自学-Shiro的身份认证-05

最新推荐文章于 2021-10-19 12:30:14 发布
置顶 最新推荐文章于 2021-10-19 12:30:14 发布
阅读量681 收藏
点赞数
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31080089/article/details/53673100
版权

   学习了前几节,大家可能只是对Shiro有个大概的了解,其实,Shiro的重点及难点都在后面的博客中,接下来的这节我们来探讨一下身份认证.

我们可以一起来看下身份认证流程,有个大概的思绪,在来一起写代码进行实现。

身份认证流程:


 

流程步骤(借鉴英文文档翻译):

1.首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前必须通过SecurityUtils. setSecurityManager()设置;

2.SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证;

3.Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现;

4.Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证;

5.Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。

流程大概就这个样子,其实可以用更加通俗易懂的语言来描述更好。这些流程看源码是最清楚的,所以我们可以针对源码进行走一下,然后理解起来会更加的清楚明了。

代码进行一一解释

如下:

1.首先进行登录:

 

currentUser.login(token);
2. SecurityManager一个大管家。 

public void login(AuthenticationToken token) throws AuthenticationException {
        clearRunAsIdentitiesInternal();
        Subject subject = securityManager.login(this, token);

        PrincipalCollection principals;

        String host = null;

        if (subject instanceof DelegatingSubject) {
            DelegatingSubject delegating = (DelegatingSubject) subject;
            //we have to do this in case there are assumed identities - we don't want to lose the 'real' principals:
            principals = delegating.principals;
            host = delegating.host;
        } else {
            principals = subject.getPrincipals();
        }

        if (principals == null || principals.isEmpty()) {
            String msg = "Principals returned from securityManager.login( token ) returned a null or " +
                    "empty value.  This value must be non null and populated with one or more elements.";
            throw new IllegalStateException(msg);
        }
        this.principals = principals;
        this.authenticated = true;
        if (token instanceof HostAuthenticationToken) {
            host = ((HostAuthenticationToken) token).getHost();
        }
        if (host != null) {
            this.host = host;
        }
        Session session = subject.getSession(false);
        if (session != null) {
            this.session = decorate(session);
        } else {
            this.session = null;
        }
    }
3. Authenticator核心的身份认证入口点。 

/**
     * Delegates to the wrapped {@link org.apache.shiro.authc.Authenticator Authenticator} for authentication.
     */
    public AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {
        return this.authenticator.authenticate(token);
    }

4. Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证。 

 protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
        assertRealmsConfigured();
        Collection<Realm> realms = getRealms();
        if (realms.size() == 1) {//单个
            return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);
        } else {//多个
            return doMultiRealmAuthentication(realms, authenticationToken);
        }
    }


总而言之就是这样:

1.获取获取当前的 Subject. 调用 SecurityUtils.getSubject();

2.判断当前的用户是否已经被认证. 即是否已经登录. 调用 Subject 的 isAuthenticated() 。

3.若没有认证, 则把用户名和密码封装为 UsernamePasswordToken 对象。

4. 执行登录。调用 Subject 的login(token); 方法. 

注:token指代是:AuthenticationToken

5.自定义 Realm 的方法, 从数据库中获取对应的记录,并对密码进行加密,来构建 AuthenticationInfo 对象并返回. 通常使用的实现类为: SimpleAuthenticationInfo。

即:

SimpleAuthenticationInfo info=new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName);

实例结构:


实例代码:

LoginController.java:

package com.yiyi.controller;

import javax.servlet.http.HttpServletRequest;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
/**
 * 登录的Controller
 * @author hanyiyi
 *
 */
@Controller
@RequestMapping("/shiro")
public class LoginController {
	/**
	 * 登录方法
	 * @param request
	 * @return
	 */
	@RequestMapping(value="/login",method=RequestMethod.POST)
	public String login(HttpServletRequest request){
		//获取用户名和密码
		String username = request.getParameter("username");
		String password=request.getParameter("password");
		 // 使用SecurityUtils.getSubject();来获取当前的 Subject. 
        Subject currentUser = SecurityUtils.getSubject();
        //判断当前的用户是否已经被认证。
        if(!currentUser.isAuthenticated()){
        	//若没被认证,则把用户名和密码封装为UsernamePasswordToken对象
        	UsernamePasswordToken token=new UsernamePasswordToken(username,password);
        	 token.setRememberMe(true);
             try {
             	// 执行登录. 
                 currentUser.login(token);
             } 
             // ... catch more exceptions here (maybe custom ones specific to your application?
             // 所有认证时异常的父类. 
             catch (AuthenticationException ae) {
                 //unexpected condition?  error?
            	 System.out.println("登录失败---->"+ae.getMessage());
             }
         }
        return "redirect:/index.jsp";
	}

}

自定义Realm:
MyRealm.java: 

package com.yiyi.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.realm.AuthenticatingRealm;

public class MyRealm extends AuthenticatingRealm{

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken token) throws AuthenticationException {
		//将AuthenticationToken对象转换成UsernamePasswordToken对象
		 UsernamePasswordToken upToken = (UsernamePasswordToken) token;
		 //获取UsernamePasswordToken中的用户名
		 String username = upToken.getUsername();
		 //从数据库中查询 username 对应的用户记录
                 System.out.println("从数据库中查找"+username+"的信息");
                 //若用户的信息不存在,则抛出UnknownAccountException异常。
		 if("unknown".equals(username)){
			 throw new UnknownAccountException("用户不存在");
		 }
		//根据用户的信息进行反馈,则抛出LockedAccountException异常。
		 if("han".equals(username)){
			 throw new  LockedAccountException("用户被锁定");
		 }
		 //根据用户的信息来封装SimpleAuthenticationInfo对象。
		 //当前 realm 对象的 name
		String realmName = getName();
		//认证的实体信息。
		Object principal = username;
		//密码
		Object credentials="123456";
		SimpleAuthenticationInfo info =new SimpleAuthenticationInfo(principal, credentials, realmName);
		return info;
	}

}

登录的页面:
login.jsp: 
<%@ page language="java" import="java.util.*" pageEncoding="utf-8"%>
<%
String path = request.getContextPath();
String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
%>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <base href="<%=basePath%>">
    
    <title>登录页面</title>
	<meta http-equiv="pragma" content="no-cache">
	<meta http-equiv="cache-control" content="no-cache">
	<meta http-equiv="expires" content="0">    
	<meta http-equiv="keywords" content="keyword1,keyword2,keyword3">
	<meta http-equiv="description" content="This is my page">
  </head>
  <body>
  <h4>login page</h4>
	  <form action="shiro/login" method="post">
		     username:<input type="text" name="username"> <br/><br/>
		     password:<input type="password" name="password"><br/><br/>
		               <input type="submit" value="提交">
	  </form>
  </body>
</html>
拦截器配置;

先让shiro/login进行匿名访问:


图形化界面;


现在我们来执行下这个操作:

首先进入登录页面:

http://localhost:8080/Shiro-03/login.jsp

根据代码,我们先输入一个正确的用户名和密码:zhao  123456 这时候会进入到对应的页面,假如我们在一次进行入到登录页面,随意输入个错误的密码,这时候还是可以登录上的,这个是为什么呢?

原因是:shiro的缓存起到了作用,这时候避免出现这样的现象我们直接在applicationContext.xml中配置一个logou的拦截器即可。

index.jsp:

<%@ page language="java" import="java.util.*" pageEncoding="utf-8"%>
<%
String path = request.getContextPath();
String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
%>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <base href="<%=basePath%>">
    
    <title>My JSP 'index.jsp' starting page</title>
    
	<meta http-equiv="pragma" content="no-cache">
	<meta http-equiv="cache-control" content="no-cache">
	<meta http-equiv="expires" content="0">    
	<meta http-equiv="keywords" content="keyword1,keyword2,keyword3">
	<meta http-equiv="description" content="This is my page">
  </head>
  
  <body>
    index jsp
    <a href="shiro/logout">登出</a>
  </body>
</html>

applicationContext.xml:


这其中还有很多重点需要一一解释:

①:为什么自定义的Realm 为什么直接继承AuthenticatingRealm呢?

②:SimpleAuthenticationInfo 这个对象中的参数都指代什么呢?

③:shiro的密码怎么进行比对呢,怎么进行加密呢?

这些都到下一节进行详细的描述吧。

Ps:新手自学,哪里不对还望指出,谢谢。

 

一枚会开发的测试
关注
专栏目录
Shiro框架-史上详解
qq_46416934的博客
08-02 579
权限管理概述某个拥有什么,被允许做什么事情()用户登录—>分配角色---->(权限关联映射)---->鉴权(拥有什么什么权限)
Springboot整合shiro_springboot shiro,程序人生
最新发布
m0_60567881的博客
04-18 485
RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理中的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色与权限进行关联,来管理对资源的访问。角色(Role):角色是一组具有相似职责和权限的用户集合。例如,管理员、编辑、访客等都可以是角色。权限(Permission):权限是指执行特定操作或访问特定资源的能力。例如,读取、写入、删除等操作可以被视为不同的权限。用户(User):用户是系统中的个体,可以被授予一个或多个角色。
现代大学英语精读第二版(第三册)学习笔记(原文及全文翻译)——3B - The Invisible Japanese Gentlemen(视若无睹)
预见未来to50的专栏
10-19 8767
Unit 3B -The Invisible Japanese Gentlemen The Invisible Japanese Gentlemen Graham Greene There were eight Japanese gentlemen having a fish dinner at Bentley's. They spoke to each other rarely in their incomprehensible tongue, but always with a courteou.
Shiro源码分析③ :认证流程
猫吻鱼的博客
02-04 975
一、前言 二、登录流程 下面开始登录流程的代码解析 如下,登录接口如下: @PostMapping("login") public String login() { UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("张三", "123456"); Subject subject = SecurityUtils.getSubject(); subjec
大学英语综合教程四 Unit 4 课文内容英译中 中英翻译
亓官劼的博客
05-01 1万+
大学英语综合教程四 Unit 4 课文内容英译中 中英翻译   大家好,我叫亓官劼(qí guān jié ),在CSDN中记录学习的点滴历程,时光荏苒,未来可期,加油~博客地址为:亓官劼的博客 本文原创为亓官劼,请大家支持原创,部分平台一直在盗取博主的文章!!! 博主目前仅在CSDN中写博客,唯一博客更新的地址为:亓官劼的博客 文本为博主整理翻译所得,送给有需要的小伙伴,...
Shiro认证实例化SimpleAuthenticationInfo时会出现参数credentialsSalt赋值为空指针的情况,求大神解决!!!
qq_34750316的博客
03-22 2422
现在的解决方式是通过在web端直接使用,不再调用远程服务,由于调用远程服务导致的一些算法无法使用,所以会导致空指针异常信息
SimpleAuthenticationInfo
weixin_30755393的博客
04-11 2225
public SimpleAuthenticationInfo(Object principal, Object hashedCredentials, ByteSource credentialsSalt, String realmName) { this.principals = new SimplePrincipalCollection(principal, ...
Shiro自学笔记
02-09
Apache Shiro是一个全面的Java安全框架,主要用于处理身份认证、授权、加密以及会话管理等核心安全性问题。它提供了一套简洁且易于理解的API,使得开发者能够在各种类型的项目中快速实现安全功能,无论是小型的桌面...
自学-filterChainDefinitions的源码及和数据库进行交互-17
女神的高冷范
01-16 3282
前几节我们应该对这个filterChainDefinitions 有了解了吧!我们所有的权限设置都配置在了这个org.apache.shiro.spring.web.ShiroFilterFactoryBean这个属性中,我们可以想下,现在是有这几个权限,那加入有很多呢,如果还配置在这里是不是不太方便了,开发就是能多简便我们就怎么写对吧,根据观察我们可以发现这个属性中的值是键值对的形式而且还是有序
关于身份认证中的Authenticator及AuthenticationStrategy
qq383264679的专栏
06-13 3912
在流程图3中,有Authenticator和AuthenticationStrategy2个接口。 Authenticator的职责是验证用户帐号,是Shiro API中身份验证核心的入口点:          它只有一个方法: public AuthenticationInfo authenticate(AuthenticationToken authenticationToken)
shiro(三)——认证、MD5加密、多Realm验证
Back_Light_F的博客
08-09 310
代码接着之前文章的进行。 首先表单页面:包含用户名密码:只是为了实现功能,就不细究页面的美观了。。 &lt;form action="shiro/login" method="POST"&gt; username:&lt;input type="text" name="username"/&gt; &lt;br&gt;&lt;br&gt; passwor
关于 项目中用到shiro如何通过token鉴权登录,模拟登录,代码直接登录的问题!
热门推荐
zl386119974的专栏
09-10 6万+
1.今天遇到了一个棘手的问题,在此写下博客记录下来,用于提醒自己,以及帮助以后会遇到这样的问题的人 shiro框架中如何通过用户名密码在代码中直接登录? 首先在网上找了下,找到了这种方式: Subject currentUser = SecurityUtils.getSubject(); UsernamePasswordToken token = new...
shiro实现不同身份使用不同Realm进行验证
Alan_Xiang的博客
02-01 3万+
假设现在有这样一种需求:存在两张表user和admin,分别记录普通用户和管理员的信息。并且现在要实现普通用户和管理员的分开登录,即需要两个Realm——UserRealm和AdminRealm,分别处理普通用户和管理员的验证功能。   但是正常情况下,当定义了两个Realm,无论是普通用户登录,还是管理员登录,都会由这两个Realm共同处理。这是因为,当配置了多个Realm时,我们通常使用的认证
springboot的依赖注入报null的问题
weixin_30357231的博客
12-01 635
最近使用springboot开发项目,使用到了依赖注入,频繁的碰到注入的对象报空指针,错误如下 java.lang.NullPointerException: null at com.mayihc.audit.controller.MaterialNkDetailController.download(MaterialNkDetailController.java:72) ...
自学-Shiro的MD5加密及更加严格的盐值加密-08
女神的高冷范
12-17 1万+
上一节我们看到了是通过credentialsMatcher 属性来进行的密码的比对的,那我们 怎么才能把客户输入的密码进行MD5加密呢? 首先我们先来看下credentialsMatcher的继承类都有哪些? 所以我们可以通过org.apache.shiro.authc.credential.HashedCredentialsMatcher 来进行MD5加密,但是我们该怎么进行处理呢
自学-Shiro中多Realm的配置-09
女神的高冷范
12-21 2889
项目结构: 学习了前几节,只是知道了验证的一个流程和一些其他的原理等。 那么Realm我们该怎么去理解呢? 首先得知道Realm是什么?怎么操作?为什么要使用Realm? ①:Realm:域, Shiro 从 Realm 获取安全数据 (如用户、 角色、 权限) , 就是说 SecurityManager要验证用户身份, 那么它需要从 Realm 获取相应的用户进行比较
自学-为什么自定义的Realm认证中 直接继承AuthenticatingRealm呢?-06
女神的高冷范
12-17 2359
先我们先来对上一节中的遗留的问题进行简单的解答下: Realm 的继承关系: Realm是他们的父类,继承AuthenticatingRealm其也间接继承了 CachingRealm(带有缓存实现)。 通过源码分析,可以查看认证只是调用了doGetAuthenticationInfo 接下里的一节将探讨加密算法及怎么实现。
自学-自定义AuthenticationStrategy的验证策略-10
女神的高冷范
12-21 2179
如果进项多个Realm的校验时,第一个Realm验证通过,第二个验证不通过,我们该怎么进行处理呢?这时候我们就应该使用Shiro的验证策略来解决这个问题了。 验证策略有三种: llSuccessFulStrategy:所有Realm验证成功才算成功,且返回所有 Realm身份验证成功的认证信息,如果有一个失败就失败了。 AtLeastOneSuccessFulAtrategy:
自学-Shiro中密码比对-07
女神的高冷范
12-17 1646
大家应该都知道涉及到任何一个项目,登录的密码是不会采用明文的方式进行存储的,都经过严格的加密方式来存储密码。 但是在前面的学习中,因为没有使用数据库来存放登录的用户名和密码信息,但是我们怎么才知道前台传过来的密码到底是采用什么方式呢,我们怎么来改变现有的方式来对密码进行严格的加密呢? 现在我们先来通过打断点的方式来获取加密的方式吧。 回想前几节中前台传入的用户名和密码是封装到了Usernam
thymeleaf-extras-shiro
04-11
'b'thymeleaf-extras-shiro'是一个Thymeleaf模板引擎的扩展,用于和Apache Shiro安全框架集成,方便在Thymeleaf模板中显示和控制用户的身份验证和授权信息。'
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值