shiro整理2-----介绍Shiro 身份验证

已于 2022-02-17 15:49:40 修改
阅读量2.8k 收藏 1
点赞数
分类专栏: shiro 文章标签: 安全 shiro
于 2022-02-17 15:22:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lidongliangzhicai/article/details/122979838
版权

一、shiro身份验证的基本概念:

(1)身份验证:

这就不多说了,给shiro传递【身份+证明】,就可以进行验证。

(2)身份

粗浅的说,相当于账户。比如手机号、邮箱、用户名这些。

准确的说,相当于身份。

shiro中把这个封装成了【principals】

(3)证明

证明其实就是密码。

shiro中把这个封装成了【credentials】

二、实例使用

接下来,看看如何使用shiro进行身份验证。

(1)环境准备

maven引入,这个不解释了。

        <dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>${shiro.version}</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-ehcache</artifactId>
			<version>${shiro.version}</version>
		</dependency>

(2)数据源

这个就是数据库dataSource配置。也没有写的必要。

(3)服务端:账户验证

我们先做服务端,就是验证账户;之后在写客户端,就是登录模拟。

写之前有一点要说一下,shiro的账户验证控制是SecurityManager控制完成的。整个shiro其实也就是三个东西,Subject-门面,SecurityManager-核心,Realm-安全数据源。我为了理解叫成了服务端和客户端,这是从访问shiro的角度来说的。

另外,看一下流程:

 

1、shiro实现账户验证的方法也很简单,就是实现接口:

public AuthenticationInfo authenticate(AuthenticationToken authenticationToken)
            throws AuthenticationException;

2、返回值:AuthenticationInfo 就是验证信息。包含了[身份+凭证]。

3、如果验证失败,shiro会抛出异常AuthenticationException,可以进行细化。

4、验证策略:AuthenticationStrategy 可以进行验证策略设置。比如对于多个Realm是与还是且。等等。

如果要实现,控制器是不需要我们写的,但是需要在数据源中进行设置。具体来说,就是你在建Realm的时候,就需要指定一下,实现authenticate接口,好给控制器来进行验证。

上图是我简单整理控制器的一个接口汇总,具体写了下验证部分。 

其实调用的还是Realm的。我把它也汇总了下,大家一看就明白了。

(4)客户端:登录

这个其实也没什么好说的,在登录的时候,调用subject.login进行验证就可了。

 

 上图是我以前写的一个shiro的demo。继承了一个接口,实现方式和使用可以从图中看出来。

三、部分代码

shiro验证其实写到这里就可以了。是shiro中最简单的一个功能。

最近在搭建一个手脚架,顺便将整合shiro部分的代码贴一下,方便看官理解。

 (1)创建一个MyShiroRealm

public class MyShiroRealm extends AuthorizingRealm {
	
	private static final Logger log = LoggerFactory.getLogger("adminLogger");

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;

		String username = usernamePasswordToken.getUsername();
		UserService userService = SpringUtil.getBean(UserService.class);
		User user = userService.getUser(username);
		if (user == null) {
			throw new UnknownAccountException("用户名不存在");
		}

		if (!user.getPassword()
				.equals(userService.passwordEncoder(new String(usernamePasswordToken.getPassword()), user.getSalt()))) {
			throw new IncorrectCredentialsException("密码错误");
		}

		if (user.getStatus() != Status.VALID) {
			throw new IncorrectCredentialsException("无效状态,请联系管理员");
		}

		SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user, user.getPassword(),
				ByteSource.Util.bytes(user.getSalt()), getName());

		UserUtil.setUserSession(user);

		return authenticationInfo;
	}
}

(2)登录

    @LogAnnotation
	@ApiOperation(value = "web端登陆")
	@PostMapping("/sys/login")
	public void login(String username, String password) {
		UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(username, password);
		SecurityUtils.getSubject().login(usernamePasswordToken);
		// 设置shiro的session过期时间
		SecurityUtils.getSubject().getSession().setTimeout(serverProperties.getServlet().getSession().getTimeout().toMillis());
	}

(3)其它

好像暂时没有别的了

良之才-小良
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
shiro-core-1.7.1 jar
07-12
shiro shiro-core-1.7.1 jar shiro漏洞
Shiro笔记(2)——身份验证
Ascend2015的博客
10-11 374
认证(Authentication)其实是一个身份认证的过程,也就是饱受吐槽的“证明你自己是你自己”。用户需要向Shiro提交principals以及credentials以验证它们是否是应用所需。 Principals:事实上是主体的标识,它可以是任何东西,身份证、手机号、邮箱等等。 Credentials:通常是只有主体知道的秘密值,常见的例如密码、指纹、生物虹膜信息等。 在此我们需要引
shiro(权限开元轻量级框架)
anhldd的博客
12-23 811
什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统, 分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。 在应用程序角度来观察如何使用Shiro完成工作(图01) ini文件 Subject:主体,代表了当...
Shiro身份验证
lyflyyvip的博客
10-27 384
1,在实际的开发之中所有的用户名和密码的认证过程一定是交由数据库完成的,本次将利用固定的资源文件来实现用户名和密码的配置以及基础的认证实现。 (1).搭建项目开发环境 如果要进行shiro项目的开发环境搭建,建议使用Maven完成。 1、 建立一个manve的项目:shirodemo; · 本次为了以后的开发方便,将建立的web项目; 2、 需要配置与 shiro
Shiro 的身份认证
dream_heheda的博客
09-27 365
1.基本验证步骤 2.Remebered(记住我)和Authenticated(已认证)
shiro-all-1.4.2.jar下载
08-21
shiro是java安全框架工具,而使用shiro jar包可以执行身份验证,授权,密码学和会话管理功能,想使用shiro这款安全框架的朋友们,欢迎前来下载shiro jar包进行使用。
shiro-core-1.6.0.jar
08-20
该资源是目前最新的shiro-core核心包,暂时魏安全性较高的版本,没有发现漏洞版本。提供登录安全性的校验,该资源来自官网,仅供学习参考,请前往官网下载
shiro_attack-2.2.jar
12-17
shiro_attack-2.2.jar
shiroshiro-all-1.8.0.jar)
03-21
shiroshiro-all-1.8.0.jar)
Shiro 身份验证和权限认证
AdamShyly的博客
05-16 232
Spring Boot整合Shiro实现用户身份认证和权限认证_齐天小圣^O^的博客-CSDN博客_shiro怎么实现身份和权限认证
shiro入门(一)身份验证
全场梦游c的博客
02-06 315
一、简介 Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。 本教程只介绍基本...
shiro身份认证(HelloWorld)
大白的博客
05-09 706
Shiro简介 Apache Shiro 是Java 的一个安全框架。目前,使用Apache Shiro 的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro 就足够了。 Shiro可以完成:认证、授权、加密、会话管理、与web集成、缓存等功能。 基本功能如下所示: Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization
shiro身份验证授权入门
十五楼亮哥
05-22 7970
一、 介绍shiro是apache提供的强大而灵活的开源安全框架,它主要用来处理身份认证,授权,企业会话管理和加密。 shiro功能:用户验证、用户执行访问权限控制、在任何环境下使用session API,如cs程序。可以使用多数据源如同时使用oracle、mysql。单点登录(sso)支持。remember me服务。详细介绍还请看官网的使用手册:http://shiro.apache.org
03-2 shiro身份验证
brusion的博客
09-19 358
03-2 shiro身份验证shiro中用户需要提供身份(principals)和证明(credentials)给shiro。从而应用可以验证用户身份。 principals:身份,主体的标识属性(用户名) credentials:证明/凭证,只有主体知道的安全值(密码) Subject:主体 Realm:数据源 本篇内容: 1、通过ini身份验证 2、身份验证流程 3、使用realm身...
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
浅谈关于shiro——SimpleAuthenticationInfo中的参数
李公子的博客
09-20 1万+
/** * 执行认证逻辑 */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException { System.out.println("执行认证逻辑"); ...
shiro token AuthenticationInfo
weixin_34111790的博客
08-18 134
2019独角兽企业重金招聘Python工程师标准>>> ...
shiro之Realm及相关对象AuthenticationInfo(*)
weixin_42408447的博客
11-16 280
AuthenticationInfo有两个作用: 1)如果Realm 是AuthenticatingRealm 子类(包括AuthorizingRealm,它继承AuthenticationRealm),则提供给AuthenticatingRealm 内部使用的CredentialsMatcher进行凭据验证;(如果没有继承它需要在自己的Realm中自己实现验证); 2)提供给SecurityManager来创建Subject(提供身份信息); MergableAuthenticationInfo 用于提.
shiro-redis-spring-boot-starter
最新发布
10-06
shiro-redis-spring-boot-starter是一个用于集成Apache Shiro和Redis的Spring Boot Starter项目。Apache Shiro是一个强大而灵活的Java安全框架,用于身份验证、授权和会话管理等安全功能。而Redis是一个高性能的内存...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

良之才-小良

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值