03-2 shiro身份验证

最新推荐文章于 2023-03-14 17:20:55 发布
最新推荐文章于 2023-03-14 17:20:55 发布
阅读量356 收藏
点赞数
分类专栏: shiro 鉴权中心 文章标签: 鉴权中心 shiro 身份验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34231253/article/details/82772478
版权

03-2 shiro身份验证

  • 在shiro中用户需要提供身份(principals)和证明(credentials)给shiro。从而应用可以验证用户身份。
  • principals:身份,主体的标识属性(用户名)
  • credentials:证明/凭证,只有主体知道的安全值(密码)
  • Subject:主体
  • Realm:数据源
本篇内容:
  • 1、通过ini身份验证
  • 2、身份验证流程
  • 3、使用realm身份验证
  • 4、使用多个realm身份验证
  • 5、使用数据库身份验证
本篇demo项目结构
01-check
    |---01-check-demo
    |---02-check-realm
    |---03-check-realm-more
    |---04-check-jdbc

一、环境搭建

  • 采用maven的方式创建

1、添加pom依赖

    <dependencies>
        <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <version>4.9</version>
        </dependency>
        <dependency>
            <groupId>commons-logging</groupId>
            <artifactId>commons-logging</artifactId>
            <version>1.1.3</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.2.2</version>
        </dependency>
    </dependencies>

二、简单使用身份验证:

2.1、创建项目:01-check-demo

2.2、创建用户身份和凭证文件:shiro.ini

  • 文件路径:在resource文件夹中
[users]
zhang=123
wang=123

2.3、身份校验

package com.check;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;
/**
 * @author brusion
 * @date 2018/9/15
 */
public class ShiroApplication {
    @Test
    public void shiroTest() {
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager manager = factory.getInstance();
        SecurityUtils.setSecurityManager(manager);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");
        try {
            subject.login(token);
            System.out.println("=== 登录成功 === ");
        } catch (Exception e) {
            System.out.println("=== 登录失败 === ");
        }
        subject.logout();
    }
}

2.4、测试结果

--- 登录成功 ---

2.5、API说明

2.5.1、Factory工厂类
Factory
|---JndiObjectFactory
|---AbstractFactory
    |---IniFactorySupport
        |---IniSecurityManagerFactory
2.5.2、SecurityManager接口对象
interface SecurityManager extends Authenticator, Authorizer, SessionManager {
    Subject login(Subject var1, AuthenticationToken var2) throws AuthenticationException;
    void logout(Subject var1);
    Subject createSubject(SubjectContext var1);
}
2.5.3、SecurityUtils工具类
public abstract class SecurityUtils {
    private static SecurityManager securityManager;
    public SecurityUtils() ;
    public static Subject getSubject();
    public static void setSecurityManager(SecurityManager securityManager);
    public static SecurityManager getSecurityManager();
}
2.5.4、UsernamePasswordToken
Serializable
    |---AuthenticationToken
        |---HostAuthenticationToken
            |---UsernamePasswordToken
        |---RememberMeAuthenticationToken
            |---UsernamePasswordToken

三、shiro的身份认证流程

  • 1、调用Subject#login(token)进行登录,会自动委托给Security Manager。(调用前需要设置SecurityManager)
  • 2、SecurityManager负责身份验证逻辑,并委托给Authenticator进行身份验证(Authenticator是真正的身份验证者)
  • 3、Authenticator会委托给相应的AuthenticationStrategy进行多Realm身份验证。(默认ModularRealmAuthenticator会调用AuthenticatorStrategy进行Realm身份验证)
  • 4、Authenticator会把相应的token传入Realm,从Realm获取身份验证信息。如果没有对应信息则抛出异常。

四、使用realm作为数据源

1、创建自定义Realm

  • 理解为将用户的账号和密码没有用ini文件的方式,而是采用自定义realm方式配置数据
package com.check;
import org.apache.shiro.authc.*;
import org.apache.shiro.realm.Realm;
/**
 * @author brusion
 * @date 2018/9/15
 */
public class SingleRealm implements Realm {
    @Override
    public String getName() {
        return getClass().getName();
    }
    @Override
    public boolean supports(AuthenticationToken token) {
        //只支持UsernamePasswordToken类型的token
        return token instanceof UsernamePasswordToken;
    }
    @Override
    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //获取用户名和密码
        String name = (String) token.getPrincipal();
        String pwd = new String((char[]) token.getCredentials());
        if (!"zhang".equals(name)) {
            throw new UnknownAccountException("账号不存在..");
        }
        if (!"123".equals(pwd)) {
            throw new IncorrectCredentialsException("密码错误...");
        }
        //身份校验成功返回AuthenticationInfo实现类
        return new SimpleAuthenticationInfo(name, pwd, getName());
    }
}

2、创建配置文件:shiro_realm.ini

  • 文件路径:resource
myRealm=com.check.SingleRealm
securityManager.realms=$myRealm
说明:
  • myRealm=com.check.SingleRealm:声明自定义realm
  • securityManager.realms=$myRealm:指定SecurityManager的Realm实现类

3、身份校验

package com.check;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;
/**
 * @author brusion
 * @date 2018/9/15
 */
public class RealmApplication {
    @Test
    public void realmTest(){
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro_realm.ini");
        SecurityManager manager = factory.getInstance();
        SecurityUtils.setSecurityManager(manager);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("zhang","123");
        try {
            subject.login(token);
            System.out.println("=== 登录成功 === ");
        } catch (Exception e) {
            System.out.println("=== 登录失败 === ");
        }
        subject.logout();
    }
}

4、测试结果

=== 登录成功 ===

五、多个realm方式数据配置

1、创建项目:03-check-realm-more

2、创建自定义Realm类 realm1

package com.check.realm;
import org.apache.shiro.authc.*;
import org.apache.shiro.realm.Realm;
/**
 * @author brusion
 * @date 2018/9/15
 */
public class Realm1 implements Realm {
    @Override
    public String getName() {
        return getClass().getName();
    }
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof UsernamePasswordToken;
    }
    @Override
    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String name = (String) token.getPrincipal();
        String pwd = new String((char[]) token.getCredentials());
        if (!"zhang".equals(name)) {
            throw new UnknownAccountException("账号错误");
        }
        if (!"123".equals(pwd)) {
            throw new IncorrectCredentialsException("密码错误");
        }
        return new SimpleAuthenticationInfo(name, pwd, getName());
    }
}

3、自定义realm类realm2

package com.check.realm;
import org.apache.shiro.authc.*;
import org.apache.shiro.realm.Realm;
/**
 * @author brusion
 * @date 2018/9/15
 */
public class Realm2 implements Realm {
    @Override
    public String getName() {
        return getClass().getName();
    }
    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof UsernamePasswordToken;
    }
    @Override
    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String name = (String) token.getPrincipal();
        String pwd = new String((char[]) token.getCredentials());
        if (!"san".equals(name)) {
            throw new UnknownAccountException("账号错误");
        }
        if (!"456".equals(pwd)) {
            throw new IncorrectCredentialsException("密码错误");
        }
        return new SimpleAuthenticationInfo(name, pwd, getName());
    }
}

4、创建配置文件:shiro_more_realm.ini

  • 文件地址路径:放在resource下
myRealm1= com.check.realm.Realm1
myRealm2= com.check.realm.Realm2
securityManager.realms=$myRealm1,$myRealm2

5、验证身份

package com.check;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;
/**
 * 多个realm数据源
 *
 * @author brusion
 * @date 2018/9/15
 */
public class MoreRealmApplication {
    @Test
    public void moreRealmTest() {
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro_more_realm.ini");
        SecurityManager manager = factory.getInstance();
        SecurityUtils.setSecurityManager(manager);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("san", "456");
        try {
            subject.login(token);
            System.out.println("== 登录成功 ===");
        } catch (Exception e) {
            System.out.println("== 登录失败 ===");
        }
        subject.logout();
    }
}

6、测试运行

== 登录成功 ===

六、从数据库中获取数据源

  • 前面几个demo中的数据都是从ini文件或者realm中获取,实际项目中数据都是从数据库中获取
  • 本案例采用jdbc方式连接获取数据库中数据并进行数据校验

1、数据库表创建

drop database if exists shiro;
create database shiro;
use shiro;
create table users (
  id bigint auto_increment,
  username varchar(100),
  password varchar(100),
  password_salt varchar(100),
  constraint pk_users primary key(id)
) charset=utf8 ENGINE=InnoDB;
create unique index idx_users_username on users(username);
create table user_roles(
  id bigint auto_increment,
  username varchar(100),
  role_name varchar(100),
  constraint pk_user_roles primary key(id)
) charset=utf8 ENGINE=InnoDB;
create unique index idx_user_roles on user_roles(username, role_name);
create table roles_permissions(
  id bigint auto_increment,
  role_name varchar(100),
  permission varchar(100),
  constraint pk_roles_permissions primary key(id)
) charset=utf8 ENGINE=InnoDB;
create unique index idx_roles_permissions on roles_permissions(role_name, permission);
insert into users(username,password)values('zhang','123');

2、项目创建:04-check-jdbc

3、pom中添加数据库连接库配置

 <dependencies>
        <!--数据库连接池-->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>5.1.25</version>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid</artifactId>
            <version>0.2.23</version>
        </dependency>
    </dependencies>

4、创建配置文件

jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
dataSource=com.alibaba.druid.pool.DruidDataSource
dataSource.driverClassName=com.mysql.jdbc.Driver
dataSource.url=jdbc:mysql://localhost:3306/shiro
dataSource.username=root
dataSource.password=123123
jdbcRealm.dataSource=$dataSource
securityManager.realms=$jdbcRealm

5、身份验证

package com.check;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;
/**
 * @author brusion
 * @date 2018/9/15
 */
public class JDBCApplication {
    @Test
    public void jdbcTest(){
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro_jdbc_realm.ini");
        SecurityManager manager = factory.getInstance();
        SecurityUtils.setSecurityManager(manager);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");
        try {
            subject.login(token);
            System.out.println("== 登录成功 ===");
        } catch (Exception e) {
            System.out.println("== 登录失败 ===");
        }
        subject.logout();
    }
}

6、运行测试

== 登录成功 ===
潜水艇_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于spring boot 2和shiro实现身份验证案例
08-19
主要介绍了基于spring boot 2和shiro实现身份验证案例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Boot (十四): Spring Boot 整合 Shiro-登录认证和权限管理
weixin_33834137的博客
06-28 228
这篇文章我们来学习如何使用 Spring Boot 集成 Apache Shiro 。安全应该是互联网公司的一道生命线,几乎任何的公司都会涉及到这方面的需求。在 Java 领域一般有 Spring Security、 Apache Shiro 等安全框架,但是由于 Spring Security 过于庞大和复杂,大多数公司会选择 Apache Shiro 来使用,这篇文章会先介绍一下 Apache...
Shiro中new String((char[])token.getCredentials());与 token.getCredentials().toString();的区别
u013456370的专栏
11-28 8541
String password = new String((char[])token.getCredentials()); 以上:这个可以正常通过测试! String password = token.getCredentials().toString(); 报错: org.apache.shiro.authc.IncorrectCredentialsException at com.a
shiro(权限开元轻量级框架)
anhldd的博客
12-23 808
什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统, 分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。 在应用程序角度来观察如何使用Shiro完成工作(图01) ini文件 Subject:主体,代表了当...
Shiro身份认证流程
m0_73875507的博客
03-14 90
Subject把标识token交给SecurityManager,在SecurityManager安全中心中,SecurityManager把标识token委托给认证器;认证器的作用一般是用来指定如何验证,它规定本次认证用到哪些Realm;认证器Authenticator将传入的标识token,与数据源Realm对比,验证token是否合法。Shiro把用户的数据封装成标识tokentoken一般封装着用户名,密码等信息;使用Subject门面获取到封装着用户的数据的标识token
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
shiro整理2-----介绍Shiro 身份验证
m0_67391401的博客
03-28 452
一、shiro身份验证的基本概念: (1)身份验证: 这就不多说了,给shiro传递【身份+证明】,就可以进行验证。 (2)身份 粗浅的说,相当于账户。比如手机号、邮箱、用户名这些。 准确的说,相当于身份。 shiro中把这个封装成了【principals】 (3)证明 证明其实就是密码。 shiro中把这个封装成了【credentials】 二、实例使用 接下来,看看如何使用shiro进行身份验证。 (1)环境准备 maven引入,这个不解释了。 <dependency>
Apache Shiro身份验证绕过漏洞(CVE-2020-13933)
07-17
直接使用java -jar srping....war命令运行即可 执行之后,访问http://主机的IP:8888/admin/*或者http://主机的IP:8888/login
angular-shiro, 身份验证,授权和会话管理.zip
09-18
angular-shiro, 身份验证,授权和会话管理 角 shiroangular-shiro 是试图将 Apache引入到 AngularJS世界中。什么事?angular-shiro 是从这样简单的需求中产生如果用户不是管理员管理员,那么这个按钮必须是不可用的...
shiro身份验证、授权
04-22
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理.本资源用于简单的登录验证及授权功能,有配置文件、先关jar包及工具类
Shiro 身份验证、授权、密码和会话管理
05-07
使用Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序
shiro入门(一)身份验证
全场梦游c的博客
02-06 315
一、简介 Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。 本教程只介绍基本...
Shiro身份认证(principals-credentials)
沐沐
11-03 3883
身份认证        在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份. principals:身份即主体的标识属性,可以是任何东西.如用户名,邮箱等.唯一即可.一个主体可以有多个principals,但只有一个Primary principals,一般是用户名/密码/手机号。 credentials:证明/凭证,即只有
shiro原理
qingfeng2556的博客
05-04 5345
principals即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。credentials是证明/凭证,即只有主体知道的安全值,如密码/数字证书等。最常见的principals和credentials组合就是用户/密码了。 下面我们来看一个认证的例子,由于我们是用maven构建的实例,所以需要在pom.xml中添加依赖: ? 1 2
shiro身份验证授权入门
十五楼亮哥
05-22 7969
一、 介绍:shiro是apache提供的强大而灵活的开源安全框架,它主要用来处理身份认证,授权,企业会话管理和加密。 shiro功能:用户验证、用户执行访问权限控制、在任何环境下使用session API,如cs程序。可以使用多数据源如同时使用oracle、mysql。单点登录(sso)支持。remember me服务。详细介绍还请看官网的使用手册:http://shiro.apache.org
Shiro 身份验证
weixin_30947043的博客
03-22 65
身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份 ID 一些标识信息来表明他就是他本人,如提供身份证,用户名 / 密码来证明。 在 shiro 中,用户需要提供 principals (身份)和 credentials(证明)给 shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个 pr...
Shiro的认证和授权过程
weixin_44736853的博客
07-30 2227
认证:是一个身份验证的过程,要证明他们的身份,需要提供principals(身份)和credentials(凭证)。身份有多种,包括邮箱,账号等能表示subject身份的信息,凭证有密码,指纹,数字证书等。一般就是登录,获取账号和密码。 认证过程主要分为三步: step1:收集subject的principals(身份)和credentials(凭证) 1.首先拿到当前currentUser, Subject currentUser = SecurityUtils.getSubject(); 1.1利用c
跟着王进老师学开发之C#篇第五季:图书管理系统
12-12
本季视频通过完整的案例介绍了图书管理系统的开发,包含了数据库的设计、界面设计、代码实现等等,本系统的模块包含:系统框架的搭建、数据库访问通用类的编写、登录、图书类别管理、出版社管理、图书管理、会员级别管理、会员管理、办理借书、办理还书、借还书查询、登录日志的查询、管理帐号等等,所有的模块从零开始、由浅入深。对于没有写过产品的程序员的入门有看完本视频会有很大的收获。
java安全框架Apache Shiro 简介
12-05 408
Apache Shiro 是一个框架,可用于身份验证和授权。本文提供了几个示例用来展示如何在 Java™ 应用程序中使用 Shiro 并给出了如何在一个 Grails web 应用程序中使用它的概述。为了从本文中最大限度地受益,您应该习惯于创建 Java 应用程序并安装了如下的几个组件: Java 1.6 JDK Grails(用来运行这些 web 应用程序示例) 常用缩略词
thymeleaf-extras-shiro
最新发布
04-11
'b'thymeleaf-extras-shiro'是一个Thymeleaf模板引擎的扩展,用于和Apache Shiro安全框架集成,方便在Thymeleaf模板中显示和控制用户的身份验证和授权信息。'

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值