关于身份认证中的Authenticator及AuthenticationStrategy

最新推荐文章于 2023-09-18 10:10:07 发布
最新推荐文章于 2023-09-18 10:10:07 发布
阅读量3.8k 收藏 2
点赞数 2
分类专栏: 权限框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq383264679/article/details/46483449
版权


在流程图3中,有Authenticator和AuthenticationStrategy2个接口。

Authenticator的职责是验证用户帐号,是Shiro API中身份验证核心的入口点: 

        它只有一个方法:

public AuthenticationInfo authenticate(AuthenticationToken authenticationToken)
            throws AuthenticationException;

        如果验证成功,将返回 AuthenticationInfo 验证信息;此信息中包含了身份及凭证;如果验证失败将抛出相应的 AuthenticationException 实现。
                  

选中AuthenticationInfo,按住Ctrl+t,可以看到它的继承体系。

SecurityManager接口继承了Authenticator,另外还有一个ModularRealmAuthenticator实现,其委托给多个Realm进行验证,验证规则通过AuthenticationStrategy接口指定,默认提供的实现:

FirstSuccessfulStrategy:只要有一个Realm验证成功即可,只返回第一个Realm身份验证成功的认证信息,其他的忽略;

AtLeastOneSuccessfulStrategy:只要有一个Realm验证成功即可,和FirstSuccessfulStrategy不同,返回所有Realm身份验证成功的认证信息;

AllSuccessfulStrategy:所有Realm验证成功才算成功,且返回所有Realm身份验证成功的认证信息,如果有一个失败就失败了。

 

ModularRealmAuthenticator默认使用AtLeastOneSuccessfulStrategy策略。


一个例子:

假设我们有三个realm:

myRealm1: 用户名/密码为zhang/123时成功,且返回身份/凭据为zhang/123;

myRealm2: 用户名/密码为wang/123时成功,且返回身份/凭据为wang/123;

myRealm3: 用户名/密码为zhang/123时成功,且返回身份/凭据为zhang@163.com/123,和myRealm1不同的是返回时的身份变了;


三个reaml文件如下:

package com.lgy.shiro;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.realm.Realm;

public class MyRealm1 implements Realm {
    public String getName() {
        return "myrealm1";
    }

    public boolean supports(AuthenticationToken token) {
        return token instanceof UsernamePasswordToken; //仅支持UsernamePasswordToken类型的Token
    }

    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = (String)token.getPrincipal();  //得到用户名
        String password = new String((char[])token.getCredentials()); //得到密码
        if(!"zhang".equals(username)) {
            throw new UnknownAccountException(); //如果用户名错误
        }
        if(!"123".equals(password)) {
            throw new IncorrectCredentialsException(); //如果密码错误
        }
        //如果身份认证验证成功,返回一个AuthenticationInfo实现;
        return new SimpleAuthenticationInfo(username, password, getName());
    }
}


package com.lgy.shiro;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.realm.Realm;

public class MyRealm2 implements Realm {
    public String getName() {
        return "myrealm2";
    }

    public boolean supports(AuthenticationToken token) {
        return token instanceof UsernamePasswordToken; //仅支持UsernamePasswordToken类型的Token
    }

    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = (String)token.getPrincipal();  //得到用户名
        String password = new String((char[])token.getCredentials()); //得到密码
        if(!"wang".equals(username)) {
            throw new UnknownAccountException(); //如果用户名错误
        }
        if(!"123".equals(password)) {
            throw new IncorrectCredentialsException(); //如果密码错误
        }
        //如果身份认证验证成功,返回一个AuthenticationInfo实现;
        return new SimpleAuthenticationInfo(username, password, getName());
    }
}


package com.lgy.shiro;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.realm.Realm;

public class MyRealm3 implements Realm {
    public String getName() {
        return "myrealm3";
    }

    public boolean supports(AuthenticationToken token) {
        return token instanceof UsernamePasswordToken; //仅支持UsernamePasswordToken类型的Token
    }

    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = (String)token.getPrincipal();  //得到用户名
        String password = new String((char[])token.getCredentials()); //得到密码
        if(!"zhang".equals(username)) {
            throw new UnknownAccountException(); //如果用户名错误
        }
        if(!"123".equals(password)) {
            throw new IncorrectCredentialsException(); //如果密码错误
        }
        //如果身份认证验证成功,返回一个AuthenticationInfo实现;
        return new SimpleAuthenticationInfo(username + "163@qq.com", password, getName());
    }
}


封装的login代码如下: 

    private void login(String configFile) {
        //1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
        Factory<org.apache.shiro.mgt.SecurityManager> factory =
        								new IniSecurityManagerFactory(configFile);
        
        //2、得到SecurityManager实例 并绑定给SecurityUtils
        org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);

        //3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");
        subject.login(token);
    }

    @After
    public void tearDown() throws Exception {
        ThreadContext.unbindSubject();//退出时请解除绑定Subject到线程 否则对下次测试造成影响
    }


上面说的:

默认策越(ModularRealmAuthenticator默认使用AtLeastOneSuccessfulStrategy策略。)DEMO

ini文件:

[main]

#声明一个realm

myRealm1=com.lgy.shiro.MyRealm1
myRealm2=com.lgy.shiro.MyRealm2
myRealm3=com.lgy.shiro.MyRealm3
#指定securityManager的realms实现

securityManager.realms=$myRealm1,$myRealm2,$myRealm3

测试如下: 

 @Test
    public void testStrategyWithdefault() {
    	
    			
        login("classpath:shiro-auth-default.ini");
//        login("classpath:shiro-realm.ini");
        Subject subject = SecurityUtils.getSubject();
        /*
        boolean b = subject.isAuthenticated();
        System.out.println(b);*/
        //得到一个身份集合,其包含了Realm验证成功的身份信息
        PrincipalCollection principalCollection = subject.getPrincipals();
        System.out.println(principalCollection.asList().size());   //返回所有的身份凭证信息
        //Assert.assertEquals(2, principalCollection.asList().size());
   }

      验证信息是zhang/123, myRealm1和myRealm2是能通过的,打印返回的size为2,正如前面所说的:只要有一个Realm验证成功即可,和FirstSuccessfulStrategy不同,返回所有Realm身份验证成功的认证信息;



FirstSuccessfulStrategy策越,demo如下:

ini文件:

[main]

#指定securityManager的authenticator实现  
authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator  
securityManager.authenticator=$authenticator  
#指定securityManager.authenticator的authenticationStrategy  
firstSuccessfulStrategy=org.apache.shiro.authc.pam.FirstSuccessfulStrategy  
securityManager.authenticator.authenticationStrategy=$firstSuccessfulStrategy 

#声明一个realm

myRealm1=com.lgy.shiro.MyRealm1
myRealm2=com.lgy.shiro.MyRealm2
myRealm3=com.lgy.shiro.MyRealm3
#指定securityManager的realms实现

securityManager.realms=$myRealm1,$myRealm2,$myRealm3

测试代码: 

@Test
    public void testStrategyWithdefirst() { 
    	login("classpath:shiro-auth-first.ini");
    	Subject subject = SecurityUtils.getSubject();
    	System.out.println(subject.isAuthenticated());
    	
    	PrincipalCollection principalCollection = subject.getPrincipals();
        System.out.println(principalCollection.asList().size());
    }
      验证信息是zhang/123, myRealm1和myRealm2是能通过的,打印返回的size为1,正如前面所说的只要有一个Realm验证成功即可,只返回第一个Realm身份验证成功的认证信息,其他的忽略;


AllSuccessfulStrategy测试,demo如下:

ini文件:

[main]

#指定securityManager的authenticator实现  
authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator  
securityManager.authenticator=$authenticator  
#指定securityManager.authenticator的authenticationStrategy  
allSuccessfulStrategy=org.apache.shiro.authc.pam.AllSuccessfulStrategy  
securityManager.authenticator.authenticationStrategy=$allSuccessfulStrategy 

#声明一个realm

myRealm1=com.lgy.shiro.MyRealm1
myRealm2=com.lgy.shiro.MyRealm2
myRealm3=com.lgy.shiro.MyRealm3
#指定securityManager的realms实现

securityManager.realms=$myRealm1,$myRealm2,$myRealm3


测试文件:

    @Test
    public void testStrategyWithdeAll() { 
    	login("classpath:shiro-auth-all.ini");
    	Subject subject = SecurityUtils.getSubject();
    	System.out.println(subject.isAuthenticated());
    	
    	PrincipalCollection principalCollection = subject.getPrincipals();
        System.out.println(principalCollection.asList().size());
    }

       验证信息是zhang/123, myRealm1和myRealm3是能通过的,但是myRealm2不是通过,所以会抛出异常,测试部通过。 将myRealm2中的wang改为zhang,所以验证能通过,打印为2,为什么?因为返回凭证中myRealm1和myRealm2一样被当做同一个凭证。











小勇Oo
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro之INI配置详解
08-29
在Shiro,SecurityManager是整个安全框架的核心组件,它负责身份验证和授权。SecurityManager是一个Thread-safe的对象,每个应用程序只需要一个实例。Shiro提供了SecurityUtils来绑定SecurityManager为全局的,...
吴天雄--shiro个人总结笔记.doc
04-30
Apache Shiro 是一款Java安全框架,它提供了身份认证、授权、加密和会话管理功能,适用于Java SE和Java EE环境,甚至能在分布式集群环境运行。Shiro因其简单易用而受到青睐,相比于依赖Spring的Spring Security,...
Shiro第二章二-验证者Authenticator、验证策略AuthenticationStrategy
海恩的博客
04-30 446
AuthenticatorAuthenticationStrategy Authenticator的职责是验证用户,被subject的login()调用。 public AuthenticationInfo authenticate(AuthenticationToken authenticationToken) throws AuthenticationExc...
AuthenticatorAuthenticationStrategy
weixin_30466421的博客
03-28 82
Authenticator的职责是验证用户帐号,是Shiro API身份验证核心的入口点: 如果验证成功,将返回AuthenticationInfo 验证信息;此信息包含了身份及凭证;如果验证失败将抛出相应的AuthenticationException实现。 SecurityManager接口继承了Authenticator,另外还有一个ModularRealmAuthenticator...
Shiro系列-AuthenticatorAuthenticationStrategy是什么
初学者
10-29 1443
导语   之前的博客分享了关于身份认证以及Realm的内容其提到了一个比较关键的类,AuthenticationInfo也就是认证信息的类。怎么样去获取到这个身份 认证的信息类呢? 文章目录Authenticator(认证器)AuthenticationStrategy(认证策略)自定义认证策略总结 Authenticator(认证器)   之前的内容提到过如果用户通过login方法认证...
第二章 身份验证 (二) Realm + AuthenticatorAuthenticationStrategy
yifanSJ的博客
08-16 1581
Realm:域,Shiro 从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource , 即安全数据源。如我们之前的ini 配置方式将使用org.apache.shiro.re
Authentication Methods
彦祖的小号的博客
07-13 552
(一)Dictionary Authentication 用于普通用户的认证方式 Password encryption 尽量认证时的密码是加密的,但通过create|alter user创建或修改用户密码的SQL不加密,只能通过SSL连接保证加密 Oracle Database automatically and transparently encrypts passwords during network (client-to-server and server-to-server) conn..
shiro使用方法.ppt
07-19
3. **Realm**: Realm 是 Shiro 与应用安全数据之间的桥梁,用于获取和验证用户的身份及权限信息。在认证过程,Shiro 会从 Realm 获取用户的认证信息(如用户名和密码),在授权过程,它会从 Realm 查找用户...
shiro入门学习.ppt
06-15
Apache Shiro 是一款强大的安全框架,它为Java开发者提供了便捷的身份认证、授权、会话管理和加密功能。在本文,我们将深入探讨Shiro的核心概念、功能及其架构。 首先,Shiro的主要目标是简化安全管理,使其既...
CAS 单点登录的实现原理(一)
jj3697871的博客
06-01 8856
一,会话和CookieHTTP是无状态协议,客户端与服务端之间的每次通信都是独立的,而会话机制可以让服务端鉴别每次通讯过程的客户端是否是同一个,从而保证业务的关联性。 Session是服务器使用一种类似于散列表的结构,用来保存用户会话所需要的信息.Cookie作为浏览器缓存,存储Session ID以达到会话跟踪的目的。由于Cookie的跨域策略限制,Cookie携带的会话标识无法在域名不同的服...
Shiro身份验证/授权源码学习小结
ShangHai0123的博客
12-17 2599
shiro身份验证流程 token委托 通过Subject调用login(token) 方法,将用户产生的token委托给SecurityManager 然后SecurityManager将token委托给Authenticator 最后Authenticator将token委托给ModularRealmAuthenticator进行身份验证的处理 ModularRealmAuthenticator会根据注入Realm的个数决定验证流程 单Realm情况 ModularRealmAuthen.
Shiro之多Realm的认证及认证策略-yellowcong
m0_67392010的博客
08-24 515
多重认证是操作的是多个Realm。第一种方式是,在ModularRealmAuthenticator里面可以配置多个Reamls,默认的验证策略是,至少一个满足即可(AtLeastOneSuccessfulStrategy)。建议将多Realm配置在DefaultWebSecurityManager ,将验证策略和Reaml分开来管理,也就是下面,多重认证的第二种方式。
shiro自定义多realm,并指定realm实现验证
qq_37941840的博客
06-13 2428
我们平常的系统建设大多数都涉及到两种及以上的登陆方式,例如:手机号码登陆、用户名及密码登陆等,而此时我们是不是就得需要两个realm才能实现?
Cas 自定义重定向策略,并注入属性值
最新发布
sn5diphone6的博客
09-18 359
cas 往自定义重定向类注入值
SpringSecurity之OAuth2 令牌accessToken的生成过程
clonetx的博客
05-20 8541
SpringSecurity之OAuth2 令牌的生成过程的主要代码分析
Springboot+CAS下Session过期无效,页面请求302问题解决
白面小生的博客
03-10 4996
起因:
【Shiro】用户名密码或手机号短信登录(多realm认证)
热门推荐
张育嘉的博客
09-13 1万+
在登录认证,经常需要实现用户名密码和手机号验证码这两种登录方式。 最近学了Shiro,所以在这里记录下。 用户名密码使用的令牌自然是UsernamePasswordToken,我们可以继承UsernamePasswordToken,再添加上手机号属性,在不同的控制器传入Token,然后由Realm判断当前的Token属于UsernamePasswordToken还是UsernamePa...
Springboot和vue前后端分离项目接入cas单点登录,解决跨域
明晓默的博客
03-08 6482
前后端分离项目接入cas单点的登录,解决跨域
Shiro教程详解:身份验证、授权与Web集成
2. **第二章:身份验证** - 讲述了如何设置和管理用户登录过程,包括环境准备、登录/退出操作以及身份认证的流程。这部分会深入解析REALM(安全领域)和相关的AUTHENTICATOR(认证器)和AUTHENTICATIONSTRATEGY...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值