【Apache Shiro】学习笔记——Authentication基础

最新推荐文章于 2022-04-21 11:01:10 发布
最新推荐文章于 2022-04-21 11:01:10 发布
阅读量1.2k 收藏
点赞数
分类专栏: shiro 文章标签: apache shiro Authentication

从Authentication一步步学习。 j_0003.gif

wKioL1N8fCLgEZtQAABxbR1PGeM813.jpg

先从代码开始,运行后再慢慢研究。

以下是我添加的dependecies:

    <!-- shiro -->
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-core</artifactId>
      <version>${shiro.version}</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-spring</artifactId>
      <version>${shiro.version}</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-web</artifactId>
      <version>${shiro.version}</version>
    </dependency>

在资源目录下创建shiro.ini,文件内容为:

[users]
king=t;stmdtkg
package pac.testcase.shiro;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.ExcessiveAttemptsException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;

public class TestAuthen {
    public static void main(String[] args) {

  Factory<SecurityManager> factory = new IniSecurityManagerFactory();
  SecurityManager manager = factory.getInstance();
  SecurityUtils.setSecurityManager(manager);
  
  UsernamePasswordToken token = new UsernamePasswordToken("king", "t;stmdtkg");
  token.setRememberMe(true);
  
  Subject currentUser = SecurityUtils.getSubject();
  try {
      currentUser.login(token);
  } catch ( UnknownAccountException e ) { 
      System.out.println("你是谁?");
  } catch ( IncorrectCredentialsException e ) {
      System.out.println("密码错误!!");
  } catch ( LockedAccountException e ) {
      System.out.println("该账户不可用~");
  } catch ( ExcessiveAttemptsException e ) {
      System.out.println("别再试了!!");
  }
  
  currentUser.logout();
  
    }
}

代码非常好懂。

如果 IniSecurityManagerFactory 没有指定配置文件,则DEFAULT_INI_RESOURCE_PATH = "classpath:shiro.ini" 。

另外, SecurityUtils.setSecurityManager(manager);

该方法是一个全局设置,设置整个VM单例的SecurityManager,一般开发中很少用到该方法。

另外,Shiro提供了丰富的Exception,我们可以根据不同的catch响应不同的提示。

关于身份验证,有两个重要的概念需要解释:

・ Principals :身份(暂且这样翻译吧),Subject的唯一标识,可以是任何东西,比如用户名或者e-mail地址。

・ Credentials :凭证,用于证明身份的东西,可以简单理解为密码。

一些类和方法的命名中如果出现这些词汇不至于太陌生。

记录一下身份验证的具体步骤,用5个步骤简单概括一下:

Step 1.

将代表用户身份和凭证的token对象作为参数调用login方法。

Step 2.

在上面的代码中Subject对象实际上是作为一个用于委派(delegate)任务的对象――DelegatingSubject,以调用 login(token) 将验证的任务委托给SecurityManager。

SecurityManager调用

    Subject login (Subject subject, AuthenticationToken authenticationToken)

这里是验证真正开始的地方。

Step 3.

作为一个'umbrella'组件(这个比喻很流行吗...),接收token并将任务委托给内部的Authenticator(ps: SecurityManager extends henticator, Authorizer, SessionManager )并调用 authenticate (token) 方法。

通常情况下,这个authenticator是 ModularRealmAuthenticator ,ModularRealmAuthenticator可以在验证时与多个realm进行交流。

Step 4.

如果配置了多个Realm,ModularRealmAuthenticator会用配置的验证策略(AuthenticationStrategy )去进行多Realm验证。验证策略与每一个Realm的结果交互。

如果只配置了一个Realm,验证策略则没有任何意义。

Step 5.

调用 Realm 的 boolean supports (AuthenticationToken token) 确认Realm是否支持提交过来的token。

如果Realm支持提交过来的token,token将作为参数并调用:

    AuthenticationInfo getAuthenticationInfo (AuthenticationToken token)throws AuthenticationException ;

根据不同的token响应特定的验证信息(AuthenticationInfo)。

当一个应用配置了多个Realm,ModularRealmAuthenticator通过其内部的AuthenticationStrategy去定义验证策略(好像说了句废话....命名确实很棒...)。

举个例子:

如果一个Realm成功验证了一个token,而其他的Realm全部失败了,此时我们应该如何认定验证是成功还是失败?

是全部通过才算成功?还是说其中一个通过即可?或者说其中特定几个通过后是否有必要继续考虑其他?

接下来,试着用代码体验multi-Realm与AuthenticationStrategy。

Step 1.

实现org.apache.shiro.realm.Realm来自定义几个Realm。

在getAuthenticationInfo方法中直接返回验证信息根本看不出验证策略是否生效,于是我在一个Realm里抛出一个异常。

package pac.testcase.shiro.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.realm.Realm;

public class MyRealm1 implements Realm {

  public String getName() {
    return this.getClass().getName();
  }

  public boolean supports(AuthenticationToken token) {
    return true;
  }

  public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token)
      throws AuthenticationException {
    if(!new String((char[])token.getCredentials()).equals("t;stmdtkg"))
      throw new IncorrectCredentialsException();
      
    return new SimpleAuthenticationInfo(token.getPrincipal(),token.getCredentials(),this.getName());
  }
}

Step 2.

继续使用本文开始时的代码,将自定义的几个Realm配置到shiro.ini中。

realm0=pac.testcase.shiro.realm.MyRealm0
realm1=pac.testcase.shiro.realm.MyRealm1

Step 3.

在shiro.ini中配置验证策略。

realm0=pac.testcase.shiro.realm.MyRealm0
realm1=pac.testcase.shiro.realm.MyRealm1

authcStrategy = org.apache.shiro.authc.pam.AllSuccessfulStrategy
securityManager.authenticator.authenticationStrategy = $authcStrategy

Step 4.

运行程序,输出"密码错误!!"

AuthenticationStrategy 是无状态的,处理一个验证请求时AuthenticationStrategy会一共交互4次。

分别是:

・任何一个Realm执行之前。

・每个Realm的getAuthenticationInfo方法被调用之前。

・每个Realm的getAuthenticationInfo方法被调用之后。

・所有的Realm执行之后。

另外,从所有成功的Realm中聚集结果并将其绑定到一个AuthenticationInfo也是AuthenticationStrategy的工作。

这个最后聚集起来的验证信息则是Shiro用来表示Subject的标志,也就是所谓Principal。

具体体现在 org.apache.shiro.authc.pam.ModularRealmAuthenticator 中:

  protected AuthenticationInfo doMultiRealmAuthentication(Collection<Realm> realms, AuthenticationToken token) {

    AuthenticationStrategy strategy = getAuthenticationStrategy();

    AuthenticationInfo aggregate = strategy.beforeAllAttempts(realms, token);

    if (log.isTraceEnabled()) {
      log.trace("Iterating through {} realms for PAM authentication", realms.size());
    }

    for (Realm realm : realms) {

      aggregate = strategy.beforeAttempt(realm, token, aggregate);

      if (realm.supports(token)) {

        log.trace("Attempting to authenticate token [{}] using realm [{}]", token, realm);

        AuthenticationInfo info = null;
        Throwable t = null;
        try {
          info = realm.getAuthenticationInfo(token);
        } catch (Throwable throwable) {
          t = throwable;
          if (log.isDebugEnabled()) {
            String msg = "Realm [" + realm + "] threw an exception during a multi-realm authentication attempt:";
            log.debug(msg, t);
          }
        }

        aggregate = strategy.afterAttempt(realm, token, info, aggregate, t);

      } else {
        log.debug("Realm [{}] does not support token {}.  Skipping realm.", realm, token);
      }
    }

    aggregate = strategy.afterAllAttempts(token, aggregate);

    return aggregate;
  }

Shiro默认提供了三种 AuthenticationStrategy 实现:

・ AtLeastOneSuccessfulStrategy :其中一个通过则成功。

・ FirstSuccessfulStrategy :其中一个通过则成功,但只返回第一个通过的Realm提供的验证信息。

・ AllSuccessfulStrategy :凡是配置到应用中的Realm都必须全部通过。

ModularRealmAuthenticator默认采用AtLeastOneSuccessfulStrategy,如果想用其他的验证策略则需要自行配置。



转自:http://www.tuicool.com/articles/MVFRr2N

一渣程序猿
关注
专栏目录
shiro学习笔记
04-03
这份"Shiro学习笔记"可能包含了以下主题: - Shiro的安装与配置 - Shiro基本概念详解 - Realm的创建与使用 - 登录与登出流程 - 权限控制机制 - 缓存管理和会话管理 - Shiro与Spring的整合 - Shiro的Filter链配置 - ...
apache-shiro 学习笔记
04-12
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用程序。它专注于应用程序的安全性,而不是网络安全性,因此它非常适合用于Web应用和桌面...
Spring Boot 整合Spring Security + JWT 实现权限认证授权
weixin_38982591的博客
05-29 932
Pom 依赖: <!-- spring security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- jwt --> <dependency
springboot shiro jwt实现认证和授权
myli92的博客
03-16 2500
1.shiro,jwt,oauth2.0是什么? Shiro:权限框架,可在C/S下运行。 shiro是一套权限管理框架,包括认证、授权等,在使用时直接写相应的接口(小而简单的Shiro就足够) jwt:是一个鉴权生成加密token的一个名称。 oauth2.0 :一种权限实现标准,是一种安全的授权框架,提供了一套详细的授权机制。用户或应用可以通过公开的或私有的设置,使用第三方认证和授权。 Shiro 有三大核心组件,即 Subject、SecurityManager 和 Realm。 2.依赖引
Shiro 身份认证中心获取token中账号密码的两种方式
m0_67392811的博客
04-07 2564
/** * 身份认证 * @param authenticationToken * @return * @throws AuthenticationException */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException .
security模仿密码登录实现短信验证码登录
weixin_39515823的博客
02-12 1067
security模仿密码登录实现短信验证码登录 模仿UsernamePasswordAuthenticationToken创建短信验证码的token类SmsAuthenticationToken /** * 手机验证码认证token * * @author shipc * @date 2021/12/13 21:22 */ public class SmsAuthenticationToken extends AbstractAuthenticationToken { private
管理员登录及token相关
寻常的博客
04-21 1624
1、前端登录表单部分 <el-form :model="dataForm" :rules="dataRule" ref="dataForm" @keyup.enter.native="dataFormSubmit()" status-icon > <el-form-item prop="userName">
shiro学习笔记0.0.0.0
12-21
尽管这份"shiro学习笔记0.0.0.0"可能内容不多,但通过它,你可以对 Shiro 有个初步的认识,为进一步深入学习打下基础。在实际项目中,根据需求选择合适的 Shiro 组件和配置,可以有效地提升应用的安全性。
learning-shiro:Shiro学习笔记
04-27
本项目“learning-shiro”显然是一个关于 Apache Shiro学习资源集合,包含了作者在学习过程中积累的笔记和示例代码。下面将详细探讨 Shiro 的核心概念以及如何使用它来实现应用安全。 1. **认证(Authentication...
Shiro 中的 Realm
尽力而为
05-29 2万+
之前写项目用了 Shiro 框架,来进行安全验证以及权限管理。当时项目赶得急,没怎么深入了解,只能说能跑能改,不过在使用的过程中发现 Shiro 确实很优秀。现在回过头来学习原理,读读源码,深入的学习下。· 本篇博文主要写的是关于使用 Shiro 起步时最重要的一块,找了一些资料,力求写得简单明了。
快速上手Shiro拦截器、认证、授权功能
piaolaoshi的博客
03-20 8289
快速实现shiro拦截器授权认证等功能
shiro中自定义多realm,并指定realm实现验证
qq_37941840的博客
06-13 2577
我们平常的系统建设中大多数都涉及到两种及以上的登陆方式,例如:手机号码登陆、用户名及密码登陆等,而此时我们是不是就得需要两个realm才能实现?
Shiro 多realm只抛AuthenticationException异常的解决方案
KingStarMemory
06-06 3919
多realm认证源码 protected AuthenticationInfo doMultiRealmAuthentication(Collection<Realm> realms, AuthenticationToken token) { AuthenticationStrategy strategy = getAuthenticationStrategy(); ...
第四章:Shiro的身份认证(Authentication
逸轩
04-09 8355
Authentication概述 概述   Authentication 是指身份验证的过程——即证明一个用户实际上是不是他们所说的他们是谁。也就是说通过提交用户的身份和凭证给Shiro,以判断它们是否和应用程序预期的相匹配。 基本概念 1:Principals(身份):是Subject 的‘identifying attributes(标识属性)’。比如我们登录提交的用户名。
Shiro登录身份认证(从SecurityUtils.getSubject().login(token))到Realm的doGetAuthenticationInfo
热门推荐
╃緣分天空╃
06-23 4万+
ssm框架下,controller接收到登录请求交给Service并开始处理流程:1.Service的login方法:@Service public class SysUserServiceImpl implements SysUserService { @Autowired SysUserMapper mapper; @Override public Login...
第六章 Realm及相关对象(二) AuthenticationToken
yifanSJ的博客
08-23 7703
AuthenticationToken 用于收集用户提交的身份(如用户名)及凭据(如密码): public interface AuthenticationToken extends Serializable { Object getPrincipal(); //身份 Object getCredentials(); //凭据 } 扩展接口RememberMeAuthenticationT
svn 出现错误 Authentication realm: Authorization SVN OF TEST
小小的木头人的博客
05-08 1402
保存密码与否 store-plaintext-password 每次使用svn提醒你是否保存密码,这样每次都会出现交互 修改 vim/项目根路径/.subversion/server中的相关内容为: store-passwords = no store-plaintext-passwords = no
Shrio认证详解+自定义Realm
dengjuyan2649的博客
08-26 140
Authentication(身份认证)是Shiro权限控制的第一步,用来告诉系统你就是你。 在提交认证的时候,我们需要给系统提交两个信息: Principals:是一个表示用户的唯一属性,可以是用户名,邮箱之类的。 Credentials:是证明用户身份的证书,可以是密码或者指纹之类的。 认证主要分为三步: 1、收集认证信息 2、提交认证信息 3、如果认证成功,则允许访问...
Java安全框架Apache Shiro基础教程
Apache Shiro 是一款Java安全框架,它为开发者提供了一种简单易用的方式来处理认证、授权、会话...通过本教程的学习,开发者将能够掌握Apache Shiro的基本使用,实现在Java项目中快速构建安全功能,满足日常开发需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值