shiro的具体认证流程

最新推荐文章于 2024-05-11 03:41:20 发布
最新推荐文章于 2024-05-11 03:41:20 发布
阅读量1.8k 收藏 5
点赞数 3
分类专栏: shiro 文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43061290/article/details/120414539
版权

在这里插入图片描述

以后一般继承 AuthorizingRealm(授权)即可;其继承了 AuthenticatingRealm(即身份验证),而且也间接继承了 CachingRealm(带有缓存实现)

package com.baizhi.springboot_shiro.shiro.realms;

import com.baizhi.springboot_shiro.entity.Perms;
import com.baizhi.springboot_shiro.entity.Role;
import com.baizhi.springboot_shiro.entity.User;
import com.baizhi.springboot_shiro.service.UserService;
import com.baizhi.springboot_shiro.shiro.salt.MyByteSource;
import com.baizhi.springboot_shiro.utils.ApplicationContextUtil;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
import org.apache.shiro.util.CollectionUtils;
import org.springframework.util.ObjectUtils;

import java.util.List;

public class CustomerRealm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("调用授权验证");
        //获取身份信息
        String primaryPrincipal = (String) principals.getPrimaryPrincipal();
        //根据主审分信息获取角色和权限
        UserService userService = (UserService) ApplicationContextUtil.getBean("userService");
        User user = userService.findRolesByUserName(primaryPrincipal);
        if (!CollectionUtils.isEmpty(user.getRoles())){
            SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
            user.getRoles().forEach(role -> {
             simpleAuthorizationInfo.addRole(role.getName());

                //权限信息
                List<Perms> perms = userService.findPermsByRoleId(role.getId());
                if (!CollectionUtils.isEmpty(perms)){
                    perms.forEach(perm -> {
                        simpleAuthorizationInfo.addStringPermission(perm.getName());
                    });
                }
            });
            return simpleAuthorizationInfo;
        }
//        if ("xiaochen".equals(primaryPrincipal)){
//            SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
//            simpleAuthorizationInfo.addRole("admin");
//            return simpleAuthorizationInfo;
//        }
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String principal = (String) token.getPrincipal();
        UserService userService = (UserService) ApplicationContextUtil.getBean("userService");
        User user = userService.findByUsername(principal);
        if (!ObjectUtils.isEmpty(user)) {
//            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), new MyByteSource(user.getSalt()), this.getName());
            return new SimpleAuthenticationInfo(user.getUsername(),user.getPassword(), new MyByteSource(user.getSalt()),this.getName());
        }

        return null;
    }
}
  1. 自定义Realm继承AuthorizingRealm
  2. 使用doGetAuthenticationInfo方法经行认证
  3. 通过传入的token获取principal用户名
  4. 使用principal查找数据库获取user对象
  5. 调用SimpleAuthenticationInfo方法构造SimpleAuthenticationInfo对象并且返回
  6. 最后自定义的Realm的父类AuthenticatingRealm执行getAuthenticationInfo方法中的assertCredentialsMatch进行密码验证
    public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        AuthenticationInfo info = getCachedAuthenticationInfo(token);
        if (info == null) {
            //otherwise not cached, perform the lookup:
            info = doGetAuthenticationInfo(token);
            log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);
            if (token != null && info != null) {
                cacheAuthenticationInfoIfPossible(token, info);
            }
        } else {
            log.debug("Using cached authentication info [{}] to perform credentials matching.", info);
        }

        if (info != null) {
            assertCredentialsMatch(token, info);
        } else {
            log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);
        }

        return info;
    }



    protected void assertCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) throws AuthenticationException {
        CredentialsMatcher cm = getCredentialsMatcher();
        if (cm != null) {
            if (!cm.doCredentialsMatch(token, info)) {
                //not successful - throw an exception to indicate this:
                String msg = "Submitted credentials for token [" + token + "] did not match the expected credentials.";
                throw new IncorrectCredentialsException(msg);
            }
        } else {
            throw new AuthenticationException("A CredentialsMatcher must be configured in order to verify " +
                    "credentials during authentication.  If you do not wish for credentials to be examined, you " +
                    "can configure an " + AllowAllCredentialsMatcher.class.getName() + " instance.");
        }
    }

在这里插入图片描述
身份认证流程
在这里插入图片描述

流程如下:

首先调用 Subject.login(token) 进行登录,其会自动委托给 Security Manager,调用之前必须通过 SecurityUtils.setSecurityManager() 设置;
SecurityManager 负责真正的身份验证逻辑;它会委托给 Authenticator 进行身份验证;
Authenticator 才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自定义插入自己的实现;
Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证,默认 ModularRealmAuthenticator 会调用 AuthenticationStrategy 进行多 Realm 身份验证;
Authenticator 会把相应的 token 传入 Realm,从 Realm 获取身份验证信息,如果没有返回 / 抛出异常表示身份验证成功了。此处可以配置多个 Realm,将按照相应的顺序及策略进行访问。

参考他人的方法
https://blog.csdn.net/a739260008/article/details/108457418
参考他人的csdn添加链接描述

拉格朗日(Lagrange)
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
shiro架构&认证 -Shiro
qq_43409973的博客
03-22 780
shiro架构&认证 -Shiro
Shiro 认证过程
weixin_43145065的博客
10-19 146
Shiro 认证过程
Shiro认证过程
weixin_43319635的博客
12-06 189
1.身份认证流程 获取当前的 Subject. 调用 SecurityUtils.getSubject(); 测试当前的用户是否已经被认证. 即是否已经登录. 调用 Subject 的 isAuthenticated() 若没有被认证, 则把用户名和密码封装为 UsernamePasswordToken 对象 首先调用 Subject.login(token) 进行登录,其会自动委托给Secu...
2024年最全Shiro安全框架——【快速入门、登录拦截、用户认证,原理讲解
最新发布
2401_84302583的博客
05-11 609
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。
一文读懂 Shiro 登录认证流程
csdn565973850的博客
09-14 4997
一起跟着源码看 Shiro 的登录认证流程
Shiro框架:Shiro用户登录认证流程源码解析
博客园
01-14 1298
Shiro作为一款比较流行的登录认证、访问控制安全框架,被广泛应用在程序员社区;Shiro登录认证、访问控制、Session管理等流程内部都是委托给SecurityManager安全管理器来完成的,SecurityManager安全管理器上篇文章已经进行了详细解析,详见:Shiro框架:Shiro SecurityManager安全管理器解析-CSDN博客,在此基础上,本篇文章继续对Shiro关联链路处理流程之一---登录认证流程进行解析;
shiro——认证
08-05
通过理解并熟练运用Shiro认证流程,我们可以有效地保护应用免受非法访问,确保用户数据的安全。在实际开发中,结合具体的业务场景,我们可以定制化 Realm 和凭证匹配器,以满足复杂的安全需求。
shiro权限认证和授权
02-26
Apache Shiro是一个强大且易用的Java安全框架,它提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用程序。在本文中,我们将深入探讨Shiro的核心概念,包括权限认证和授权,以及如何在实际...
Springboot shiro认证授权实现原理及实例
08-19
Springboot shiro 认证授权实现原理及实例 作为一款流行的 Java 框架,Spring Boot 提供了许多插件来支持开发过程,而 Shiro 则是一个功能强大的身份验证和授权框架。下面,我们将详细介绍 Spring Boot 中如何使用 ...
shiro认证.docx
06-23
然后,我们需要创建一个 `shiro.xml` 配置文件,用于定义 Shiro具体行为。在这个配置文件中,我们可以自定义 Realm(域), Realm 是 Shiro 与应用数据源交互的桥梁,负责验证用户凭证。例如: ```xml ...
CAS+Shiro实现认证授权
11-15
本文将深入探讨如何使用Apache Shiro和Central Authentication Service(CAS)来实现高效的用户认证与授权。这两个工具都是在Java环境中广泛使用的安全框架,它们能帮助开发者构建安全、健壮的Web应用。 首先,...
Shiro认证流程和鉴权流程
qq_35987642的博客
09-01 653
1> 将需要登陆的账号和密码封装成UsernamePasswordToken 2> 从SecurityUtils中获取Subject对象,然后调用login方法,然后把token作为参数传入 3> 调用subject.login()之后,会交给SecurityManager进行请求的处理 4> 安全管理器SecurityManager会把请求转发给认证器Authenticator 5> 认证器 Authenticator 会调用Realm中的方法并把token...
shiro 身份认证 流程图讲解
a3060858469的博客
06-18 2622
身份认证流程图的描述:
权限认证框架---Shiro
qq_60067835的博客
12-07 1018
带你从0到1开始学习安全认证框架,采用图文结合和案例分析的模式,实操体验认证流程
通俗易懂的Shiro教程(含配套资料)
07-21
本教程为授权出品教程Apache Shiro 是目前使用率较高的一个 Java 安全框架。本视频基于 Shiro 的新版本 1.3.2 录制。内容涵盖 Shiro 认证、加密、授权、安全标签、安全注解、会话管理、缓存、Rememberme 等 JavaEE 企业级开发的核心技术。视频讲授过程中通过分析源代码使学员知其然更知其所以然。
shiro权限认证及授权的执行流程分析及图解
u014748504的博客
09-28 2572
(配置文件请看下一个博客) https://blog.csdn.net/weixin_41716049/article/details/84336669 https://blog.csdn.net/weixin_41716049/article/details/84336696 为了颜色标识注释,前面没有使用代码框,多多担待 《一,认证》 1.先建两个class文件 一个写AuthRealm (授权与认证方法,并继承)extendsAuthorizingRealm 获取其默认方...
shiro认证过程
ITWANGBOIT的博客
10-11 2427
下图为调用subject.login()方法进行登录认证时的方法调用过程。 大致过程为: 1:当调用subject.login方法时,实际上调用的是SecurityManager的login方法。 2:SecurityManager里有个Authenticator(即认证器),SecurityManager会将认证动作交给认证器,认证器可以设置认证策略(这里不说)。 3:Securit...
Shiro用户认证和用户授权流程
跨语言,跨平台,跨应用
05-16 7542
有时候觉得‘如约而至’是个多么美好的词,等的很辛苦,却不辜负。——《匿名》 1、引言 传统权限管理使用基于url拦截的权限管理方式,实现起来比较简单,不依赖框架,使用web提供filter就可以实现。但是这种方式存在问题,需要将将所有的url全部配置到xml中起来,有些繁琐,不易维护,url(资源)和权限表示方式不规范。 shiro是apache的一个开源框架,是一个权限管理的框...
Shiro】Apache Shiro架构之权限认证(Authorization)
热门推荐
武哥聊编程
07-03 1万+
上一篇博文总结了一下Shiro中的身份认证,本文主要来总结一下Shiro中的权限认证(Authorization)功能,即授权。如下: 本文参考自Apache Shiro的官方文档:http://shiro.apache.org/authorization.html。 本文遵循以下流程:先介绍Shiro中的权限认证,再通过一个简单的实例来具体说明一下API的使用(基于maven)。 1
shiro认证过程,怎样做才会走realm的认证方法
05-26
要使Shiro走Realm的认证方法,需要在Shiro的配置文件中配置Realm。具体步骤如下: 1. 创建自定义的Realm类,该类需要继承org.apache.shiro.realm.AuthenticatingRealm类,并实现其doGetAuthenticationInfo...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

拉格朗日(Lagrange)

手敲不易,谢谢各位老板,打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值