴力破解。
shiro登录流程
weixin_33980459的博客
10-20 232
ShiroFilter Shiro提供了与Web集成的支持,其通过一个ShiroFilter入口来拦截需要安全控制的URL,然后进行相应的控制,ShiroFilter类似于如Strut2/SpringMVC这种web框架的前端 其是安全控制的入口点,其负责读取配置(如ini配置文件),然后判断URL是否需要登录/权限等工作。 we...
shiro 权限框架认证和授权原理介绍
个人视角下的技术领域探索
12-20 1万+
Shiro是一个安全框架,是Apache 的一个子项目。Shiro提供了:认证、授权、加密、会话管理、与Web集成、缓存等模块。
shiroFilter生命周期
祈祷之手
06-27 2141
基本说明 filter执行的是代理bean的id为shiroFilter相应的方法 接下来看看 shiroFilter 是什么 再来分析shiroFilter 这个实现了 javax.servlet.Filter 的生命周期 spring 配置信息 &amp;lt;bean id=&quot;shiroFilter&quot; class=&quot;org.apache.shiro.spring.web.Shir...
Shiro的实现流程
itlijinping_zhang的博客
01-26 4155
获取当前的 Subject. 调用 SecurityUtils.getSubject(); 测试当前的用户是否已经被认证. 即是否已经登录. 调用 Subject 的 isAuthenticated() 若没有被认证, 则把用户名和密码封装为 UsernamePasswordToken 对象 1). 创建一个表单页面 2). 把请求提交到 SpringMVC 的 Handler 3). 获取用户...
Jeesite 登录逻辑分析
u012384270的博客
06-02 4320
最近项目需求研究免登录进入jeesite系统,于是对jeesite的登录逻辑进行了研究。一:当用户从url访问jeesite系统时,首先会通过下面方法。 @RequestMapping(value = "${adminPath}/login", method = RequestMethod.GET) public String login(HttpServletRequest request, ...
shiro 认证的流程
07-30
下面是Shiro认证的基本流程: 1. 创建SecurityManager:首先,你需要创建一个SecurityManager对象,它是Shiro的核心组件之一。SecurityManager负责协调整个认证和授权过程。 2. 创建Subject:Subject代表当前操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值