Shiro Authenticator认证器简介说明

最新推荐文章于 2022-08-25 10:54:14 发布
最新推荐文章于 2022-08-25 10:54:14 发布
阅读量323 收藏
点赞数
分类专栏: Shiro java 文章标签: java Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25073223/article/details/125987828
版权
java 同时被 2 个专栏收录
1373 篇文章 22 订阅
订阅专栏
Shiro
9 篇文章 0 订阅
订阅专栏

转自:

Shiro Authenticator认证器简介说明

下文笔者讲述shiro中Authenticator认证器的简介说明,如下所示:

Authenticator职责是验证
  就是核实用户身份的过程
例:“用户/密码”组合

Authenticator认证器入口

public interface Authenticator {
    AuthenticationInfo authenticate(AuthenticationToken var1) throws AuthenticationException;
}
当验证成功,则返回AuthenticationInfo验证信息
  返回信息中包含了身份及凭证
当验证失败将抛出相应的AuthenticationException实现

认证条件

shiro中,用户需要提供principals(身份)和credentials(证明)给shiro
从而应用能验证用户身份。最常见的principals和credentials组合就是用户名/密码。

principals

身份,即主体的标识属性
可以是任何东西
如:用户名、邮箱等,唯一即可
一个主体可以有多个principals
但只有一个Primary principals
如:用户名/密码/手机号。

credentials

证明/凭证,即只有主体知道的安全值
如密码/数字证书等

认证策略

1. FirstSuccessfulStrategy:只要有一个Realm验证成功即可,只返回第一个Realm身份验证成功的认证信息,其他的忽略
2. AtLeastOneSuccessfulStrategy:只要有一个Realm验证成功即可,和FirstSuccessfulStrategy不同,返回所有Realm身份验证成功的认证信息
3. AllSuccessfulStrategy:所有Realm验证成功才算成功,且返回所有Realm身份验证成功的认证信息,如果有一个失败就失败了
SecurityManager接口继承了Authenticator,另外还有一个ModularRealmAuthenticator实现,其委托给多个Realm进行验证,默认使用AtLeastOneSuccessfulStrategy策略。

简单认证

//shiro.ini
[users]  
lisi=8888
 
//test.java
@Test  
public void testHelloworld() {  
    //1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager  
    Factory factory = new IniSecurityManagerFactory("classpath:shiro.ini");  
    //2、得到SecurityManager实例 并绑定给SecurityUtils  
    org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();  
    SecurityUtils.setSecurityManager(securityManager);  
    //3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)  
    Subject subject = SecurityUtils.getSubject();  
    UsernamePasswordToken token = new UsernamePasswordToken("lisi", "8888");  
  
    try {  
        //4、登录,即身份验证  
        subject.login(token);  
    } catch (AuthenticationException e) {  
        //5、身份验证失败  
    }  
  
    Assert.assertEquals(true, subject.isAuthenticated()); //断言用户已经登录  
  
    //6、退出  
    subject.logout();  
} 

1、首先通过new IniSecurityManagerFactory并指定一个ini配置文件来创建一个SecurityManager工厂
2、接着获取SecurityManager并绑定到SecurityUtils,这是一个全局设置,设置一次即可
3、通过SecurityUtils得到Subject,其会自动绑定到当前线程;如果在web环境在请求结束时需要解除绑定;然后获取身份验证的Token,如用户名/密码
4、调用subject.login方法进行登录,其会自动委托给SecurityManager.login方法进行登录
5、如果身份验证失败请捕获AuthenticationException或其子类,
   如:DisabledAccountException(禁用的帐号)
      LockedAccountException(锁定的帐号)
	  UnknownAccountException(错误的帐号)
	  ExcessiveAttemptsException(登录失败次数过多)
	  IncorrectCredentialsException (错误的凭证)
	  ExpiredCredentialsException(过期的凭证)等
	  具体请查看其继承关系;对于页面的错误消息展示,最好使用如“用户名/密码错误”而不是“用户名错误”/“密码错误”,防止一些恶意用户非法扫描帐号库
6、最后可以调用subject.logout退出,其会自动委托给SecurityManager.logout方法退出

Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现;
Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证
Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问

qq_25073223
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
authenticator-maven-archetype:Curity Authenticator Maven原型
04-16
好奇心Maven原型 该项目提供了Maven原型,以帮助您快速创建可与Curity Identity Server一起使用的插件框架。 当前,可以使用以下原型: 警报处理程序 验证者: 香草 基于OAuth或OpenID-Connect 验证动作 索赔提供者 同意者: 基于许可人 基于签约人 数据访问提供者 电邮寄件者 事件监听 短信发件人 所有原型也都提供Kotlin版本。 在创建与上游OAuth或OpenID Connect提供程序进行通信的身份验证时,可以使用oauth-authenticator-archetype 。 它包括一个回调以从该提供程序获取授权代码,并使用该代码从该提供程序获取令牌以创建所需的AuthenticaitonResult 。 authentication-action-archetype是任何其他类型的身份验证的良好起点。 如果您想使用该语
shiro认证 类图关系简化版
04-13
shiro认证 类图关系简化版
Shiro源码分析(3) - 认证(Authenticator)
chenwei7858的博客
02-05 215
本文在于分析Shiro源码,对于新学习的朋友可以参考 [开涛博客](http://jinnianshilongnian.iteye.com/blog/2018398)进行学习。 Authenticator就是认证,在Shiro中负责认证用户提交的信息,在Shiro中我们用Authentic...
Authenticator认证者)模式
gangyanliang的专栏
10-11 5031
抽象        想象一个为各种互不相关的分布式用户[1]充当对象仓库(repository of object)的服务系统,它很可能需要一种限制用户访问权限的方法,而且这种方法应该是基于提出请求的用户的身份的。身份鉴定与认证,这些重要的协议却常常被现在的分布式对象系统忽略
Shiro权限控制笔记要点
Harry的博客
06-07 246
一.Shiro 1.1 权限管理过滤解释: Authentication :身份认证/登录,验证用户是不是拥有相应的身份; Authorization :授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能 做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; Session Manager :会话管理,即用户登录后就是...
Spring Boot(十二):Shiro登录认证和权限管理
qq_25432245的博客
10-30 1169
前言 这篇文章来学习如何使用 Spring Boot 集成 Apache Shiro 。安全应该是互联网公司的一道生命线,几乎任何的公司都会涉及到这方面的需求。在 Java 领域一般有 Spring Security、 Apache Shiro 等安全框架,但是由于 Spring Security 过于庞大和复杂,并且依赖spring环境;而Apache Shiro就相对独立,最主要是因为shi...
【学习笔记】Shiro安全框架入门(一)
qq_36149079的博客
08-25 869
外部应用与Subject进行交互,Subject记录了当前操作用户,将用户概念 理解为当前操作的主体,可能是一个通过浏览请求的用户,也可能是一个运行的程序,Subject在shiro中是一个接口,接口中定义了很多认证授权的方法,外部通过Subject进行认证全收,而Subject是通过SecurityManager安全管理进行认证授权的。Shiro是Apache旗下的开源框架,将软件系统的安全认证相关功能抽取出来,一个功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理。...
Shiro身份认证Authenticator
Wayne_y的博客
04-17 1706
·身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份:·principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有...
Shiro入门学习一
了凡
10-10 354
Shiro入门学习一Shiro官网推荐教程: 跟我学Shiro shiro介绍以及推荐视频教程 Apache ShiroJava的一个安全框架。Shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等 Authentication-身份认证/登录 Authorization-授权,即权限验证,验证某个已认证的用户是否拥有某个权限 首先,我们从外部来看Shiro吧,即从应用程序
shiro学习-用户认证authenticator源码实现解析
键盘の旋律
11-22 430
用户认证authenticator源码实现1、shiro整体架构 1、shiro整体架构 shiro中,认证authenticator、授权authorizer和关联数据库的
shiro——认证
08-05
对应博客:https://blog.csdn.net/fancheng614/article/details/81433130
shiro认证及授权demo
10-28
包含使用Shiro实现认证和授权的Demo,对应博客:https://blog.csdn.net/fancheng614/article/details/83477345
Apache Shiro 使用手册(二) Shiro 认证
09-15
认证就是验证用户身份的过程。在认证过程中,用户需要提交实体信息(Principals)和凭据信息(Credentials)以检验用户是否合法。最常见的“实体/凭证”组合便是“用户名/密码”组合
springmvc+shiro自定义过滤的实现代码
08-26
主要介绍了springmvc+shiro自定义过滤的实现方法,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Shiro-认证
TD681
08-03 203
上一篇[shiro-初体验]中讲解了Shiro的简单用法, 实现了URL是否需要登录访问, 当未登录访问URL时自动跳转至登录页. 本篇主要讲解在Shiro如何实现登录处理. 先简单说一下Shiro的登录处理流程. Shiro的登录处理是在authc过滤中. authc会判断如果是登录请求会单独处理, 因此登录请求必须要配置成authc. 其中, 登录请求包括两个:  访问登录: 进入登...
android okhttp 多线程,android – Okhttp Authenticator多线程
weixin_39956558的博客
05-25 226
我在这里看到两个基于你调用的API如何工作的场景.第一个肯定更容易处理 – 调用新凭证(例如访问令牌)不会使旧凭证失效.要实现它,您可以在凭据中添加额外的标志,以表示正在刷新凭据.当你得到401响应时,你将flag设置为true,发出获取新凭据的请求,只有当flag等于true时才保存它们,这样只会处理第一个响应,其余部分将被忽略.确保您对标志的访问是同步的.另一种情况有点棘手 – 每次调用新凭证...
shiroAuthenticator和SecurityManager认证策略
拒绝熬夜啊的博客
10-18 219
shiroAuthenticator和SecurityManager认证策略 1、Authenticator 简介 1.1层次结构图 1.2作用 职责是验证用户帐号,是ShiroAPI中身份验证核心的入口点;接口中声明的authenticate方法就是用来实现认证逻辑的。 1.3源代码 public interface Authenticator { AuthenticationInfo authenticate(AuthenticationToken var1) throws Authenti
SpringBoot集成Shiro实现认证和授权
loongkingwhat的博客
08-08 882
文章目录一、概念篇(一)关于Shiro(二)SpringBoot中使用Shiro实现自定义的授权与认证二、源码篇(一)依赖库(二)封装AuthenticationToken类型(三)创建自定义Filter类(四)实现自定义Realm类(五)配置自定义Reaml和Filter到Shiro 一、概念篇 (一)关于Shiro 关于Shiro的了解,推荐一门课程:Shiro知识精讲,和一篇文章:https://zhuanlan.zhihu.com/p/54176956 Shiro由三大部分组成,分别是Subjec
shiro实现手机验证码登录(涉及到:自定义token、多realm配置、自定义ModularRealmAuthenticator
热门推荐
MODjie的博客
01-31 1万+
shiro框架提供了一个UsernamePasswordToken令牌,用来验证用户名和密码类的登录。那如果想要通过替他方式登录认证,例如通过手机验证码接口,就需要通过自定义token、自定义realm等来实现。 1、首先,自定义一个token继承UsernamePasswordToken,为什么要继承这个类而不是AuthenticationToken?,是因为这样做保证了用户名密码认证方式任然
shiro认证怎么在postman中设置
最新发布
05-13
在 Postman 中设置 Shiro 认证需要进行以下步骤: 1. 打开 Postman,在请求的 Headers 中添加一个 Authorization 的键值对。 2. 在值中输入 Shiro认证方式,一般为 Basic Authentication。 3. 在用户名和密码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值