shiro认证

最新推荐文章于 2018-01-06 15:31:38 发布
置顶 最新推荐文章于 2018-01-06 15:31:38 发布
阅读量1.6k 收藏 1
点赞数 1
分类专栏: 单点登录SSO+Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hanxuemin12345/article/details/45192715
版权

一,什么是认证

   认证——验证用户身份合法性。认证过程中,用户需要提供principals(身份实体信息)credentials(凭据实体信息)。常用的是“实体/凭证”组合,即“用户名/密码”组合。

 

二、名词解释:

    principal:身份(主体的标识属性),如:用户名、手机号、邮箱等(唯一)。

    credentials:凭证(只有主体知道的安全值),如密码/数字证书等。

 

三、认证过程

 

1,收集实体/凭据信息

2,提交实体/凭据信息

3,认证处理——提交成功,允许访问;否则重新进行身份认证或阻止访问

 

1,收集实体/凭据信息

             UsernamePasswordTokentoken = new UsernamePasswordToken(

user.getUsercode(),EncryptUtils.encryptMD5(user.getPassword()));

token.setRememberMe(true);

 

2,提交实体/凭据信息

           SubjectcurrentUser = SecurityUtils.getSubject();

            currentuser.login(token);

3,认证处理——提交成功,允许访问;否则重新进行身份认证或阻止访问

          try {

               currentUser.login(token);

 } catch ( UnknownAccountException uae ) { ...

 } catch ( IncorrectCredentialsException ice ){ ...

 } catch (LockedAccountException lae ) { ...

 } catch (ExcessiveAttemptsException eae ) { ...

 } catch your own ...

 } catch (AuthenticationException ae ) {

    }

 

流程总结:

1、首先收集实体/凭据信息,再通过Subject.login(token)提交认证进行登录,其会自动委托给 Security Manager

2SecurityManager负责真正的身份验证逻辑;它会委托给 Authenticator进行身份验证subject.isAuthenticated()判断用户是否已验证都将返回 trueSubject.login(token)顺利执行,并没有抛出任何异常,即认证通过;

注:(1Authenticator才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自定义插入自己的实现;

        2Authenticator可能会委托给相应的 AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用 AuthenticationStrategy进行多 Realm 身份验证;

          3Authenticator会把相应的 token 传入 Realm,从 Realm获取身份验证信息,如果没有返/抛出异常表示身份验证失败了。此处可以配置多个 Realm,将按照相应的顺序及策略进行访问。

  

四,部分示例代码
Controller:通过 SecurityUtils 工具类从登陆页获取用户名、密码,通过currentUser.login(token)提交认证。 

@Controller
@RequestMapping(value= "login")
public classLoginController {
/*
 * @Autowired User user;
 */
/**
 * 用户登录
 *
 * @param user
   *            登录用户
 * @return
 */
@RequestMapping(params= "main")
publicModelAndView login(User user,HttpSession session, HttpServletRequest request) {
 
ModelAndViewmodelView = new ModelAndView();
SubjectcurrentUser = SecurityUtils.getSubject();
UsernamePasswordTokentoken = new UsernamePasswordToken(
user.getUsercode(),EncryptUtils.encryptMD5(user.getPassword()));
token.setRememberMe(true);
              try {
                     currentUser.login(token);
              } catch ( UnknownAccountException uae ) { ...
              } catch (IncorrectCredentialsException ice ) { ...
              } catch (LockedAccountException lae ) { ...
              } catch (ExcessiveAttemptsException eae ) { ...
              } catchyour own ...
              } catch (AuthenticationException ae ) {
              }
        }

自定义Realm实现:

@Service("monitorRealm")
public class MonitorRealm extends AuthorizingRealm {
   
  @Resource
   private UserService userService;
 
  //登录认证
   @Override
   protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)throws AuthenticationException {
 
       UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
       String username = String.valueOf(usernamePasswordToken.getUsername());
       User user = userService.findByUserName(username); //业务方法,通过用户名获取用户实体信息
       AuthenticationInfo authenticationInfo = null;
       if (null != user) {
           String password = new String(usernamePasswordToken.getPassword());
           if (password.equals(user.getPassword())) {
               authenticationInfo = new SimpleAuthenticationInfo(user.getUsername(),user.getPassword(), getName());
           }
       }
       return authenticationInfo;
   }
 
 
}


五,总结

   通过shiro提供的实体及API进行身份认证。



葵歌小妖
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 16
    评论
专栏目录
【SpringBoot · Vue · Shiro · 前后端分离】关于登录认证isAuthenticated依旧为false的问题
揣兜兜儿嘞Blog
06-24 4870
1 前 言 最近在使用 SpringBoot+Vue+Shiro 练习,但写到登录模块时,却遇到了 session 无法保存的问题,也就是前端提交登录请求后,后台通过 subject.login(usernamePasswordToken) 登录认证完响应给前端,但是前端想再请求后台判断是否登录时 (登录响应时我没有使用 Vuex 保存登录响应的数据) subject.isAuthenticated() 一直为 false。 提示: 若你所遇到的情况与上述类似,请查看一下前端Vue组件是否配置以下代码,
shiro验证注解
qq_34321710的博客
06-28 455
@RequiresAuthentication 验证用户是否登录,等同于方法subject.isAuthenticated() 结果为true时。 @RequiresUser 验证用户是否被记忆,user有两种含义: 一种是成功登录的(subject.isAuthenticated() 结果为true); 另外一种是被记忆的(subject.isRemembered()结果为true)。 @RequiresGuest 验证是否是一个guest的请求,与@RequiresUser完全相反。 换言之,Requi
Shiro权限管理】22.Shiro之记住我
程序猿之洞
01-06 6902
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。 在我们登录一些网站的时候,在登录输入框的下侧一般都会有一个“记住我”的勾选框,选择之后,我们 下次进入网站的时候就会自动进行登录操作,无需我们再次输入密码。而在访问一些敏感信息的时候,还是需要 进行登录操作的。 有关“记住我”的实现原理如下: 1、首先在登录页面选中“记住我”然后登录成功;如果是浏览器登录,一般会把“
Shiro认证和权限控制
热门推荐
宏微的博客
02-28 2万+
Shiro的权限和权限
shiro认证授权
08-03
Apache Shiro 是一个强大且易用的 Java 安全框架,提供了认证、授权、加密和会话管理功能,可以非常方便地开发出足够安全的应用。本文将深入探讨 Shiro 的核心概念,包括认证和授权,并结合提供的 `shiro-demo` 代码...
shiro认证及授权demo
10-28
这个"shiro认证及授权demo"应该包含了设置Shiro环境、配置 Realm、创建 SecurityManager、定义用户角色和权限以及处理登录、登出等核心功能的示例代码。 1. **Shiro环境设置**:首先,需要在项目中引入Shiro的依赖...
Apache Shiro 使用手册(二) Shiro 认证
09-15
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份认证、授权和会话管理功能。本文主要关注其认证过程,即验证用户身份的环节。 在 Shiro认证过程中,用户需要提供实体信息(Principals)和凭据信息...
shiro认证.docx
06-23
Apache Shiro 是一个强大且易用的Java安全框架,它提供了认证、授权、会话管理和加密等功能,用于构建简单且健壮的应用安全控制层。Shiro认证部分是其核心功能之一,允许系统确认用户的身份。下面我们将详细讲解...
shiro认证.pdf
08-13
shiro 认证 #资源达人分享计划 # 技术文档
CAS数据库查询认证(xml配置)
葵歌小妖
01-27 4702
上篇博客介绍的CAS的Demo,登录界面用户名、密码并没有通过数据库查询认证。本博客,将介绍如何通过xml配置,进行CAS登录数据库查询认证。 所需数据库sso_cas,库中的表:tb_user,表中字段:Id、username、password;   数据库查询认证(通过xml配置) 1,修改cas服务端配置 tomcat下webapps/cas/WEB_INF
单点登录CAS-Demo
葵歌小妖
01-27 4447
1,安全证书配置 CAS默认使用HTTPS协议,如果对安全要求不高,可使用HTTP协议。 修改为HTTP协议的步骤如下: 修改deployerConfigContext.xml  增加参数p:requireSecure="false",意为:不需要安全验证。        <beanclass="org.jasig.cas.authentication.handler.support.H
单点SSO实现原理
葵歌小妖
01-26 1806
所谓单点登录,简单来说就是:一个登录入口,可访问多个系统,得到多个系统的信任。 用户的一次完整操作可能会涉及到多个系统,如果每次都要登录,用户必然会不耐烦,甚至发火,不仅用户,每个系统都要设计登录,做登录的授权认证,也是很啰嗦了。比如:用户逛淘宝,有时候一个链接就可以直接访问到天猫,但是到了天猫,不再需要登录;选择好要买的东西后,加入到购物车结算,选择结算方式--支付宝/建行/农行/工行….跳转
shiro与spring集成
葵歌小妖
04-28 1633
Shiro 应用程序需要一个具有单例SecurityManager 实例的应用程序。请注意, 这不会是一个静态的单例,但应该只有一个应用程序能够使用的实例,无论它是 否是静态单例的。    在Spring 应用程序中启用应用程序单例SecurityManager的最简单配置: <bean class="org.springframework.beans.factory.confi
shiro授权
葵歌小妖
04-24 1276
一、什么是授权  授权——即访问控制,判断用户是否对资源有访问权限。例如:用户是否有查看某页面的权限,用户是否有操作某按钮的权限等。   二、名词 权限、角色、用户   三、授权内部处理机制 1、调用授权验证方法(Subject 的isPermitted*或 hasRole*等) 2、Subject 的实例通常是DelegatingSubject 类(或子类)的实例对
数据分析的核心技能和方法
最新发布
07-19
数据分析的核心技能和方法
毕业设计javajsp人寿保险销售网站(ssh)-qkrp源码含文档工具包
07-19
毕业设计javajsp人寿保险销售网站(ssh)-qkrp源码含文档工具包 后台是ssh框架,页面是jsp,数据库mysql,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 平湖人寿保险公司保险销售网站分为用户和管理员两个部分 前台部分(用户界面): 1、资讯浏览功能: (1)新闻资讯浏览 (2)新闻资讯查询 (3)公司简介 (4)通知公告 2、用户登录注册功能: (1)注册 (2)登录 3、用户管理功能 (1)个人信息管理 (2)订单管理 4、保险购买功能: (1)保险产品浏览 (2)保险产品查询 (3)保险产品购买 后台管理(管理员界面) 1、管理员登录功能: 管理员在管理员登录界面输入用户名和密码,即可登录管理员的界面。 2、资讯管理功能: (1)新闻资讯管理 (2)公司简介管理 (3)通知公告管理 3、保险产品管理: (1)保险产品信息管理 (2)保险产品查询 4、会员管理: (1)会员删除 (2)会员级别管理 5、统计管理: (1)保险产品销售量统计 (2)有效会员数量统计 包含:源码、数据库脚本、论文、环境工具包、相同框架项目的安装教程
shiro 认证的流程
07-30
Shiro是一个强大且灵活的Java安全框架,它提供了身份验证、授权、加密和会话管理等功能。下面是Shiro认证的基本流程: 1. 创建SecurityManager:首先,你需要创建一个SecurityManager对象,它是Shiro的核心组件之一。SecurityManager负责协调整个认证和授权过程。 2. 创建SubjectSubject代表当前操作的用户。你可以通过Subject工具类获取当前用户的实例。 3. 提交认证:用户提交自己的身份信息,比如用户名和密码。一般情况下,你可以把用户输入的身份信息封装成一个UsernamePasswordToken对象。***

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值