Shiro身份验证最详细的代码流转分析

最新推荐文章于 2023-05-10 12:11:26 发布
置顶 最新推荐文章于 2023-05-10 12:11:26 发布
阅读量456 收藏
点赞数 2
分类专栏: 权限框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fenglixiong123/article/details/77103376
版权

Shiro身份验证流转分析

【冯立雄】的身份验证流转分析,一步步debug下来的
1.ShiroHandler.login(token);
2.DelegatingSubject.login(token);
3.securityManager.login(this, token);
4.DefaultSecurityManager.login(subject,token);
5.AuthenticatingSecurityManager.authenticate(token);
6.AbstractAuthenticator.authenticate(token);
----------------------------------------------------
7.ModularRealmAuthenticator.doAuthenticate(token);
    Collection<Realm> realms = getRealms();
    if (realms.size() == 1) {
        return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);
    } else {
        return doMultiRealmAuthentication(realms, authenticationToken);
    }
8.ModularRealmAuthenticator.doMultiRealmAuthentication
  for (Realm realm : realms) {
     aggregate = strategy.beforeAttempt(realm, token, aggregate);
      if (realm.supports(token)) {
          AuthenticationInfo info = realm.getAuthenticationInfo(token);
      9.AuthenticatingRealm.getAuthenticationInfo(token)
    AuthenticationInfo info = getCachedAuthenticationInfo(token);
    if (info == null) {
        info = doGetAuthenticationInfo(token);
        if (token != null && info != null) {
            cacheAuthenticationInfoIfPossible(token, info);
        }
    }
    if (info != null) {
        assertCredentialsMatch(token, info);
    } else {
        log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);
    }
10.ShiroRealm.doGetAuthenticationInfo(token)  
11.AuthenticatingRealm.assertCredentialsMatch(token,info)
  CredentialsMatcher cm = getCredentialsMatcher();
  if (cm != null) {
      if (!cm.doCredentialsMatch(token, info)) {
          String msg = "Submitted credentials for token [" + token + "] did not match the expected credentials.";
          throw new IncorrectCredentialsException(msg);
      }
  } else {
      throw new AuthenticationException("A CredentialsMatcher must be configured in order to verify " +
              "credentials during authentication.  If you do not wish for credentials to be examined, you " +
              "can configure an " + AllowAllCredentialsMatcher.class.getName() + " instance.");
  }
12.HashedCredentialsMatcher.doCredentialsMatch(token,info)
  Object tokenHashedCredentials = hashProvidedCredentials(token, info);
  Object accountCredentials = getCredentials(info);
  return equals(tokenHashedCredentials, accountCredentials);
13.AbstractAuthenticator.authenticate(token);--->6
-------------------------------------------------------------------------------
14.AbstractAuthenticator.notifySuccess(token, info);
花生糖葫芦侠
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Apache Shiro 1.2.4反序列化漏洞
m0_53603468的博客
12-22 273
第二天总结 概述 今天我们复现了Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)这一漏洞。Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。 之后去了解了什么是序列
java基于BS结构下的OA流程可视化的研究与实现(源代码+论文).rar
05-18
此外,安全方面,项目可能涉及了身份验证(Authentication)和授权(Authorization),例如使用Spring Security或Apache Shiro实现用户登录、权限控制。同时,考虑到BS架构的特性,还需要防止XSS、CSRF等Web安全攻击...
shiro身份验证
weixin_34219944的博客
06-26 146
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro权限验证最详细代码流转分析
【冯立雄】的博客
09-05 499
Shiro权限验证 1.测试类 首先调用 subject().isPermitted("user1:update"); subject会委托给SecurityManager 而SecurityManager接着会委托给Authorizer; Authorizer是真正的授权者 Authorizer是个接口,会接着调用它实现类(ModularRealmAuthori
shiro身份验证
zhangxing
06-19 1679
1.场景还原     Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它非常实用又简单易懂,今天笔者就shiro身份验证讲解一下,希望小伙伴能够受益。 2.概念梳理  Subject :主体(用户)  Realm:验证主体的数据源 3.验证步骤 ①加入shiro依赖 org.apache.shiro shi
代码学习教程:将数据流转给对应部门节点
bby2017的博客
08-04 206
在日常工作中,可能会遇到如下的场景:各个部门成员的请假申请,请假数据只传到自己部门负责人那里,不到其他部门负责人那里,怎么处理?各个部门成员的报销申请,报销数据只传到自己部门负责人那里,不到其他部门负责人那里,怎么处理? * 部门主管查看完数据,需要动态设置下一节点的负责人时,怎么处理? 下面我们就以上面的场景来介绍解决方案是如何实现的。 1. 以部门字段作为流转条件 设计步骤: 1. 表单中添加一个表示部门的字段控件:【部门单选】控件。 2. 每一个部门做一个流程分支,其负责人为该部门的主管。 ..
Shiro-----整合ssm核心代码
Miracle_Gaaral的博客
09-02 297
1.applicationContext-shiro.xml <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" ...
VUE和springboot,shiro,redis,springboot,mybatisplus及activiti7项目整合
05-22
Shiro是Apache提供的一个安全框架,它负责用户身份验证、授权、会话管理和密码加密等安全相关任务。在本项目中,Shiro用于实现用户登录验证和权限管理,确保只有经过认证的用户才能访问特定资源。 Redis是一款高...
毕业设计使用springboot+mybatis+shiro+activity的企业办公Oa系统.zip
最新发布
02-23
shiro】是Apache软件基金会的一个开源安全框架,主要用于身份验证、授权、会话管理和加密。在本项目中,Shiro用于实现用户登录认证和权限管理,确保只有经过验证的用户才能访问特定的系统资源,同时,Shiro还能...
ShiroExploit.V2.3.zip
03-03
Apache Shiro是一款强大的Java安全框架,它为开发者提供了身份验证、授权、会话管理和加密等功能。ShiroExploit.V2.3是一个针对Apache Shiro框架的漏洞扫描工具,主要用于检测和利用Shiro中的反序列化漏洞。这个...
Shiro框架学习——代码+笔记
好看的皮囊千篇一律,有趣的灵魂万里挑一。
04-04 381
Shiro是Apache旗下的一个开源框架,它提供了一套通用的安全认证框架,可以快速地实现用户身份认证、权限授权、加密、会话管理等功能,并且可以运行在web应用、非web应用、集群分布式应用中。
shiro使用(使用token)
热门推荐
特别享受思考问题的过程
05-12 2万+
既然要做,就做的细致一点,对得起自己! 为什么使用token,请看这里 解决思路: 1.增加一个过滤器,对每一个请求都进行token的校验。如果为登录请求,则可以放过。 2.将过滤器设置进shiro中。 第一步:实现自定义ShiroFilter.这里选择继承FormAuthenticationFilter,至于为什么不继承AuthenticatingFilter,后面会解释。 从当前s...
Shiro自定义Token
drhrht的博客
08-24 1366
***//*** 公司ID*//*** 用户名称*//*** 用户密码*/}}}}}}}@Override}@Override}}/***//*** 重写supports方法,使 Shiro 能够识别自定义的 Token* @return*/@Override}@Override/*PrincipalCollection 身份的集合一个主体可以有多个身份,但是只有一个主身份*/// 获取主体的主身份。
token,Shiro
qq_41981122的博客
11-03 698
token 1.令牌,临时的意思,用作标记.一般作为邀请,登录系统使用. 2.token服务器端产生,客户端频繁像服务器请求数据,服务端频繁和数据库操作,做出相应的提示,在这样的背景下,引入token 3.Token的目的是为了减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。 为什么要用 Token? 解决问题: Token 完全由应用管理,所以它可以避开同源策略 ...
Shiro实现Token认证
梅子黄时雨
05-10 1375
shiro使用
第四章:Shiro的身份认证(Authentication)
逸轩
04-09 8328
Authentication概述 概述   Authentication 是指身份验证的过程——即证明一个用户实际上是不是他们所说的他们是谁。也就是说通过提交用户的身份和凭证给Shiro,以判断它们是否和应用程序预期的相匹配。 基本概念 1:Principals(身份):是Subject 的‘identifying attributes(标识属性)’。比如我们登录提交的用户名。
shiro-密码比较的设计 CredentialsMatcher -为什么Java中的密码优先使用 char[] 而不是String?
汪小哥
12-23 1万+
密码比较 昨天的时候,笔者仔细的追踪了,整个获取信息的主要的设计,通过用户的唯一标识得到 AuthenticationInfo 然后和 AuthenticationToken (用户名 密码),进行比较! 有一个专门的设计类,用来处理密码匹配的比较的。而且很复杂~AuthenticatingRealm中有一个成员变量 private CredentialsMatcher credenti
Shiro身份认证之密码比较原理
Entodie的博客
09-04 379
1、在getAuthenticationInfof 1、从缓存获取 2、获取自定义实现realm中从数据库获取数据后 拿到数据后,调用方法密码验证 1、获取比较器 1、自定义比较器 2、默认比较器 原理: 加密密码 获取info密码 ...
微服务架构下的安全认证与鉴权
低代码开发,数据,中间件,企业架构原创技术分享
06-19 2999
转载本文需注明出处:微信公众号EAWorld,违者必究。本文目录:一、单体应用 VS 微服务二、微服务常见安全认证方案三、JWT介绍四、OAuth 2.0 介绍五、思考总...
Shiro教程详解:身份验证、授权与Web集成
Shiro教程PDF版是一份详尽的指南,旨在帮助读者深入了解Apache Shiro,一个强大的安全框架,用于实现Web应用中的身份验证、授权和会话管理等功能。该教程分为多个章节,内容涵盖以下几个关键部分: 1. **第一章:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

花生糖葫芦侠

创作不易,请多多支持!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值