Shiro基础知识02----shiro身份验证(HelloWorld,Subject,Reaml(自定义reaml)),Authenticator及AuthenticationStrategy

最新推荐文章于 2024-05-04 03:00:00 发布
最新推荐文章于 2024-05-04 03:00:00 发布
阅读量2.9k 收藏 1
点赞数
分类专栏: Shiro 文章标签: shiro 身份验证 HelloWorld Subject Reaml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oChangWen/article/details/52718194
版权

一、HelloWorld

本文使用Maven,配置jar请找其他相关文件
1、首先准备一些用户身份/凭据(shiroHelloWorld.ini) 

[users]
Tom=123456
jack=123
此处使用 ini配置文件,通过 [users]指定了两个主体: Tom/123456jack/123
2、测试用例 

    //该方法在后面会经常使用,可以封装成一个工具类
    private Subject login(String configFile, String userName, String password){
        // 1.读取配置文件,初始化SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
        Factory<SecurityManager> factory=new IniSecurityManagerFactory(configFile);
        // 2.得到SecurityManager实例 并绑定给SecurityUtils
        SecurityManager securityManager=factory.getInstance();
        // 把securityManager实例绑定到SecurityUtils
        SecurityUtils.setSecurityManager(securityManager);

        // 3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)
        Subject subject=SecurityUtils.getSubject();
        // 创建token令牌,用户名/密码
        UsernamePasswordToken token=new UsernamePasswordToken(userName, password);

        try{
            //4、登录,即身份验证
            subject.login(token);
            System.out.println("身份认证成功!");
        }catch(AuthenticationException e){
            //5、身份验证失败
            e.printStackTrace();
            System.out.println("身份认证失败!");
        }

        Assert.assertEquals(true, subject.isAuthenticated()); //断言用户已经登录

        return subject;
    }
    1、首先通过new IniSecurityManagerFactory并指定一个ini配置文件来创建一个SecurityManager工厂;
    2、接着获取SecurityManager并绑定到SecurityUtils,这是一个全局设置,设置一次即可;
    3、通过SecurityUtils得到Subject,其会自动绑定到当前线程;如果在web环境在请求结束时需要解除绑定;然后获取身份验证的Token,如用户名/密码;
    4、调用subject.login方法进行登录,其会自动委托给SecurityManager.login方法进行登录;
    5、如果身份验证失败请捕获AuthenticationException或其子类,常见的如: DisabledAccountException(禁用的帐号)、LockedAccountException(锁定的帐号)、UnknownAccountException(错误的帐号)、ExcessiveAttemptsException(登录失败次数过多)、IncorrectCredentialsException (错误的凭证)、ExpiredCredentialsException(过期的凭证)等,具体请查看其继承关系;对于页面的错误消息展示,最好使用如“用户名/密码错误”而不是“用户名错误”/“密码错误”,防止一些恶意用户非法扫描帐号库;
    6、最后可以调用subject.logout退出,其会自动委托给SecurityManager.logout方法退出。 
    @Test
    public void testHelloWorld() {
        Subject subject= login("classpath:shiroHelloWorld.ini", "Tom", "123456");

        // 6.退出
        subject.logout();
    }
增加一下日志配置文件log4j.properties 
log4j.rootLogger=INFO, stdout

log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n

# General Apache libraries
log4j.logger.org.apache=WARN

# Spring
log4j.logger.org.springframework=WARN

# Default Shiro logging
log4j.logger.org.apache.shiro=TRACE

# Disable verbose logging
log4j.logger.org.apache.shiro.util.ThreadContext=WARN
log4j.logger.org.apache.shiro.cache.ehcache.EhCache=WARN

二、身份验证

  身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。

2-1.身份认证流程

流程如下:
  1、首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前必须通过SecurityUtils. setSecurityManager()设置;
  2、SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证;
  3、Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现;
  4、Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证;
  5、Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。
2-2.Subject和Realm

  在shiro中,Subject认证主体包含两个信息:
    principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有一个Primary principals,一般是用户名/密码/手机号。
    credentials:证明/凭证,即只有主体知道的安全值,如密码/数字证书等。
  最常见的principals和credentials组合就是用户名/密码了。

Realm&JDBC Reaml
     Realm:意思是域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源
     Realm 有很多种类,例如常见的 jdbc realm,jndi realm

org.apache.shiro.realm.Realm接口,如下: 
String getName(); //返回一个唯一的Realm名字  
boolean supports(AuthenticationToken token); //判断此Realm是否支持此Token  
AuthenticationInfo getAuthenticationInfo(AuthenticationToken token)  throws AuthenticationException;  //根据Token获取认证信息

自定义reaml

1、单个自定义Realm实现

//Realm接口就如下三个方法
public class MyRealm1 implements Realm {
    @Override
    public String getName() {
        return "myrealm1";
    }
    @Override
    public boolean supports(AuthenticationToken token) {
        //仅支持UsernamePasswordToken类型的Token
        return token instanceof UsernamePasswordToken;
    }
    @Override
    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = (String)token.getPrincipal();  //得到用户名
        String password = new String((char[])token.getCredentials()); //得到密码
        if(!"zhang".equals(username)) {
            throw new UnknownAccountException(); //如果用户名错误
        }
        if(!"123".equals(password)) {
            throw new IncorrectCredentialsException(); //如果密码错误
        }
        //如果身份认证验证成功,返回一个AuthenticationInfo实现;
        return new SimpleAuthenticationInfo(username, password, getName());
    }
}
2、ini配置文件指定自定义Realm实现(shiro-realm1.ini)  
#声明一个realm
myRealm1=com.changwen.shiro.MyRealm1
#指定securityManager的realms实现
securityManager.realms=$myRealm1
    @Test
    public void testMyReaml() {
        Subject currentUser= login("classpath:shiro-realm1.ini", "zhang", "123");
        currentUser.logout();
    }

多Realm配置

1、ini配置文件(shiro-multi-realm.ini) 
#声明一个realm  
myRealm1=com.changwen.shiro.MyRealm1  
myRealm2=com.changwen.shiro.MyRealm2  
#指定securityManager的realms实现  
securityManager.realms=$myRealm1,$myRealm2
    securityManager 会按照 realms 指定的顺序进行身份认证。此处我们使用显示指定顺序的方式指定了 Realm 的顺序,如果删除“ securityManager.realms=$myRealm1,$myRealm2 ”,那么 securityManager 会按照 realm 声明的顺序进行使用(即无需设置 realms 属性,其会自动发现),当我们显示指定 realm 后,其他没有指定 realm 将被忽略,如“ securityManager.realms=$myRealm1 ”,那么 myRealm2 不会被自动设置进去

------------------------------------------------------------------------------------------------------

下面使用JDBC Reaml来测试.jdbc_realm.ini配置如下

#配置代码用main
[main]
#声明一个realm
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
dataSource=com.mchange.v2.c3p0.ComboPooledDataSource

#dataSource.driverClass=oracle.jdbc.OracleDriver
#dataSource.jdbcUrl=jdbc:oracle:thin:@localhost:1521:orcl

dataSource.driverClass=com.mysql.jdbc.Driver
dataSource.jdbcUrl=jdbc:mysql://localhost:3306/db_shiro
dataSource.user=root
dataSource.password=123456

jdbcRealm.dataSource=$dataSource
#指定securityManager的realms实现
securityManager.realms=$jdbcRealm

1、变量名=全限定类名会自动创建一个类实例
2、变量名.属性=值 自动调用相应的setter方法进行赋值
3、$变量名 引用之前的一个对象实例

数据库建表sql,插入的那条数据就是一个reaml

CREATE TABLE users(
  id INT(3) NOT NULL PRIMARY KEY AUTO_INCREMENT,
  username VARCHAR(20),
  PASSWORD VARCHAR(20)
);

INSERT INTO users VALUES(1,'jack','123');
测试代码 
    @Test
    public void testJdbcRealm() {
        Subject currentUser= login("classpath:jdbc_realm.ini", "jack", "123");

        // 退出
        currentUser.logout();
    }
2-3、Authenticator及AuthenticationStrategy

Authenticator的职责是验证用户帐号,是Shiro API中身份验证核心的入口点,接口如下 

public interface Authenticator {
    AuthenticationInfo authenticate(AuthenticationToken var1) throws AuthenticationException;
}
如果验证成功,将返回AuthenticationInfo验证信息;此信息中包含了身份及凭证;如果验证失败将抛出相应的AuthenticationException实现。

  SecurityManager接口继承了Authenticator,另外还有一个ModularRealmAuthenticator实现,其委托给多个Realm进行验证,验证规则通过AuthenticationStrategy接口指定,默认提供的实现:
   - FirstSuccessfulStrategy:只要有一个Realm验证成功即可,只返回第一个Realm身份验证成功的认证信息,其他的忽略;
   - AtLeastOneSuccessfulStrategy:只要有一个Realm验证成功即可,和FirstSuccessfulStrategy不同,返回所有Realm身份验证成功的认证信息;
   - AllSuccessfulStrategy:所有Realm验证成功才算成功,且返回所有Realm身份验证成功的认证信息,如果有一个失败就失败了。
ModularRealmAuthenticator默认使用AtLeastOneSuccessfulStrategy策略。

假设我们有三个realm:
myRealm1: 用户名/密码为zhang/123时成功,且返回身份/凭据为zhang/123;
myRealm2: 用户名/密码为wang/123时成功,且返回身份/凭据为wang/123;
myRealm3: 用户名/密码为zhang/123时成功,且返回身份/凭据为zhang@163.com/123,和myRealm1不同的是返回时的身份变了;即代码myRealm1相比
           return new SimpleAuthenticationInfo("zhang@163.com", password, getName());
1、ini配置文件(shiro-authenticator-all-success.ini) 
#指定securityManager的authenticator实现
authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator
securityManager.authenticator=$authenticator

#指定securityManager.authenticator的authenticationStrategy
allSuccessfulStrategy=org.apache.shiro.authc.pam.AllSuccessfulStrategy
securityManager.authenticator.authenticationStrategy=$allSuccessfulStrategy

#声明一个realm
myRealm1=com.changwen.shiro.MyRealm1
myRealm2=com.changwen.shiro.MyRealm2
myRealm3=com.changwen.shiro.MyRealm3
securityManager.realms=$myRealm1,$myRealm3
2 测试AllSuccessfulStrategy成功 
    @Test
    public void testAllSuccessfulStrategyWithSuccess() {
        login("classpath:shiro-authenticator-all-success.ini", "zhang", "123");

        Subject subject = SecurityUtils.getSubject();
        //得到一个身份集合,其包含了Realm验证成功的身份信息
        PrincipalCollection principalCollection = subject.getPrincipals();

        System.out.println(principalCollection.asList());
        Assert.assertEquals(2, principalCollection.asList().size());
    }
[zhang, zhang@163.com]
3 、测试 AllSuccessfulStrategy 失败: 
    @Test(expected = UnknownAccountException.class)
    public void testAllSuccessfulStrategyWithFail() {
        login("classpath:shiro-authenticator-all-fail.ini","zhang", "123");
        Subject subject = SecurityUtils.getSubject();
    }

shiro-authenticator-all-fail.ini与shiro-authenticator-all-success.ini不同的配置是使用了securityManager.realms=$myRealm1,$myRealm2;即myRealm验证失败。

    对于AtLeastOneSuccessfulStrategy和FirstSuccessfulStrategy的区别,请参照testAtLeastOneSuccessfulStrategyWithSuccess和testFirstOneSuccessfulStrategyWithSuccess测试方法。唯一不同点一个是返回所有验证成功的Realm的认证信息;另一个是只返回第一个验证成功的Realm的认证信息。




liucw_cn
关注
专栏目录
shiro教程1(HelloWorld)
波波烤鸭的博客
01-26 3401
shiro简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 框架图说明 从外部查看shiro框架 &amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;应用代码直接交互的对象是Subject,也就是说Shiro的对外API核心就是Subject api 说明 ..
Shiro入门5:Shiro认证的HelloWorld
热门推荐
机智猫
03-23 1万+
这是一个基于原生实现的一个Shiro认证的HelloWorld的Test,这篇文章为了让大家更加快速熟悉Shiro的使用流程,在最后我会给大家发一下我自己的总结。
shiroAuthenticationStrategy认证策略
weixin_34015336的博客
08-20 222
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro源码分析(3) - 认证器(Authenticator)
chenwei7858的博客
02-05 245
本文在于分析Shiro源码,对于新学习的朋友可以参考 [开涛博客](http://jinnianshilongnian.iteye.com/blog/2018398)进行学习。 Authenticator就是认证器,在Shiro中负责认证用户提交的信息,在Shiro中我们用Authentic...
shiroAuthenticationStrategy的理解
ITWANGBOIT的博客
10-12 582
AuthenticationStrategy:认证策略,当给认证器Authenticator设置多个Realm时,要用到认证策略;认证策略的大致意思是:将多个realm返回的结果,按照什么样的认证策略来形成最终的认证结果。 1:AuthenticationStrategy的继承和实现关系如下 AuthenticationStrategy接口有个抽象类的实现AbstractAuthentic...
Spring Shiro基础组件 AuthenticationStrategy
我家有猫已长成的博客
02-04 202
Spring Shiro基础组件 AuthenticationStrategy 简介。
八、AuthenticationStrategy身份验证策略)
Mr丶Yang
09-20 1389
AuthenticationStrategy身份验证策略)
Shiro基础应用——角色和权限校验
qq_45337431的博客
10-10 2853
1.shiro的概述 2.相关依赖和配置文件 3.shiro工厂启动的初始化原理 4.整个的使用过程以及注意事项 5.自定义的标签的使用
shiro详解,看这一篇差不多理解了shiro的基础了
zhuzi的博客
07-30 830
文章目录shiro学习简介功能运行原理小demo对于shiro.ini:对于ShiroDemo.java:Realm认证授权在springboot中集成shiro创建springboot项目导入依赖编写配置文件1.先自定义一个realm2.编写shiroconfig3.编写几个页面来进行测试实现登录拦截实现用户认证常用的几个异常类用户授权 shiro学习 简介 ​ 在以往的权限管理中,我们的权限管理通常是有以下几个步骤: 1.创建用户,分配权限。 2.用户登录,权限拦截器拦截请求,识别当前用户登录信息 3
shiro学习
weixin_43306301的博客
12-13 232
shiro 一、认识Shiro 什么是shiro? shiro是一个基于java的开源的安全管理框架,可以完成认证、授权、会话管理、加密、缓存等功能。 为什么学习shiro? 在java的世界中,安全管理框架有spring security 和shiro。spring security要依赖于spring,并且比较复杂。shiro比较简单且比较独立,既可以在Java SE中使用,也可以在Java EE中使用,并且在分布式集群环境下也可以使用。 Shiro的结构体系: Authenticatio
Shiro AuthenticatorAuthenticationStrategy
qq_37538698的博客
11-14 319
  Authenticator的职责是验证 用户帐号,是Shiro API中身份验证核心的入口点,接口如下 public interface Authenticator { AuthenticationInfo authenticate(AuthenticationToken var1) throws AuthenticationException; }   如果验证成功,将...
第三讲JdbcRealm及Authentication Strategy
weixin_30655219的博客
05-30 101
1、使用shiro框架来完成认证工作,默认情况下使用的是IniRealm。如果需要使用其他Realm,那么需要进行相关的配置。 2、ini配置文件讲解:   [main] section是你配置应用程序的SecurityManager实例及任何它的依赖组件(如Realms)的地方。 [main] myRealm=cn.sun.realm.MyRealm#依赖注入securityMana...
Apache Shrio 相关类介绍(Realm、 Authenticato和AuthenticationStrategy
zhouzhiwengang的专栏
12-30 1161
本文转载至跟我学Shrio 2.5  Realm Realm:域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。如我们之前的in
_009_Shiro_Realm、Authenticator、JdbcRealm
poiuyppp的博客
01-10 189
      1   Realm:  Shiro 从 Realm 获取安全数据(如用户、角色、 权限),即 SecurityManager 要验证用户身份,那么它需 要从 Realm 获取相应的用户进行比较以确定用户身份是否 合法;也需要从Realm得到用户相应的角色/权限进行验证 用户是否能进行操作.。  一般继承 AuthorizingRealm(授权)即可;其继承了 Authen...
Shiro自定义登录认证
最新发布
程序员阿皓的博客
05-04 330
Shiro自定义登录认证
自学-自定义AuthenticationStrategy的验证策略-10
女神的高冷范
12-21 2185
如果进项多个Realm的校验时,第一个Realm验证通过,第二个验证不通过,我们该怎么进行处理呢?这时候我们就应该使用Shiro的验证策略来解决这个问题了。 验证策略有三种: llSuccessFulStrategy:所有Realm验证成功才算成功,且返回所有 Realm身份验证成功的认证信息,如果有一个失败就失败了。 AtLeastOneSuccessFulAtrategy:
Shiro系列-AuthenticatorAuthenticationStrategy是什么
初学者
10-29 1519
导语   之前的博客中分享了关于身份认证以及Realm的内容其中提到了一个比较关键的类,AuthenticationInfo也就是认证信息的类。怎么样去获取到这个身份 认证的信息类呢? 文章目录Authenticator(认证器)AuthenticationStrategy(认证策略)自定义认证策略总结 Authenticator(认证器)   之前的内容中提到过如果用户通过login方法认证...
Shiro身份认证Authenticator
Wayne_y的博客
04-17 1782
·身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份:·principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有...
AuthenticationStrategy接口源码解析
iteye_10899的博客
11-04 181
AuthenticationStrategy认证策略接口主要是实现各种认证的策略,目前所有的认证策略包括(FirstSuccessfulStrategy(只要有一个Realm验证成功即可,只返回第一个Realm身份验证成功的认证信息,其他的忽略);AtLeastOneSuccessfulStrategy(只要有一个Realm验证成功即可,和FirstSuccessfulStrategy不同,返...
Shiro入门指南:身份验证、授权与Spring集成详解
2. **身份验证**:涵盖了环境准备、登录/退出流程以及身份认证的核心组件,如REALM(安全域)、AUTHENTICATOR身份验证器)和AUTHENTICATIONSTRATEGY身份验证策略)。这部分内容帮助读者理解如何处理用户登录和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值