003-shiro认证

最新推荐文章于 2022-08-24 02:38:39 发布
最新推荐文章于 2022-08-24 02:38:39 发布
阅读量219 收藏 1
点赞数
分类专栏: 人在江湖之shiro详解 文章标签: realms shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/forlinkext/article/details/114258229
版权

目录

认证顺序

ModularRealmAuthenticator(认证者)

AuthenticationStrategy(认证策略)

Shiro有3种具体的AuthenticationStrategy实现方式

自定义认证策略

领域认证顺序

隐式顺序

显示指定顺序

示例程序

示例1

示例2

示例3

认证顺序

  • 步骤1:应用程序代码调用该Subject.login方法,并传入AuthenticationToken表示最终用户的主体和凭据的构造实例。
  • 第2步:Subject实例(通常是一个DelegatingSubject(或子类))通过调用SecurityManager的securityManager.login(token)方法开始实际的身份验证工作。
  • 步骤3:SecurityManager作为基本的组件,接收令牌,并通过调用Authenticator来简单地委派给其内部实例authenticator.authenticate(token)。shiro支持我们定义多个Realm,然后通过ModularRealmAuthenticator实例,在身份验证期间协调一个或多个实例。
  • 步骤4:如果为该应用程序配置了多个Realm,则shiro的ModularRealmAuthenticator实例将Realm使用其configureed发起多次身份验证尝试AuthenticationStrategy(认证策略)。在Realms调用进行身份验证之前,期间和之后,将调用,AuthenticationStrategy以允许它对每个Realm的结果做出反应。
    • 如果仅配置一个Realm,则将直接调用该Realm。不需要调用AuthenticationStrategy。(我们的HelloWorld就是单个Realm,我们实际开发中大多数情况下也是单个Realm)
  • 第5步:Realm咨询每个配置,以查看是否supports(支持)已提交AuthenticationToken。如果是这样,则支持Realm的getAuthenticationInfo方法将与Submitted一起调用token。该getAuthenticationInfo方法有效地表示针对该特定对象的单个身份验证尝试Realm。(这里Realm的getAuthenticationInfo方法我们先记住,之后的自定义会用到)

ModularRealmAuthenticator(认证者)

在单一领域的应用程序中,ModularRealmAuthenticatorRealm直接调用单一领域。如果配置了两个或更多领域,它将使用一个AuthenticationStrategy实例来协调尝试的发生方式。

shiro默认使用ModularRealmAuthenticator,我们也可以自定义实现。自定义实现后通过shiro.ini直接设置(代码设置方式我想不用多说了把):

[main]
...
authenticator = com.foo.bar.CustomAuthenticator

securityManager.authenticator = $authenticator

AuthenticationStrategy(认证策略)

当为一个应用程序配置两个或多个领域时,ModularRealmAuthenticator依赖于内部AuthenticationStrategy组件来确定认证尝试成功或失败的条件。

AuthenticationStrategy是无状态组件,在尝试进行身份验证时会被查询4次:

  1. 在任何领域被调用之前
  2. 在getAuthenticationInfo调用单个Realm方法之前
  3. 在getAuthenticationInfo调用单个Realm方法之后
  4. 在所有领域都被调用之后

另外,AuthenticationStrategy负责将每个成功Realm的结果汇总并“捆绑”成一个单一的AuthenticationInfo表示形式。这个最终的聚合AuthenticationInfo实例是该Authenticator实例返回的内容,也是Shiro用来表示Subject的最终身份(又称为Principals)的东西。

Shiro有3种具体的AuthenticationStrategy实现方式

AuthenticationStrategy策略实现类描述
AtLeastOneSuccessfulStrategy(默认)如果一个(或多个)领域成功认证,则整个尝试都被视为成功。如果没有成功进行身份验证,则尝试将失败。(有一个成功则成功)
FirstSuccessfulStrategy仅使用从第一个成功通过身份验证的领域返回的信息。所有其他领域将被忽略。如果没有成功通过身份验证,则尝试将失败。(第一个成功即返回)
AllSuccessfulStrategy所有配置的领域都必须成功进行身份验证,才能将整体尝试视为成功。如果任何人未成功通过身份验证,则尝试将失败。(全部成功才成功)

 

 

 

 

自定义认证策略

以上3中策略实现已经基本满足了我们的要求,当然我们也可以自定义认证策略。首先继承实现org.apache.shiro.authc.pam.AbstractAuthenticationStrategy类,然后在shiro.int文件中配置:

[main]

authcStrategy = org.apache.shiro.authc.pam.FirstSuccessfulStrategy

securityManager.authenticator.authenticationStrategy = $authcStrategy

领域认证顺序

隐式顺序

在shiro.ini文件中认证顺序是从上到下

blahRealm = com.company.blah.Realm
...
fooRealm = com.company.foo.Realm
...
barRealm = com.company.another.Realm

显示指定顺序

通过securityManager.realms方法显示的指定顺序(注意:当你使用了显示指定后,比如你定义了3个Realm,但是securityManager.realms指定时只传入了两个,那么只有这两个会生效)

securityManager.realms = $blahRealm, $fooRealm, $barRealm

示例程序

shiro1.ini文件配置


[users]
user1 = password

shiro2.ini文件配置


[users]
user2 = password

示例1

package com.yyoo.mytest.shiro1.demo;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;

import java.util.ArrayList;
import java.util.List;

public class Demo2 {

    public static void main(String[] args) {

        // 定义多个领域
        Realm realm1 = new IniRealm("classpath:shiro1.ini");
        Realm realm2 = new IniRealm("classpath:shiro2.ini");

        List<Realm> realms = new ArrayList<Realm>(2);
        realms.add(realm1);
        realms.add(realm2);

        SecurityManager securityManager = new DefaultSecurityManager(realms);
        SecurityUtils.setSecurityManager(securityManager);

        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("user2","password");
        subject.login(token);

        System.out.println(subject.isAuthenticated());

        // 没有设定认证策略,将使用默认策略AtLeastOneSuccessfulStrategy,有一个成功即成功,所以user1和user2都能够正常登录

    }

}

示例2

package com.yyoo.mytest.shiro1.demo;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.pam.FirstSuccessfulStrategy;
import org.apache.shiro.authc.pam.ModularRealmAuthenticator;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;

import java.util.ArrayList;
import java.util.List;

public class Demo3 {

    public static void main(String[] args) {

        // 定义多个领域
        Realm realm1 = new IniRealm("classpath:shiro1.ini");
        Realm realm2 = new IniRealm("classpath:shiro2.ini");

        List<Realm> realms = new ArrayList<Realm>(2);
        realms.add(realm1);
        realms.add(realm2);

        DefaultSecurityManager securityManager = new DefaultSecurityManager(realms);
        SecurityUtils.setSecurityManager(securityManager);

        System.out.println(securityManager.getAuthenticator());
        ModularRealmAuthenticator authenticator = (ModularRealmAuthenticator)securityManager.getAuthenticator();
        // 设置认证策略
        authenticator.setAuthenticationStrategy(new FirstSuccessfulStrategy());

        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("user2","password");
        subject.login(token);

        System.out.println(subject.isAuthenticated());

        // 使用策略FirstSuccessfulStrategy,第一个成功就返回(因为两个Realm)
        /**
         * user1登录,执行了Realm1即停止
         * user2登录,执行了Realm1和Realm2,执行Realm2成功即停止
         */

    }

}

示例3

package com.yyoo.mytest.shiro1.demo;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.pam.AllSuccessfulStrategy;
import org.apache.shiro.authc.pam.FirstSuccessfulStrategy;
import org.apache.shiro.authc.pam.ModularRealmAuthenticator;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;

import java.util.ArrayList;
import java.util.List;

public class Demo4 {

    public static void main(String[] args) {

        // 定义多个领域
        Realm realm1 = new IniRealm("classpath:shiro1.ini");
        Realm realm2 = new IniRealm("classpath:shiro2.ini");

        List<Realm> realms = new ArrayList<Realm>(2);
        realms.add(realm1);
        realms.add(realm2);

        DefaultSecurityManager securityManager = new DefaultSecurityManager(realms);
        SecurityUtils.setSecurityManager(securityManager);

        System.out.println(securityManager.getAuthenticator());
        ModularRealmAuthenticator authenticator = (ModularRealmAuthenticator)securityManager.getAuthenticator();
        // 设置认证策略
        authenticator.setAuthenticationStrategy(new AllSuccessfulStrategy());

        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("user2","password");
        subject.login(token);

        System.out.println(subject.isAuthenticated());

        // 使用策略AllSuccessfulStrategy,全部成功才算成功
        /**
         * 由于两个Realm的用户都不一致,所以使用该策略,user1和user2都不能正常登录
         */


    }

}

上一篇:002-shiro的HelloWorld入门

下一篇:004-授权策略

没事儿写两篇
关注
专栏目录
shiro——认证Authentication
dgh112233的博客
08-20 315
目录 1. 类图 2、ModularRealmAuthenticator 类 1. 类图 Authenticator认证的入口。 2、ModularRealmAuthenticator 类 这是一个shiro自带的类,实现了Authenticator接口,作用是方便我们配置多个Realm。 假设定义Realm1 、Realm2、 Realm3 是三个实现了Realm接口的类。 ...
shiro认证
qq_45177371的博客
11-04 114
1、shiro认证 2、盐加密 Shiro认证 , 盐加密 Pom依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.3.2</version> ...
Shiro之多Realm认证认证策略-yellowcong
m0_67392010的博客
08-24 547
多重认证是操作的是多个Realm。第一种方式是,在ModularRealmAuthenticator里面可以配置多个Reamls,默认的验证策略是,至少一个满足即可(AtLeastOneSuccessfulStrategy)。建议将多Realm配置在DefaultWebSecurityManager ,将验证策略和Reaml分开来管理,也就是下面,多重认证的第二种方式。
Shiro】 一、身份认证
piano_diano的博客
11-05 515
Shiro shiro是一个基于java的安全框架,主要提供认证与授权服务。 概念 在shiro框架中,系统的访问者被称为 Subject(主体) Subject的用户名属于 Principal (身份信息) Subject 的密码属于 Credential(凭证信息) Token (令牌) =Principal + Credential + ... 每次访问系统时,Subject 都会带着它的令牌给 Shiro 进行 Authentication (身份认证), ...
Apache shiro集群实现 (三)shiro身份认证Shiro Authentication)
热门推荐
04-23 3万+
一、术语介绍 Authentication:身份认证,即用户提供一些信息来证明自己的身份。如用户名和密码,licence等。 Principals :主体的“标识属性”,可以是任意标识,例如用户名,身份证号码,手机号码等。Principals 可以有多个,但是必须有一个主要的Principal(Primary Principal),这个标识,必须是唯一的。 Credentials:凭据,即
shirorealm配置免密码登陆
Mr_Wanter
12-06 2120
情景:项目本身shiro集成用的是标准的用户名、密码验证,现需要与第三方平台对接,使用免密码shiro验证,需要多加一个免密码验证的realm,并保证两个realm都可用。 Shiro.xml 1、安全管理器中添加authenticator认证策略配置 &lt;bean id="securityManager" class="org.apache.shiro.web.mgt.Default...
springboot-shiro认证系统框架--成型框架
09-17
总之,SpringBoot-Shiro认证系统框架是一个功能齐全、易于定制的安全框架,适合用于生产环境的快速开发,同时也为学习和研究提供了良好的平台。通过理解并掌握SpringBoot的自动配置和Shiro的安全管理机制,开发者...
springboot-shiro
10-18
Apache Shiro则是一款强大的安全框架,能够很好地处理认证、授权等问题。本文将深入探讨如何利用SpringBoot和Shiro搭建一个基于数据库的细粒度动态权限管理系统。 首先,SpringBoot是Spring框架的简化版,它集成...
SpringMVC-Mybatis-Shiro-redis-master
01-18
**Apache Shiro** 是一个强大且易用的Java安全框架,负责认证、授权、会话管理和加密等功能。在Web应用中,Shiro可以帮助控制用户的访问权限,实现用户登录、权限验证以及安全相关的操作。例如,它可以限制未登录...
SpringMVC-Mybatis-Shiro-redis
02-23
ShiroApache开源组织的一个强大且易用的安全框架,它提供了身份认证、授权、会话管理和密码加密等功能。在SpringMVC-Mybatis-Shiro-Redis体系中,Shiro负责用户登录验证、权限控制和会话管理。开发者可以方便地...
thymeleaf-extras-shiro-2.0.1
03-09
这个项目是基于Thymeleaf的扩展,它引入了Apache Shiro的安全特性,为Java Web应用提供了强大的认证和授权功能。让我们深入了解这个版本2.0.1的具体内容。 Thymeleaf-extras-shiro是Thymeleaf模板引擎的一个插件,...
shiro实现不同身份使用不同Realm进行验证
Alan_Xiang的博客
02-01 3万+
假设现在有这样一种需求:存在两张表user和admin,分别记录普通用户和管理员的信息。并且现在要实现普通用户和管理员的分开登录,即需要两个Realm——UserRealm和AdminRealm,分别处理普通用户和管理员的验证功能。   但是正常情况下,当定义了两个Realm,无论是普通用户登录,还是管理员登录,都会由这两个Realm共同处理。这是因为,当配置了多个Realm时,我们通常使用的认证
shiro实现手机验证码登录(涉及到:自定义token、多realm配置、自定义ModularRealmAuthenticator
MODjie的博客
01-31 1万+
shiro框架提供了一个UsernamePasswordToken令牌,用来验证用户名和密码类的登录。那如果想要通过替他方式登录认证,例如通过手机验证码接口,就需要通过自定义token、自定义realm等来实现。 1、首先,自定义一个token继承UsernamePasswordToken,为什么要继承这个类而不是AuthenticationToken?,是因为这样做保证了用户名密码认证方式任然
008-shiro使用token认证
这个需求,做不了
05-25 8492
实际开发中,我们的项目大多数都采用前后端分离或者集群的方式部署。在这些情况下,往往会有些问题,比如前后端分离的跨域问题、跨域携带cookie的问题、分布式应用下的session共享等问题,虽然这些问题都能得到相应的解决,但总是觉得没有直接使用token或者jwt方便。接下来我们来对我们目前实现的shiro功能进行一些修改,让它能直接使用token的方式进行认证。 编写axios异步请求 当然JQuery或直接AJAX请求也可以 现象: 重新DefaultWebSessionManager的getRe.
007-shiro的会话管理
这个需求,做不了
04-27 512
注意:阅读本篇需要上一篇的相关代码与设置 会话过期时间设置 默认会话管理器设置 我们的Demo1中的DefaultSecurityManager默认使用的是DefaultSessionManager,我们可以使用如下方式来设置会话过期时间 DefaultSessionManager sessionManager = new DefaultSessionManager(); sessionManager.setGlobalSessionTimeout(1000);// 单位毫秒 web应用设置 web应.
004-shiro授权
这个需求,做不了
03-10 318
授权三要素 授权具有三个在Shiro中引用的核心元素:权限,角色和用户 权限:比如公司给你提供办公电脑,你可以使用该电脑,你的同事不能使用,但你不能将此电脑卖了换钱。(权限就是对某个资源的处理权。处理权分多种,这里就是使用和变卖) 角色:在公司来说,员工就是角色,领导也是角色,他不是具体的某个人,可以只某个岗位(研发、测试、产品),或者是某个部门(组织部、研发部),角色就是代表一类用户,在授权中,角色就是代表拥有某些共同权限的一类用户。 用户:用户是使用系统的用户,一般情况下,用户与角色绑定,角色与
005-shiroRealm源码解析与自定义Realm
这个需求,做不了
04-14 300
shrio自带的Realm IniRealm:我们前面的示例中使用的,从ini文件中提供用户信息和认证信息 JdbcRealm:shrio提供的使用Jdbc访问数据库的方式,提供用户信息和认证信息 其他PropertiesRealmshiro自带的Realm都有其相应的局限性,在大多数情况下我们还是需要根据业务要求自定义Realm 继承AuthorizingRealm来实现自定义Realm 为什么自定义Realm要继承AuthorizingRealm来实现?Realm接口的定义如下: public
006-springboot整合shrio
这个需求,做不了
04-19 291
1.配置pom.xml 注意:以下是shiro整合的最小依赖(并不包含orm框架以及其它web应用所依赖的常用框架),本文只讨论shiro的应用。另:本文需要有一定的springboot基础,因为我们会忽略掉涉及到springboot细节,比如启动程序的编写、配置文件等等,只注重于shiro的web集成与使用。 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0
SSM到RBAC:MyBatis-Spring-SpringMVC-Hibernate-Shiro深度学习
7. **Shiro**:Apache Shiro是一个轻量级的安全框架,提供了认证、授权、会话管理和加密等功能,适用于各种Java应用的安全需求。 此外,课程还涉及了其他重要技术: - **JFinal**:JFinal是一个基于Java的轻量级...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值