4.Shiro认证分析和流程及实现

最新推荐文章于 2022-04-25 07:51:58 发布
最新推荐文章于 2022-04-25 07:51:58 发布
阅读量99 收藏
点赞数
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36468169/article/details/100904252
版权

1.shiro认证的全过程

 

1. 获取当前的 Subject. 调用 SecurityUtils.getSubject();
2. 测试当前的用户是否已经被认证. 即是否已经登录. 调用 Subject 的 isAuthenticated() 
3. 若没有被认证, 则把用户名和密码封装为 UsernamePasswordToken 对象
   1). 创建一个表单页面
   2). 把请求提交到 SpringMVC 的 Handler
   3). 获取用户名和密码. 
4. 执行登录: 调用 Subject 的 login(AuthenticationToken) 方法. 
5. 自定义 Realm 的方法, 从数据库中获取对应的记录, 返回给 Shiro.
   1). 实际上需要继承 org.apache.shiro.realm.AuthenticatingRealm 类
   2). 实现 doGetAuthenticationInfo(AuthenticationToken) 方法. 
6. 由 shiro 完成对密码的比对. 

2.shiro认证Realm部分代码

(1)表单(这里表单url请求必须要有权限,没有就去application.xml设置:/shiro/login = anon)

 <form action="shiro/login" method="post">
   
       用户名:<input type="text" name="username"/>
       <br><br>
        密码:	<input type="password" name="password">
        <br><br>
        <input type="submit" value="submit" />
   </form>

(2)后台controller

package com.yang.shiro.realm;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;

@Controller
@RequestMapping("/shiro")
public class ShiroHandle {

	private static final transient Logger log = LoggerFactory.getLogger(ShiroHandle.class);
	
	@RequestMapping("/login")
	public String login(@RequestParam("username") String username,
			@RequestParam("password") String password) {
		
		 // 获取当前的 Subject. 调用 SecurityUtils.getSubject();
        Subject currentUser = SecurityUtils.getSubject();
     // let's login the current user so we can check against roles and permissions:
        // 测试当前的用户是否已经被认证. 即是否已经登录. 
        // 调动 Subject 的 isAuthenticated() 
        if (!currentUser.isAuthenticated()) {
        	// 把用户名和密码封装为 UsernamePasswordToken 对象
            UsernamePasswordToken token = new UsernamePasswordToken("username", "password");
            // rememberme
            token.setRememberMe(true);
            try {
            	System.out.println("1:"+token.hashCode());
            	// 执行登录. 
                currentUser.login(token);
            } 
            // 所有认证时异常的父类. 
            catch (AuthenticationException ae) {
                System.out.println("登录失败!");
            }
        }
		return "redirect:/list.jsp";
		
	}
}

3.把提交的token传递给Realm

package com.yang.shiro.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.realm.AuthenticatingRealm;

public class ShiroRealm extends AuthenticatingRealm {

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		// TODO Auto-generated method stub
		System.out.println("2:"+token.hashCode());
		System.out.println("token:"+token);
		//1.把AuthenticationToken 转换为 UsernamePasswordToken
		UsernamePasswordToken upToken = (UsernamePasswordToken) token;
		//2.从 UsernamePasswordToken 中来获取username
		String username = upToken.getUsername();
		//3.调用数据库的方法从数据库中查询 username 对应的用户记录,这里就不获取了
		System.out.println("从数据库中获取username:" + username + "所对应的用户信息。");
		//4.若用户信息不存在,则可抛出 UnknownAccountException 异常
		if("unknown".equals(username)) {
			throw new UnknownAccountException("用户不存在!");
		}
		//5.根据用户信息的情况,决定是否需要抛出其它的  AuthenticationException  异常
		if("monster".equals(username)) {
			throw new LockedAccountException("用户被锁定!");
		}
		//6.根据用户的情况,来构建 AuthenticationInfo 对象并返回,通常使用的实现类:SimpleAuthenticationInfo
		//以下信息是从数据库中获取的。
		//(1)principal:认证的实体信息。可以是username,也可以是数据表对应的用户的实体类对象
		Object principal = username;
		//(2)credentials:密码
		Object credentials = "123456";
		//(3)realmName:当前realm对象的name,调用父类的getName()方法即可
		String realmName = getName();
		System.out.println("realmName:" + realmName);
		SimpleAuthenticationInfo  info = new SimpleAuthenticationInfo(principal, 
                                                              credentials, realmName); 
		return info;
	}
}

 

qq_36468169
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro认证授权
08-03
通过分析和运行 `shiro-demo`,你可以更好地理解 Shiro 的实际应用场景,并学习如何在自己的项目中使用 Shiro 实现认证和授权功能。 总结,Apache Shiro 是一个功能丰富的安全框架,能够轻松处理认证、授权、加密和...
SpringBoot + Shiro + Vue 实现权限管理系统.zip
03-23
总结来说,"SpringBoot + Shiro + Vue 实现权限管理系统"是一个涵盖了软件开发全流程的实战项目,从需求分析、系统设计到编码实现、测试部署,为学习者提供了一个全面了解和掌握现代Web开发技术的平台。通过这个项目...
第八章 拦截器机制——《跟我学Shiro
jinnianshilongnian的专栏
03-05 1369
  目录贴: 跟我学Shiro目录贴   8.1 拦截器介绍 Shiro使用了与Servlet一样的Filter接口进行扩展;所以如果对Filter不熟悉可以参考《Servlet3.1规范》http://www.iteye.com/blogs/subjects/Servlet-3-1了解Filter的工作原理。首先下图是Shiro拦截器的基础类图: 1、NameableFilte...
Shiro框架基本知识及应用
qq_46416934的博客
04-25 1167
1. Shiro 基本知识 1. 目前市面主流的安全框架: shiro:轻量级的,使用很方便,灵活,是apache提供的,在任何框架的 SpringSecurity:是Spring家族的一部分,很多项目中会使用spring全家桶,相对与shiro来说,springSecurity更重量级,必须要求spring环境;相对shiro而言,功能更强大 2. 什么是Shiro Shiro是apache旗下一个开源安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证、权限授权、加密、会话管理等功能
Shiro-认证思路分析认证流程实现
qq_36722039的博客
12-13 360
1、获取当前的Subject。调用SecurityUtils.getSubject(); 2、测试当前的用户是否已经被认证。即是否已经登录。调用Subject的isAuthenticated() 3、若没有被认证,则把用户名和密码封装为UsernamePasswordToken对象     1)创建一个表单页面     2)把请求提交到SpringMVC的Handler     3)获取用户名和密...
shiro进行身份验证的流程
qq_38930240的博客
01-28 601
1.Subject.login(token)  ,委托SecurityManager,所有使用前要用SecurityUtils.setSecurityManager(),设置安全管理者 2.SecurityManager委托给Authenticator进行身份验证 3、Authenticator 才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自 定义插入自己的实...
shiro认证流程
蓄势待发
04-24 400
shiro-web认证流程 一、认证流程 访问Controller接口,获取Subject对象,实现UsernamePasswordToken,调用subject对象login方法,进入AuthenticationRealm对象中的getAuthenticationInfo方法中。 先判断缓存中是否存在认证信息,若没有跳转到自定义Realm【注册到SubjectManager中[并且在Realm中配置加密策略]】的doGetAuthenticationInfo中,通过token获取用户名调用数据库获取用户
shiro-web-master.zip
08-21
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常方便地为应用程序提供全面的安全控制。在"shiro-web-master.zip"这个压缩包中,我们很显然将要深入学习Shiro在Web...
Shiro 视频教程+源码+课件
08-29
内容涵盖 Shiro 认证、加密、授权、安全标签、安全注解、会话管理、缓存、Rememberme 等 JavaEE 企业级开发的核心技术。视频讲授过程中通过分析源代码使学员知其然更知其所以然。 【课程内容】 第一章 问候 Shiro ...
shiro认证授权的过程
05-01
Shiro认证和授权流程主要集中在`DefaultSubjectExecutor`、`AuthenticationManager`、`AuthorizingRealm`等类中。这些类通过回调接口和事件驱动的方式协调工作。 **4. 工具使用** Shiro 提供了一些工具类和配置...
Shiro认证过程--源码分析
↓ ↓ ↓ ↓
03-14 5242
Shiro认证过程源码分析这篇文章会根据源码分析一下Shiro实现认证的过程,(不涉及Shiro的Filter对url的处理,只从Subject的login()方法开始分析)注: 配置文件和代码都放在文章最下面准备工作:1.login.jsp: 登录界面,用户在此输入username和password 2.success.jsp: 登录成功的界面3.LoginController: 接收login...
Shiro认证流程详解(源码分析)
dh554112075的博客
06-03 400
Shiro认证流程详解 首先,我们调用subject.login(token); 我们将进入到Subject实现类DelegatingSubject的login方法 可以看到,又继续调用与Subject绑定的SecurityManager的login方法,因为它是Shiro的管家,所以请求会到它这里 程序继续来到SecurityManager的实现类DefaultSecurityManager的...
Shiro入门 -- 认证过程详解
zhouth94的博客
05-19 440
1、Shiro认证流程
shiro学习笔记4——认证流程+授权流程
xinpz的博客
08-03 635
shiro第二天 shiro授权 shiro和企业项目整合开发   1 复习   什么是权限管理? 权限管理是系统的安全范畴,要求必须是合法的用户才可以访问系统(用户认证),且必须具有该 资源的访问权限才可以访问该 资源(授权)。 认证:对用户合法身份的校验,要求必须是合法的用户才可以访问系统。 授权:访问控制,必须具有该 资源的访问权限才可以访问该 资源。   权限模型:标准权...
shiro认证及授权的执行流程分析及图解(一)
有一种信仰叫海阔天空
04-06 5397
一,认证 1、先建两个class文件 ①、一个写AuthRealm (授权与认证方法,并继承)extends AuthorizingRealm获取其默认方法doGetAuthorizationInfo(授权方法)doGetAuthenticationInfo(认证方法) ②、一个写PasswordMatcher(密码验证器,并继承)extends SimpleCredentia...
shiro的具体认证流程
拉格朗日的学习笔记
09-22 1894
以后一般继承 AuthorizingRealm(授权)即可;其继承了 AuthenticatingRealm(即身份验证),而且也间接继承了 CachingRealm(带有缓存实现) package com.baizhi.springboot_shiro.shiro.realms; import com.baizhi.springboot_shiro.entity.Perms; import com.baizhi.springboot_shiro.entity.Role; import com.bai.
shiro权限认证及授权的执行流程分析及图解(一)
热门推荐
11-22 3万+
(配置文件请看下一个博客) https://blog.csdn.net/weixin_41716049/article/details/84336696 为了颜色标识注释,前面没有使用代码框,多多担待 《一,认证》 1.先建两个class文件 一个写AuthRealm (授权与认证方法,并继承)extends AuthorizingRealm 获取其默认方法doGetAu...
分包合同计量单.docx
最新发布
07-13
分包合同计量单.docx
树莓派简介PPT课件.ppt
07-13
树莓派简介PPT课件.ppt
基于SpringBoot+PF4J+Shiro的发票管理系统设计与实现.docx
11-06
"基于SpringBoot+PF4J+Shiro的发票管理系统设计与实现"的论文详细探讨了构建这样一个系统的各个方面,包括核心技术的介绍、系统设计与实现流程以及系统的安全性和可扩展性。以下是各章节的主要知识点: 1. 第一章...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值