五. Shiro - 认证

最新推荐文章于 2022-10-31 15:34:23 发布
最新推荐文章于 2022-10-31 15:34:23 发布
阅读量117 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luke199257/article/details/86580771
版权

1. 获取当前的Subject,调用SecurityUtils.getSubject();

Subject currentUser = SecurityUtils.getSubject();

2. 测试当前用户是否已经被认证,即是否已经登录,调用

Subject.isAuthenticated();

3. 若没有被认证,把用户名和密码封装为UsernamePasswordToken对象

UsernamePasswordToken token = new UsernamePasswordToken(username, password);

4. 调用方法执行登陆,Subject.login(AuthenticationToken)方法

currentUser.login(token);

5. 自定义Realm的方法,从数据库中获取对应的记录,返回给Shiro

5.1 实际上需要继承 org.apache.shiro.realm.AuthenticatingRealm 类

  • 其中有一个抽象方法

5.2 实现 doGetAuthenticationInfo(AuthenticationToken) 方法.

  1. 把AutenticationToken转换为UsernamePasswordToken
UsernamePasswordToken upToken = (UsernamePasswordToken) token;
  1. 从UsernamePasswordToken中来获取Username
String username = upToken.getUsername();
  1. 调用数据库的方法,从数据库中查询username对应的用户记录
  2. 若用户不存在,则可以抛出异常UnknownAccountException
if("unknown".equals(username)){
    throw new UnknownAccountException("用户不存在!");
}
  1. 根据用户信息的情况决定是否要抛出其他的异常
if("monster".equals(username)){
    throw new LockedAccountException("用户被锁定");
}
  1. 根据用户的情况,来构建AuthenticationInfo对象并返回
  2. 由 shiro 完成对密码的比对.
public class SecondRealm extends AuthenticatingRealm {
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("[SecondReaml] doGetAuthenticationInfo");    
/***********************验证登陆名*******************************************************/
        //1. 把 AuthenticationToken 转换为 UsernamePasswordToken 
        UsernamePasswordToken upToken = (UsernamePasswordToken) token;  
        //2. 从 UsernamePasswordToken 中来获取 username
        String username = upToken.getUsername();    
        //3. 调用数据库的方法, 从数据库中查询 username 对应的用户记录
        System.out.println("从数据库中获取 username: " + username + " 所对应的用户信息.");
        //4. 若用户不存在, 则可以抛出 UnknownAccountException 异常
        if("unknown".equals(username)){
            throw new UnknownAccountException("用户不存在!");
        }
        //5. 根据用户信息的情况, 决定是否需要抛出其他的 AuthenticationException 异常. 
        if("monster".equals(username)){
            throw new LockedAccountException("用户被锁定");
        }
/***********************验证密码*******************************************************/
        //6. 根据用户的情况, 来构建 AuthenticationInfo 对象并返回. 通常使用的实现类为: SimpleAuthenticationInfo
        //以下信息是从数据库中获取的.
        //1). principal: 认证的实体信息. 可以是 username, 也可以是数据表对应的用户的实体类对象. 
        Object principal = username;
        //2). credentials: 密码. 
        Object credentials = null; //"fc1709d0a95a6be30bc5926fdb7f22f4";
        if("admin".equals(username)){
            credentials = "ce2f6417c7e1d32c1d81a797ee0b499f87c5de06";
        }else if("user".equals(username)){
            credentials = "073d4c3ae812935f23cb3f2a71943f49e082a718";
        }
        //3). realmName: 当前 realm 对象的 name. 调用父类的 getName() 方法即可
        String realmName = getName();
        //4). 盐值. 
        ByteSource credentialsSalt = ByteSource.Util.bytes(username);
        SimpleAuthenticationInfo info = null; //new SimpleAuthenticationInfo(principal, credentials, realmName);
        info = new SimpleAuthenticationInfo("secondRealmName", credentials, credentialsSalt, realmName);
        return info;
    }
}
  1. 此例子是先行查询了用户名,认证账号的状态
  2. 如果用户名可以存在,并且可以使用,则再去验证密码的正确性
Class雷
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro免密码登录
n009ww的博客
07-18 1306
传统的登录方式都是用户名和密码组合登录,但是现在辅助登录手段多样,比如短信验证码,邮箱验证码等其他手段。这样就无法获取密码进行验证。所以本文整理了不需要密码的认证方式。 传统的登录代码如下 UsernamePasswordToken token = new UsernamePasswordToken(userName, password); Su...
shiro实现单个账户只能在一个地方登录(基于浏览器)
qq_37752382的博客
09-15 1417
前序:我认为这种不叫做单点登录(本文不做详细配置流程) 一、预览 二、实现步骤 1、登录LoginController UsernamePasswordToken token = new UsernamePasswordToken(username, password); Subject subject = SecurityUtils.getSubject(); try { subject.login(token); retu
shiroshiro 登陆Subject().login()与SecurityManager().login()
mfkarj的博客
01-07 1970
今天踩坑,写一跨域登陆, 开始如下: UsernamePasswordToken token = new UsernamePasswordToken(username, password); SecurityUtils.getSecurityManager().login(SecurityUtils.getSubject(), token); 登陆是登陆成功了,但是后续获取Security...
shiro控制用户登录的验证原理
十一的博客
06-05 4499
在前端输入用户名和密码,shiro是如何校验用户的信息完成登录的呢。 UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(), user.getUserPwd()); Subject subject = SecurityUtils.getSubject(); subject.login(token); u...
Shiro安全框架集合(二)
Orion的博客
10-31 140
Data}@component将MyRealm类实例化放入Spring容器中管理,相当于//自定义Realm类@Component@Resource//自定义认证方法@Override// 1、获取用户输入的用户名// 2、根据用户名查询用户// 3、将查询到的用户封装成认证信息System.out.println("用户名不存在");}/*** 参数一: 用户。
shiro-1.7.1.zip
02-07
通过这些组件,开发者可以轻松地在Web应用中集成安全控制,实现用户认证、权限分配、会话管理以及加密等操作,而无需深入理解底层复杂的安全机制。Shiro的易用性和灵活性使其成为Java开发者在构建安全应用时的首选...
shiro-redisson基于Redis的ShiroCache和Session实现
08-06
Shiro 的缓存机制主要用于存储认证和授权信息,避免频繁地访问数据库或其它数据源。在 `shiro-redisson` 中,通过 Redisson 将这些信息存储在 Redis 中,使得在分布式系统中,不同节点可以共享相同的缓存数据,提升...
shiro-1.9.0版本jar包
05-10
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。Shiro 不仅可以用于Java Web 应用,也可以用于独立的Java应用,如Swing或Android等。在...
shiro-all jar
04-16
7. **org.apache.shiro.subject**: Shiro的核心概念,代表当前操作的主体(如用户),包括其认证信息和授权信息。 8. **org.apache.shiro.web**: 针对Web应用的安全管理,提供过滤器、控制器等功能,易于与Servlet...
shiro项目基本运行架包以及全部的架包shiro-all.jar
04-17
- **Subject**:Shiro中的核心概念,代表当前操作的用户,可以是已认证的或未认证的。 - **Realms**:负责与特定的安全存储(如数据库)交互,获取和验证凭证,以及授权信息。 - **Cryptography**:理解和使用Shiro...
Shiro 实现免密码登录策略 微信扫码登录 第三方登录问题
HaHa_Sir的博客
12-09 2674
Shiro 实现免密码登录策略 微信扫码登录 第三方登录问题 一、情景描述 在做微信扫码登录时候,流程是,根据获取的 微信unionId,查找到用户,且用户状态为可用时,即可实现登录;由于使用shiro为安全控制中心,查询出来的用户密码为加密的,且不可逆;所以要做一个Shiro免密登录策略。 二、代码实现 1、Shiro 登录流程 Subject su...
Shiro重构:整合token和cookie实现登陆及验证
July_whj
10-16 4135
Shiro重构:整合token和cookie实现登陆及验证 认证服务开始只支持PC端的cookie认证方式,因业务需要,要对小程序、H5、App等移动端设备进行认证,这里复用认证服务。由于小程序不支持cookie认证方式,采用token认证方式,这里对认证服务进行重构。认证服务主要是有Shiro框架研发,我们简单熟悉下Cookie的认证流程。 Shiro的cookie认证流程我们简单说明下, shiro是在其默认的会话管理器DefaultWebSessionManager中获取请求携带过来的cooki
Shiro
weixin_51966377的博客
09-07 138
一、什么是Shiro Apache Shiro是一个Java 的安全(权限)框架。 Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等. 1、Shiro的功能 Authentication: 身份认证、登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限,即判断用户能否进行什么操作,如:验证某个用户是否拥有
Shiro的身份验证流程的源码分析
huangjhai的博客
02-25 567
这篇文章将对上一篇文章:SSM项目整合Shiro进行身份验证中的身份验证流程进行分析。 这是项目中的具体使用,分为以下三个步骤: 创建Subject对象 封装UsernamePasswordToken 对象token 将token通过调用Subject对象的login方法进行登录认证 Subject currentUser = SecurityUtils.getSubject(); // 把用...
UsernamePasswordToken
qq_32567149的博客
07-18 1万+
是最常见的用户名/密码的认证机制;同时,由于它实现了RememberMeAuthenticationToken接口,我们可以通过令牌设置“记住我”的功能。 但是,“已记住”和“已认证”是有区别的:   已记住的用户仅仅是非匿名用户,你可以通过subject.getPrincipals()获取用户信息。但是它并非是认证通过的用户,当你访问需要认证用户的功能时,你仍然需要重新提交认证信息。   这一区...
UsernamePasswordAuthenticationToken
热门推荐
gangsijay888的博客
08-09 2万+
UsernamePasswordAuthenticationToken继承AbstractAuthenticationToken实现Authentication 所以当在页面中输入用户名和密码之后首先会进入到UsernamePasswordAuthenticationToken验证(Authentication), 然后生成的Authentication会被交由AuthenticationMana...
shiro框架的UsernamePasswordToken与对应Realm中的AuthenticationToken的一点比较
ywb201314的专栏
10-22 1457
这里以简单的登陆为例子 控制器对应的登陆方法: @RequestMapping(value = "/login", method = RequestMethod.GET) public String login(@RequestParam("username") String username, @RequestParam("password") String password){ // 获取当前的 Subject. 调用 SecurityUtils.getSubject(); Sub
OAuth2集成Shiro
笨鸟快飞的专栏
08-21 7262
目前很多开放平台如新浪微博开放平台都在使用提供开放API接口供开发者使用,随之带来了第三方应用要到开放平台进行授权的问题,OAuth就是干这个的,OAuth2是OAuth协议的下一个版本,相比OAuth1,OAuth2整个授权流程更简单安全了,但不兼容OAuth1,具体可以到OAuth2官网http://oauth.net/2/查看,OAuth2协议规范可以参考http://tools.ietf.
分享在SSM框架中用第三方登录怎么绕过shiro认证
蓝星花
03-14 8191
问题描述:用ssm框架整合shiro管理系统,然后想实现第三方登录功能,比如(qq,微信等),但是遇到了一个棘手的问题,用第三方登录,我们怎么去实现对用户的授权,这个问题困扰了我很久,网上找了很多相关的资料,都没有一个很好答案,然后自己摸索了许久,终于搞定了,所以想很你们分享一哈,哈哈哈。(如果密码不用md5不可逆加密,那就非常好实现了)效果演示:我们看一下后台具体情况:然后我们可以拿到QQ用户信...
org.apache.shiro.authc.UnknownAccountException: Realm [org.apache.shiro.realm.SimpleAccountRealm@6a6cb05c] was unable to find account data for the submitted AuthenticationToken [org.apache.shiro.authc.UsernamePasswordToken - zhang, rememberMe=false].
最新发布
06-13
这是一个 Apache Shiro 的异常信息,表示在使用 SimpleAccountRealm 进行认证时,无法找到账户数据与传入的 UsernamePasswordToken 匹配。可能是账户不存在或者密码不正确导致的。建议检查输入的账号和密码是否正确,并且确认 SimpleAccountRealm 中是否已经配置了对应的账户信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值