②【Shiro】Shiro登录认证、自定义Realm

最新推荐文章于 2024-07-25 10:00:08 发布
最新推荐文章于 2024-07-25 10:00:08 发布
阅读量1.1k 收藏 33
点赞数 17
分类专栏: shiro安全框架 文章标签: shiro 权限认证 用户认证 角色 权限 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ebb29bbe/article/details/136777051
版权

在这里插入图片描述

个人简介:Java领域新星创作者;阿里云技术博主、星级博主、专家博主;正在Java学习的路上摸爬滚打,记录学习的过程~
个人主页:.29.的博客
学习社区:进去逛一逛~

在这里插入图片描述

目录

②【Shiro】Shiro登录认证、自定义Realm

1. 登录认证相关概念

  • 身份认证:一般需要提供身份ID等一些表示信息来表明登陆者身份,如提供email,用户名/密码来证明。
  • 在Shiro框架中,用户需要提供principals(身份)credentials(证明)给shiro,从而shiro对用户进行身份验证。
  • principals(身份):是主体的标识属性,可以是任何属性,如:用户名、email等,保证唯一即可。一份主体可以有多个principals,但是只有一个Primary principals,一般是用户名/邮箱/手机号。
  • credentials(证明):证明/凭证,是只有主体知道的安全值,如:密码、数字证书。
  • 最常见的principals和credentials组合就是:用户名/密码。


2. 登录认证 编码流程

基本流程

  1. 收集用户身份/凭证,即如用户名/密码;
  2. 调用 Subject.login() 进行登录,如果失败将得到对应的AuthenticationException异常,可根据异常提示用户错误信息;否则登录成功
  3. 创建自定义的 Realm 类,继承 org.apache.shiro.realm.AuthenticatingRealm类,实现 doGetAuthenticationInfo() 方法


3. 登录认证案例

导入坐标

<!-- shiro-core -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.9.0</version>
        </dependency>

        <dependency>
            <groupId>commons-logging</groupId>
            <artifactId>commons-logging</artifactId>
            <version>1.2</version>
        </dependency>

配置ini文件

# Shiro获取权限相关信息可以通过数据库获取,也可以通过ini文件获取

# 配置账户密码信息
[users]
userA = 123a
userB = 123b

在这里插入图片描述


测试案例

/**
 * @author .29.
 * @create 2024-03-16 16:54
 */
public class shiroRun {
    public static void main(String[] args){
        //1. 初始化获取安全管理器SecurityManager
        IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:Shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
        //2. 获取Subject对象
        Subject subject = SecurityUtils.getSubject();
        //3. 创建token对象,web应用用户名密码从页面传递
        UsernamePasswordToken token = new UsernamePasswordToken("userA", "123a");
        //如果希望应用程序在用户返回时记住用户,可以使用令牌的setRememberMe()方法,并设置参数为true
        token.setRememberMe(true);
        //4. 完成登录
        //你可以接受该方法调用并将其包装在 try/catch 块中,如果你想处理它们并做出相应的反应,你可以捕获各种异常。
        try{
            subject.login(token);
            System.out.println("登陆成功!");
        }catch (UnknownAccountException e){
            e.printStackTrace();
            System.out.println("用户不存在!");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("密码错误!");
        }catch (AuthenticationException ae){
            //这个块捕获了所有的认证异常,
            //表达的意思是,以此类推,你可以通过捕获异常的方式来处理逻辑
        }
    }
}


4. 登陆认证 执行流程

  1. 首先调用 Subject.login(token) 进行登录,其会自动委托给 SecurityManager
  2. SecurityManager 负责真正的身份验证逻辑;它会委托给 Authenticator 进行身份验证;
  3. Authenticator可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证,默认 ModularRealmAuthenticator 会调用 AuthenticationStrategy 进行多 Realm身份验证;
  4. Authenticator 会把相应的 token传入 Realm,从 Realm 获取身份验证信息,如果没有返回/抛出异常 就表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。

在这里插入图片描述



5. 自定义登录认证、Realm

  • Shiro 默认的登录认证是不带加密的,如果想要实现加密认证需要自定义登录认证,自定义 Realm。

导入坐标

<!-- shiro-core -->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.9.0</version>
        </dependency>

        <dependency>
            <groupId>commons-logging</groupId>
            <artifactId>commons-logging</artifactId>
            <version>1.2</version>
        </dependency>

自定义Realm进行登录认证

/**
 * @author .29.
 * @create 2024-03-16 19:08
 * 1.自定义Realm进行登录认证,配置好后Shiro的Subject.login()方法底层会调用该类的认证方法完成登录认证
 * 2.想要自定义的 realm 生效,需要在 ini 文件或 Springboot配置文件在中进行相关配置配置
 * 3.该方法只是获取进行对比的信息,认证逻辑还是按照 Shiro 的底层认证逻辑完成认证
 */
public class myRealm extends AuthenticatingRealm {

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //1. 通过token获取身份信息
        String principal = authenticationToken.getPrincipal().toString();
        //2. 通过token获取凭证信息
        String credentials = new String((char[]) authenticationToken.getCredentials());
        System.out.println("认证用户信息:"+principal+"---"+credentials);

        //3. 获取数据库中存储的用户信息
        if(principal.equals("userA")){
            //3.1模拟从数据库中获取到MD5加盐嵌套3次加密的密码
            String pwd = "e8e2ea5deb7e981462ab88c2b7e3f19a";
            //3.2创建封装了校验逻辑的对象,将需要校验的数据传进去
            SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(
                    authenticationToken.getPrincipal()//身份
                    , pwd//数据库中存放的密码
                    , ByteSource.Util.bytes("salt")//MD5加盐的“盐”
                    , authenticationToken.getPrincipal().toString()
            );
            return info;//返回封装了校验逻辑的对象
        }

        return null;
    }
}

配置ini文件

# Shiro获取权限相关信息可以通过数据库获取,也可以通过ini文件获取

#添加配置,配置解密MD5的循环次数,配置使用自定义的Realme进行登录校验,
[main]
md5CredentialsMatcher=org.apache.shiro.authc.credential.Md5CredentialsMatcher
md5CredentialsMatcher.hashIterations=3

myrealm=com.to9.test.myRealm
myrealm.credentialsMatcher=$md5CredentialsMatcher
securityManager.realms=$myrealm

# 配置账户密码信息,密码是"123456789"MD5加盐加密3次的结果,盐为"salt"
[users]
userA = e8e2ea5deb7e981462ab88c2b7e3f19a

测试案例

/**
 * @author .29.
 * @create 2024-03-16 16:54
 */
public class shiroRun {
    public static void main(String[] args){
        //1. 初始化获取安全管理器SecurityManager
        IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:Shiro.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
        //2. 获取Subject对象
        Subject subject = SecurityUtils.getSubject();
        //3. 创建token对象,web应用用户名密码从页面传递
        UsernamePasswordToken token = new UsernamePasswordToken("userA", "123456789");
        //如果希望应用程序在用户返回时记住用户,可以使用令牌的setRememberMe()方法,并设置参数为true
        token.setRememberMe(true);
        //4. 完成登录
        //你可以接受该方法调用并将其包装在 try/catch 块中,如果你想处理它们并做出相应的反应,你可以捕获各种异常。
        try{
            subject.login(token);
            System.out.println("登陆成功!");
        }catch (UnknownAccountException e){
            e.printStackTrace();
            System.out.println("用户不存在!");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("密码错误!");
        }catch (AuthenticationException ae){
            //这个块捕获了所有的认证异常,
            //表达的意思是,以此类推,你可以通过捕获异常的方式来处理逻辑
        }
    }
}



在这里插入图片描述

.29.
关注
  • 17
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 24
    评论
专栏目录
自定义shiro密码验证方式
Amy的博客
04-25 2200
项目环境spring boot 2.1 首先实现自己的验证类 import com.glodon.security.MD5; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.Use...
shiro权限框架自定义Realm示例
09-10
4. ** 集成自定义Realm**:在应用启动时,Shiro会自动发现并使用配置中的Realm来处理认证和授权请求。确保在应用程序启动后,Shiro能够正确地加载和使用这个自定义Realm。 5. ** 测试和调试**:创建一个测试用例,...
一文读懂 Shiro 登录认证全流程
csdn565973850的博客
09-14 5069
一起跟着源码看 Shiro登录认证流程
Shiro自定义登录认证
程序员阿皓的博客
05-04 268
Shiro自定义登录认证
Shiroshiro自定义Realm
来日浅谈的博客
05-27 1102
Shiroshiro自定义Realm1. 创建数据库表2. Dao层和Service层3. 自定义Realm4. 配置Realm shirorealm的是进行认证和授权的组件,自带了几种实现,比如jdbcRealm和iniRealm,实际项目中肯定都是自己实现realm。 1. 创建数据库表 创建⽤户表,⻆⾊表,权限表,以及对应的中间表。 create table t_user( id int primary key auto_increment, username varchar(
Shiro学习(二)自定义Realm认证
qq_30072161的博客
05-24 90
package com.dxp.shiro.Realm; import org.apache.shiro.authc.*; import org.apache.shiro.realm.Realm; public class MyRealm1 implements Realm { @Override public String getName() { return "myRealm1"; } @Override public boolean sup
Shiro权限管理之自定义Realm
你今天真好看呀
04-04 1558
文章目录1. SpringBoot集成shiro快速入门1. shiro 用户认证2. shiro用户授权2. SpringBoot 使用IniRealm进行认证授权3. Spring Boot 使用 JdbcRealm 进行认证授权1. 数据库驱动2. 数据库表结构3. 创建 testJdbcRealm方法4. 更改数据库表名4. Spring Boot 使用自定义 Realm 进行认证授权5. SpringBoot整合shiro之盐值加密认证详解 1. SpringBoot集成shiro快速入门 导入s
Shiro自定义Realm
Heling's Blog
10-04 262
Shiro中,如果没有自定义Realm的话,那么权限管理数据是通过IniRealm的形式去读取配置文件shiro.ini来加载数据,但是以后的权限管理数据肯定都是来源于数据库的,所以我们要把数据更改到数据库。 shiro提供的Realm 在SimpleAccountRealm类中进行认证 在SimpleAccountRealm类中有两个方法,分别提供认证和授权 public class SimpleAccountRealm extends AuthorizingRealm { //省略
Shiro 多个域Realm登录认证
Charge8的博客
04-21 3607
一、Realm是做什么的? Realm就是从数据库里获取数据进行登录用户密码认证对比工作。 在复杂项目中,很可能会出现,登录认证用户数据,来自另一个数据表,有时甚至不在一个数据库,这种情况下就需要多个Realm进行登录认证。 从前面跟踪subject.login(token);方法的源码,其实就可以发现shiro是支持多个Realm的。Mod...
Shiro入门(五)Shiro自定义Realm和加密算法
Ajekseg的博客
04-22 706
前言 本章讲解shiro自定义realm和它的加密算法 方法 1.概念 通过前面的讲解,我已经带入了自定义Realm的相关概念。那么为什么要自定义realm呢?显而易见,我们在数据库中创建的users表和它的字段受限于shiro自己的jdbcRealm,所以通常情况下我们需要使用自己的表,跟着必须使用自定义realm。 再者,在用户表中,密码字段的值是一个敏感的存在。我们需要采取某些加密算法保证在数据库中保存密码值的复杂性。那么常见的加密算法就是md5、sha等等。通过在传统加密算法上“加盐”和增加迭代次
Spring配置shiro自定义Realm中属性无法使用注解注入的解决办法
08-26
在Spring集成Shiro进行安全控制时,我们常常需要自定义Realm来实现权限验证与授权功能。然而,在实际操作中,可能会遇到一个问题:当我们在自定义Realm类中使用注解(@Autowired)尝试注入Spring管理的Bean时,这些...
SpringBoot整合Shiro实现登录认证的方法
08-27
SpringBoot整合Shiro实现登录认证的方法需要通过添加Shiro依赖项、配置数据库连接信息、实现Realm类、设计实体类、配置Shiro等步骤来完成。这样可以实现安全登录认证和授权机制,保护系统的安全性。
springboot与shiro整合—登录认证权限管理实例项目
04-16
3. **自定义Realm**: RealmShiro与应用数据源交互的接口,你需要创建一个继承自`AuthorizingRealm`的类,实现认证和授权逻辑。例如,通过JDBC连接数据库进行用户验证。 4. **过滤器链配置**:在Shiro配置中,...
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
基于Spring Boot实现整合Shiro实现登录认证以及授权过程解析 在本文中,我们将详细介绍如何使用Spring Boot框架实现整合Shiro进行登录认证和授权过程的解析。Shiro是Apache软件基金会下的一个基于Java的开源安全...
构建稳固与安全的网络环境:从微软蓝屏事件中的教训学习
xingyu_qie的专栏
07-22 863
微软蓝屏”事件为我们提供了宝贵的教训和警示,即使是最大的科技公司也难以完全避免软件缺陷带来的灾难性后果。建设一个稳固和安全的网络环境需要多方面的努力:从有效的软件更新管理到强化的紧急响应能力,再到全员安全意识的培养和文化建设。只有综合运用技术、流程和人员培训,我们才能更好地应对未来可能出现的类似挑战,保护我们的数字基础设施和社会运行的稳定性与安全性。
企业如何保证公司内网安全
最新发布
shunyou0526的博客
07-25 398
部署防火墙和入侵检测系统:作为内网安全的第一道防线,防火墙和入侵检测系统能够有效阻止外部攻击和恶意软件的入侵。访问控制与身份验证:实施严格的访问控制策略,结合多因素认证(MFA),确保只有授权用户才能访问关键系统和数据。日志管理:建立全面的日志记录和审计机制,对所有数据访问、修改、删除等操作进行记录,以便于追踪和分析。电脑监控软件:使用电脑监控软件来监控员工的屏幕活动、上网行为等,防止内部威胁和不当使用公司资源。反病毒软件与反间谍软件:部署反病毒软件和反间谍软件等恶意软件防护工具,实时监测和清除恶意软件。
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1305
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
生成一个shiro自定义Realm的代码
03-31
以下是一个简单的Shiro自定义Realm代码示例: ``` import org.apache.shiro.authc.*; import org.apache.shiro.realm.*; public class MyRealm extends AuthorizingRealm { @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 这里实现权限角色信息的获取和设置,可以从数据库或其他数据源获取 SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); authorizationInfo.addRole("admin"); authorizationInfo.addStringPermission("user:create"); return authorizationInfo; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 这里实现用户认证,可以从数据库或其他数据源获取用户信息进行验证 String username = (String) token.getPrincipal(); String password = new String((char[]) token.getCredentials()); if (!"admin".equals(username)) { throw new UnknownAccountException(); } if (!"password".equals(password)) { throw new IncorrectCredentialsException(); } return new SimpleAuthenticationInfo(username, password, getName()); } } ``` 该自定义Realm实现了Shiro的`AuthorizingRealm`接口,实现了权限角色信息的获取和设置,以及用户认证的方法。其中,`doGetAuthorizationInfo`方法用于获取用户角色权限信息,并将其封装到`AuthorizationInfo`对象中返回;`doGetAuthenticationInfo`方法用于验证用户的身份和凭证信息,并将其封装到`AuthenticationInfo`对象中返回。在这个简单的示例中,认证信息被硬编码为了"admin"和"password",实际使用时应该从数据库或其他数据源中获取。
评论 24
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.29.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值