Shiro身份认证授权原理

最新推荐文章于 2022-04-08 07:47:48 发布
最新推荐文章于 2022-04-08 07:47:48 发布
阅读量223 收藏
点赞数
原文链接:http://www.cnblogs.com/LQBlog/p/7256777.html
版权

shiro在应用程序中的使用是用Subject为入口的, 最终subject委托给真正的管理者ShiroSecurityMannager

Realm是Shiro获得身份认证信息和来源信息的地方(所以这里是我们实现的)我们只要继承他的实现类重写方法就好了,AuthorizingRealm 

身份认证过程

自定义realm代码

public class myRealm  extends AuthorizingRealm  {
        //realm的名称
	@Override
	public String getName() {
		// TODO Auto-generated method stub
		return "myRealm";
	}
        //验证token是否是有效的token
	@Override
	public boolean supports(AuthenticationToken arg0) {
		// TODO Auto-generated method stub
		return arg0 instanceof UsernamePasswordToken;
	}
        //授权获得用户权限信息的方法
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
		info.addRole("321");
		info.addRole("3332");
		info.addStringPermission("333");
		info.addStringPermission("555");
		info.addObjectPermission(new WildcardPermission("44"));
		// TODO Auto-generated method stub
		return info;
	}
         //认证获取用户身份信息的方法
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		 UsernamePasswordToken loginToken=(UsernamePasswordToken)token;
		   String password=new String(loginToken.getPassword());
		   System.out.println(password);
		   System.out.println(loginToken.getUsername());
		   if(loginToken.getUsername()=="zhang"&&password.equals("123")){
			   
		   }else{
			   throw new IncorrectCredentialsException();
		   }
			// TODO Auto-generated method stub
			SimpleAuthenticationInfo info= new SimpleAuthenticationInfo(loginToken.getUsername(),password,getName());
			return info;
	}

}

  

doGetAuthorizationInfo方法是进行用户授权的时候调用的方法 用户获得当前用户的授权信息 先不管他
doGetAuthenticationInfo是当我们调用subject.login进行认证的方法 这个方法的参数token就是我们subject.login调用的
这里面我们就可以查询数据库对用户名和密码进行认证
如果认证成功将用户信息封装成SimpleAuthenticationInfo
认证失败根据几种情况抛出异常,常见的如:
DisabledAccountException(禁用的帐号)、LockedAccountException(锁定的帐号)
UnknownAccountException(错误的帐号)
ExcessiveAttemptsException(登录失败次数过多)、IncorrectCredentialsException (错误的凭证)
ExpiredCredentialsException(过期的凭证)等

shiro.ini配置

#声明一个realm  
myRealm1=com.liqiang.realm.myRealm
#这里就是我们注入realm的地方 
securityManager.realms=$myRealm1

 

实现身份认证的代码

	@Test  
	public void testHelloworld() {  
	    //1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager  
	    Factory<org.apache.shiro.mgt.SecurityManager> factory =  
	            new IniSecurityManagerFactory("classpath:shiro.ini");  
	    //2、得到SecurityManager实例 并绑定给SecurityUtils  
	    org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();  
	    SecurityUtils.setSecurityManager(securityManager);  
	    //3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)  
	    Subject subject = SecurityUtils.getSubject();  
	    UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");  
	  
	    try {  
	        //4、登录,即身份验证  
	        subject.login(token);  
	    } catch (AuthenticationException e) {  
	        //5、身份验证失败  
	    }  
	 
	    subject.logout();  
	}

上面我们调用sbuject.login(token) 这个token封装了前端用户输入的用户名和密码

 

授权验证

 当我们通过subject.isPermitted("user:update") 当我们判断当前用户是否拥有user:update这个权限代码的时候

会调用我们ream的 doGetAuthorizationInfo 方法获得授权信息。我们在这里面就是根据用户信息查询数据将认证信息封装

SimpleAuthorizationInfo 返回回去

   //授权获得用户权限信息的方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
        info.addRole("321");
        info.addRole("3332");
        info.addStringPermission("333");
        info.addStringPermission("555");
        info.addObjectPermission(new WildcardPermission("44"));
        // TODO Auto-generated method stub
        return info;
    }

这里通过查询数据库知道用户有321  332  这2个角色 和 333   555   44  这几个权限

WildcardPermission 这个又是什么意思呢。。通过addStringPermission  默认是用Permission的实现类封装的 如果我们又定义就用我们的封装 没有定义就用默认的WildcardPermission
最终将他们保存到一个集合里面
如:
public class MyPermission implements Permission {

    String permissionCode;
    public MyPermission(String name) {
        permissionCode=name;
    }

    @Override
    public boolean implies(Permission permission) {
        //自定义比较
        // TODO Auto-generated method stub
        return false;
    }

    

}

当我们调用subject.isPermitted("user:update")会调用将指令传达给

SecurityManager 
SecurityManager 再将指令传达给授权管理类Authorizer
Authorizer会通过reaml获得授权信息SimpleAuthorizationInfo
如果我们返回的授权信息拥有角色 会调用RolePermissionResolver实现类的方法 将角色的权限追加到SimpleAuthorizationInfo(默认是没有实现的)
如:
public class MyRolePermissionResolver  implements RolePermissionResolver{

    @Override
    public Collection<Permission> resolvePermissionsInRole(String roleString) {
        // TODO Auto-generated method stub
         return Arrays.asList((Permission)new MyPermission("menu:*")); 
    }

这里面应该是根据角色查询权限 

最终 遍历SimpleAuthorizationInfo的权限信息 (我们的权限信息都封装Permission接口实现类 调用implies方法进行比较 如果比较成功返回true 表示授权通过)自定义Permission的好处就是我们可以自定义匹配规则

注入自定义Permission和RolePerminssion的配置

[main]
authorizer=org.apache.shiro.authz.ModularRealmAuthorizer  
securityManager.authorizer=$authorizer   
#自定义rolePermissionResolver  
rolePermissionResolver=com.liqiang.permissionResolver.MyRolePermissionResolver 
authorizer.rolePermissionResolver=$rolePermissionResolver  
securityManager.authorizer=$authorizer
permissionResolver=com.liqiang.permissionResolver.MyPermissionResolver
authorizer.permissionResolver=$permissionResolver  
#声明一个realm  
myRealm1=com.liqiang.realm.myRealm
#指定securityManager的realms实现  
securityManager.realms=$myRealm1

 PS:好记性不如烂笔头  希望自己回头来看一下就能回忆起来

        学习文章:http://jinnianshilongnian.iteye.com/blog/2018398

转载于:https://www.cnblogs.com/LQBlog/p/7256777.html

denggouya9281
关注
shiro身份认证流程
WeiZhihuiCSDN的博客
09-22 531
身份验证 身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份 ID 一些标识信息来表明他就是他本人,如提供身份证,用户名 / 密码来证明。 在 shiro 中,用户需要提供 principals (身份)和 credentials(证明)给 shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以...
shiro——授权原理(源码流程)
dgh112233的博客
08-29 1026
目录 1. 授权入口 2. 源码追踪 1. 授权入口 subject.isPermitted(url); 这就是入口,如果用户有这个url权限,那么就返回true,如果没有,则返回false。 2. 源码追踪 由于我们的Subject默认是由DelegatingSubject 类实现的,所以调用的是DelegatingSubject类的isPermitted(String url...
Shiro 身份认证原理
PinkCoder
02-12 982
Shiro 身份认证原理
Shiro身份认证之密码比较原理
Entodie的博客
09-04 399
1、在getAuthenticationInfof 1、从缓存获取 2、获取自定义实现realm中从数据库获取数据后 拿到数据后,调用方法密码验证 1、获取比较器 1、自定义比较器 2、默认比较器 原理: 加密密码 获取info密码 ...
shiro什么时候会进入doGetAuthorizationInfo(PrincipalCollection principals)
热门推荐
Optimistic
03-21 3万+
shiro
Md5+salt实现用户加密
健康平安的活着的专栏
05-29 4463
一.md5 1.1 作用 一般用来进行加密或者签名 特点:md5内容不可逆,相同的内容不论执行多少次,md5加密算法生成的结果都是一致的。 结果:生成的结果是一个32位的16进制字符串。 二 md5+salt salt说白了就是随机的字符串 2.1 md5+salt的使用 注册时md5(输入明文密码+随机盐字符串)生成加密密码p1,随机盐字符串r,都存储到数据库中。 登录时通过用户名查询该用户对应的加密密码p1和随机盐字符串r,按照注册时生成的规则:md5(输入明文密码+随机盐字符串)=p
Springboot shiro认证授权实现原理及实例
08-19
Springboot shiro 认证授权实现原理及实例 作为一款流行的 Java 框架,Spring Boot 提供了许多插件来支持开发过程,而 Shiro 则是一个功能强大的身份验证和授权框架。下面,我们将详细介绍 Spring Boot 中如何使用 ...
shiro认证授权的过程
05-01
总结,Apache Shiro 的认证授权过程涉及到多个组件的协同工作,从用户输入的凭证验证到权限的控制,每个环节都设计得相当灵活,可以适应各种复杂的安全需求。通过源码分析和实际应用,我们可以更好地理解和利用Shiro...
Shiro框架:认证和授权原理
KHOST的博客
05-29 453
前言 Shiro作为解决权限问题的常用框架,常用于解决认证、授权、加密、会话管理等场景。本文将对Shiro的认证和授权原理进行介绍: Shiro可以做什么?、 Shiro是由什么组成的? 举个Shiro的例子呗? Shiro认证的原理是咋样的? Shiro授权原理是咋样的? 1. Shiro可以做什么? 在构建一个网络应用的时候,权限检验管理作为非常重要的安全措施,需要包含以下几点: 用户认证— 用户身份识别。得知道来的人是谁; ..
快速上手Shiro—Java认证和授权框架
03-19 6557
文章以官方指南为基础,包括快速上手,Shiro的架构以及如何使用Springboot整合Shiro实现简单登录认证Shiro的架构 快速入门 环境搭建 QuickStrat.java Springboot整合Shiro 两种方式引入Shiro依赖 Shiro登录原理 Shiro核心配置类 自定义Realm类 ShiroConfig类
Shiro授权信息刷新 | doGetAuthorizationInfo()不执行
qq_32352777的博客
06-10 3280
1
shiro中Realm什么时候会执行doGetAuthorizationInfo(PrincipalCollection principalCollection)方法
f498906080的博客
11-01 3723
1、subject.hasRole(“admin”) 或 subject.isPermitted(“admin”):自己去调用这个是否有什么角色或者是否有什么权限的时候; 2、@RequiresRoles(“admin”) :在方法上加注解的时候,或者xml中配置了某个请求需要什么权限的时候; 3、[@shiro.hasPermission name = “admin”][/@shiro.hasP...
shiro的doGetAuthorizationInfo授权方法始终进不去
天才战士的博客
08-13 3万+
感慨:大二刚开始学java,只顾埋头照着敲,什么语法什么意思通通不知道,敲完运行看看效果正确就洋洋得意一番。后来慢慢懂了基本语法,基本意思,想实现什么功能就百度一下,面向对象编程成了面向百度编程。开始了抄,第一阶段直接抄,代码实现错误就是辣鸡答案。第二阶段,看看代码的基本如何实现,对它进行一些更改达到自己的预期效果。第三阶段,抄它的思想,从它的思想中获得灵感。到了这个阶段,觉得自己好像什么都会,又...
第六章 Realm及相关对象(四) PrincipalCollection
yifanSJ的博客
08-24 2万+
之前使用过的(来点印象) login("classpath:shiro-authenticator-all-success.ini"); Subject subject = SecurityUtils.getSubject(); //得到一个身份集合,其包含了Realm验证成功的身份信息 PrincipalCollection principalCollection = subject.getP
Shiro:登陆成功并未执行doGetAuthorizationInfo
Sunny
10-09 2万+
package com.hk3t.core.security; import java.util.Set; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.Authentic
shiro身份认证失败:org.apache.shiro.authc.IncorrectCredentialsException
m0_54853420的博客
04-08 1729
最近整个shiro项目的时候,发现一个小bug,在登录的时候,当用户名对,密码错的时候,本应提示用户名或密码错误的,但提示信息却是身份认证失败的异常信息,项目后台窗口报错 org.apache.shiro.authc.IncorrectCredentialsException: Submitted credentials for token [org.apache.shiro.authc.UsernamePasswordToken - zhangsan, rememberMe=true] did not m
采用shiro实现方法授权(三)
可能没带脑子,所以要记下来
12-14 267
6.一般操作都有对数据的增删改查,这次就介绍利用shiro控制管理员是否有操作权限   上一篇写到 MyRealm 通过继承AuthorizingRealm的方式实现,数据的验证,这篇重写方法 doGetAuthorizationInfo,实现对管理员权限的设置 在shiro的xml文件里配置需要拦截的路径,并定义标识符deleted,即在java文件里需要设置权限的标识符(添加删除权限del...
Apache Shiro入门:身份验证与授权教程
Apache Shiro是一个广泛使用的安全框架,它提供了用户认证、授权、会话管理和加密等功能,使得开发者能方便地实现应用程序的安全控制。在Shiro中,主要涉及四个关键部分: 1. **身份验证 (Authentication)**: 这是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值