shiro的认证(五)

最新推荐文章于 2023-05-18 14:19:44 发布
最新推荐文章于 2023-05-18 14:19:44 发布
阅读量218 收藏
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29347295/article/details/79077364
版权

•        从外部来看Shiro ,即从应用程序角度的来观察如何使用 Shiro 完成

工作:

身份验证

•        身份验证:一般需要提供如身份 ID 等一些标识信息来表明登录者的身

份,如提供 email,用户名/密码来证明。

•        在 shiro 中,用户需要提供 principals (身份)和credentials(证明)给 shiro,从而应用能验证用户身份:

•        principals:身份,即主体的标识属性,可以是任何属性,如用户名、邮箱等,唯一即可。一个主体可以有多个 principals,但只有一个Primary principals,一般是用户名/邮箱/手机号。

•        credentials证明/凭证,即只有主体知道的安全值,如密码/数字证书等。

•        最常见的 principals 和 credentials 组合就是用户名/密码

身份验证基本流程

•        1、收集用户身份/凭证,即如用户名/密码

•       2、调用 Subject.login 进行登录,如果失败将得到相应的 AuthenticationException 异常,根据异常提示用户错误信息;否则登录成功

•       3、创建自定义的 Realm 类,继承org.apache.shiro.realm.AuthorizingRealm类,实现doGetAuthenticationInfo()方法

身份验证示例

LoginController

@RequestMapping("/login")
public String login(@RequestParam("username") String username, 
@RequestParam("password") String password){
Subject currentUser = SecurityUtils.getSubject();

if (!currentUser.isAuthenticated()) {
        // 把用户名和密码封装为 UsernamePasswordToken 对象
            UsernamePasswordToken token = new UsernamePasswordToken(username, password);
            // rememberme
            token.setRememberMe(true);
            try {
            System.out.println("1. " + token.hashCode());
            // 执行登录. 
                currentUser.login(token);
            } 
            // ... catch more exceptions here (maybe custom ones specific to your application?
            // 所有认证时异常的父类. 
            catch (AuthenticationException ae) {
                //unexpected condition?  error?
            System.out.println("登录失败: " + ae.getMessage());
            }
        }

return "redirect:/list.jsp";
}
自定义的ShiroRealm继承AuthorizingRealm

public class ShiroRealm extends AuthorizingRealm {


@Override
protected AuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken token) throws AuthenticationException {
System.out.println("[FirstRealm] doGetAuthenticationInfo");

//1. 把 AuthenticationToken 转换为 UsernamePasswordToken 
UsernamePasswordToken upToken = (UsernamePasswordToken) token;

//2. 从 UsernamePasswordToken 中来获取 username
String username = upToken.getUsername();

//3. 调用数据库的方法, 从数据库中查询 username 对应的用户记录
System.out.println("从数据库中获取 username: " + username + " 所对应的用户信息.");

//4. 若用户不存在, 则可以抛出 UnknownAccountException 异常
if("unknown".equals(username)){
throw new UnknownAccountException("用户不存在!");
}

//5. 根据用户信息的情况, 决定是否需要抛出其他的 AuthenticationException 异常. 
if("monster".equals(username)){
throw new LockedAccountException("用户被锁定");
}

//6. 根据用户的情况, 来构建 AuthenticationInfo 对象并返回. 通常使用的实现类为: SimpleAuthenticationInfo
//以下信息是从数据库中获取的.
//1). principal: 认证的实体信息. 可以是 username, 也可以是数据表对应的用户的实体类对象. 
Object principal = username;
//2). credentials: 密码. 
Object credentials = null; //"fc1709d0a95a6be30bc5926fdb7f22f4";
if("admin".equals(username)){
credentials = "038bdaf98f2037b31f1e75b5b4c9b26e";
}else if("user".equals(username)){
credentials = "098d2c478e9c11555ce2823231e02ec1";
}

//3). realmName: 当前 realm 对象的 name. 调用父类的 getName() 方法即可
String realmName = getName();
//4). 盐值. 
ByteSource credentialsSalt = ByteSource.Util.bytes(username);

SimpleAuthenticationInfo info = null; //new SimpleAuthenticationInfo(principal, credentials, realmName);
info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName);
return info;
}

AuthenticationException

•             如果身份验证失败请捕获 AuthenticationException 或其子类

•             最好使用如“用户名/密码错误”而不是“用户名错误”/“密码错误”,

防止一些恶意用户非法扫描帐号库;

认证流程


身份认证流程

•        1、首先调用 Subject.login(token)进行登录,其会自动委托给SecurityManager

•        2、SecurityManager 负责真正的身份验证逻辑;它会委托给

Authenticator进行身份验证;

•        3、Authenticator 才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自定义插入自己的实现;

•        4、Authenticator 可能会委托给相应的AuthenticationStrategy 进行多 Realm 身份验证,默认 ModularRealmAuthenticator 会调用AuthenticationStrategy 进行多 Realm 身份验证;

•        5、Authenticator 会把相应的token 传入 Realm,从 Realm 获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。

Realm

•            Realm:Shiro 从 Realm 获取安全数据(如用户、角色、权限),即 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作

•            Realm接口如下:


Realm

•            一般继承 AuthorizingRealm(授权)即可;其继承了AuthenticatingRealm(即身份验证),而且也间接继承了CachingRealm(带有缓存实现)。        

Realm 的继承关系:


Authenticator

•             Authenticator 的职责是验证用户帐号,是Shiro API 中身份验证核心的入口点:如果验证成功,将返回AuthenticationInfo 验证信息;此信息中包含了身份及凭证;如果验证失败将抛出相应的AuthenticationException 异 常

•             SecurityManager 接口继承了 Authenticator,另外还有一个

ModularRealmAuthenticator实现,其委托给多个Realm进行

验证,验证规则通过 AuthenticationStrategy        接口指定


AuthenticationStrategy

•        AuthenticationStrategy 接口的默认实现:

•        FirstSuccessfulStrategy:只要有一个 Realm 验证成功即可,只返回第

一个 Realm 身份验证成功的认证信息,其他的忽略;

•        AtLeastOneSuccessfulStrategy:只要有一个Realm验证成功即可,和FirstSuccessfulStrategy不同,将返回所有Realm身份验证成功的认证信息;

•        AllSuccessfulStrategy:所有Realm验证成功才算成功,且返回所有

Realm身份验证成功的认证信息,如果有一个失败就失败了。

•        ModularRealmAuthenticator 默认是 AtLeastOneSuccessfulStrategy策略


风中飘摇我亦妖娆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro认证及授权demo
10-28
这个"shiro认证及授权demo"应该包含了设置Shiro环境、配置 Realm、创建 SecurityManager、定义用户角色和权限以及处理登录、登出等核心功能的示例代码。 1. **Shiro环境设置**:首先,需要在项目中引入Shiro的依赖...
shiro认证.pdf
08-13
shiro 认证 #资源达人分享计划 # 技术文档
shiro AuthorizingRealm 里的 doGetAuthenticationInfo与doGetAuthorizationInfo的执行时间
Mr_Yao
11-03 958
doGetAuthenticationInfo执行时机: 当调用Subject currentUser = SecurityUtils.getSubject(); currentUser.login(token); doGetAuthorizationInfo执行时机有三个,如下: 1、subject.hasRole(“admin”) 或 subject.isPermitted(...
AuthorizingRealm类中重要两个方法是什么?
最新发布
m0_73875939的博客
05-18 115
该方法需要的参数是AuthenticationToken对象,AuthenticationToken 用于收集前端提。该方法需要的参数是PrincipalCollection对象,这个对象表示经过认证后的登录主。交的身份(如用户名)及凭据(如密码),通过该参数传入数据与后端用户数据(用。体,这个方法作用就是要给这个登录的主体授权,返回一个授权后的主体。户数据库等)进行密码比对,最终判断用户登录成功与否。
shiro realm何时调用
weixin_43703769的博客
08-11 751
shiro realm何时调用 1.shiro 中的AuthorizingRealm有2个方法doGetAuthorizationInfo()和doGetAuthenticationInfo() 2.都继承AuthorizingRealm类然后重写doGetAuthorizationInfo和doGetAuthenticationInfo。 3.doGetAuthenticationInfo这个方法是在用户登录的时候调用的也就是执行SecurityUtils.getSubject().login()的时候调
shiro中AuthorizingRealm接口的doGetAuthorizationInfo 与doGetAuthenticationInfo什么时候调用
热门推荐
sidanchen的博客
03-09 3万+
这两个方法虽然名字很像,但是意义是不一样的,doGetAuthorizationInfo方法是进行权限验证,doGetAuthenticationInfo是进行身份验证的(登录验证),相信很多初学者对于这两个方法的调用时机可能不太明白,今天楼主搞了一下午的测试大致明白这两个方法的调用时机。1.doGetAuthorizationInfo方法    该方法主要是用于当前登录用户授权(作者小白插一句:...
AuthorizingRealm的doGetAuthenticationInfo和doGetAuthorizationInfo
t18092838767的博客
12-26 870
当有用户登录的时候,将该用户的账号密码,角色、权限等告诉shiro 注:要注入到框架,shiro也收不到信息 doGetAuthenticationInfo(AuthenticationToken token) 翻译:那小伙在登录,他已经给我说了他的身份证信息(参数AuthenticationToken),你把那小伙的身份证复印件给我,辨认、放行、驱赶的事交给我了 doGetAuthorizati...
shiro认证授权
08-03
Apache Shiro 是一个强大且易用的 Java 安全框架,提供了认证、授权、加密和会话管理功能,可以非常方便地开发出足够安全的应用。本文将深入探讨 Shiro 的核心概念,包括认证和授权,并结合提供的 `shiro-demo` 代码...
Apache Shiro 使用手册(二) Shiro 认证
09-15
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份认证、授权和会话管理功能。本文主要关注其认证过程,即验证用户身份的环节。 在 Shiro认证过程中,用户需要提供实体信息(Principals)和凭据信息...
shiro认证.docx
06-23
Apache Shiro 是一个强大且易用的Java安全框架,它提供了认证、授权、会话管理和加密等功能,用于构建简单且健壮的应用安全控制层。Shiro认证部分是其核心功能之一,允许系统确认用户的身份。下面我们将详细讲解...
关于何时执行shiro AuthorizingRealm 里的 doGetAuthenticationInfo与doGetAuthorizationInfo
wwwffy的博客
10-10 4128
1.doGetAuthenticationInfo执行时机如下 当调用Subject currentUser = SecurityUtils.getSubject(); currentUser.login(token); 2.doGetAuthorizationInfo执行时机有三个,如下: 1、subject.hasRole(“admin”) 或
AuthorizingRealm中的两大方法
TAaron666的博客
03-23 4213
doGetAuthenticationInfo和doGetAuthorizationInfo的区别 这两个方法名字中只有Authen和Author的区别,非常容易混淆。 其中Authen单词意思是:认证,所以doGetAuthenticationInfo方法功能就是认证(登录); 而Author就是authority简写,这个单词意思是:权利,所以doGetAuthorizationInfo方法功能就是授权。 方法 功能 doGetAuthenticationInfo 认证 doGe
springboot shiro 不执行授权方法doGetAuthorizationInfo()
m0_67392273的博客
04-08 2180
AuthorizingRealm中有两个需要被重写的方法,分别是 doGetAuthenticationInfo() //验证功能 和 doGetAuthorizationInfo() //授权功能 在login登录方法中,使用login()方法触发自定义的 myRealm.doGetAuthenticationInfo()*方法, /*登录方法*/ public void login(){ Subject subject = SecurityUtils.getSubject(); UsernamePa
第二节 自定义Realm之继承AuthorizingRealm
大宇的博客,欢迎访问
05-06 1万+
一、Realm基本架构 为了快速上手,我们需要知道的是,Shiro将数据库中的数据,存放到Realm这种对象中。而Shiro提供的Realm体系较为复杂,一般我们为了使用Shiro的基本目的就是:认证、授权。 所以,一般在真实的项目中,我们不会直接实现Realm接口,也不会直接继承最底层的功能贼复杂的IniRealm。我们一般的情况就是直接继......
shiro doGetAuthenticationInfo
风华绝代的博客
08-19 5830
public SimpleAuthenticationInfo(Object principal, Object hashedCredentials, ByteSource credentialsSalt, String realmName) {         this.principals = new SimplePrincipalCollection(principal, realmNam
Shiro学习笔记
KISS
07-12 583
Shiro教学视频 源码 文章目录1. 简介功能简介Shiro 架构Shiro 架构(Shiro外部来看)Shiro 架构(Shiro内部来看)2. HelloWorldshiro.ini配置文件解析Quickstart.java解析运行结果3. 集成Spring配置web.xml配置spring-servlet.xml配置applicationContext.xml4. Shiro工作流程5. DelegatingFilterProxy6. 权限URL配置细节URL 匹配模式Shiro中默认的过滤器URL
ssm/shiro/freemarker/bootstrap实现登录
蓝星花
02-19 2312
我最近用了2天整理一了个相对来说比较好的ssm框架,目前实现登录功能,有比较完善的权限功能。先上效果图,激发一下你们的学习兴趣。项目代码目录结构:maven+idea+ssm数据库连接池用的是阿里的druid:页面是采用H+框架:官网展示:http://www.zi-han.net/theme/hplus/页面源码:http://download.csdn.net/download/m0_3749...
理解Shiro认证: Realm与授权详解
"Shiro是一个强大的Java安全框架,主要用于实现身份认证、授权和会话管理。本文主要关注Shiro认证过程以及权限分配与授权。Shiro的核心组件包括Subject、SecurityManager和Realm,它们共同协作完成用户的登录验证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值