Shiro-06-Authentication 身份验证

最新推荐文章于 2024-05-06 16:00:05 发布
最新推荐文章于 2024-05-06 16:00:05 发布
阅读量835 收藏 22
点赞数 18
分类专栏: web 安全 文章标签: 安全 java 架构 开发语言 哈希算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ryo1060732496/article/details/136159084
版权
安全 同时被 2 个专栏收录
18 篇文章 1 订阅
订阅专栏
web
12 篇文章 0 订阅
订阅专栏

Authentication(身份验证)

身份验证是身份验证的过程-也就是说,证明用户实际上就是他们所说的真实身份。

为了使用户证明自己的身份,他们需要提供一些标识信息以及系统可以理解和信任的那种身份证明。

这是通过向Shiro提交用户的主体和凭据来完成的,以查看它们是否与应用程序期望的匹配。

Principals

Principals 是主题的“识别属性”。

Principals 可以是可以识别主题的任何东西,例如名字(姓氏),姓氏(姓氏或姓氏),用户名,社会保险号等。

当然,诸如姓氏之类的东西并不擅长唯一地标识主题,因此用于身份验证的最佳主体对于应用程序是唯一的-通常是用户名或电子邮件地址。

主要主体

尽管Shiro可以代表任意数量的主体,但Shiro希望应用程序具有一个“主要”主体-一个唯一标识应用程序中“主题”的值。

在大多数应用程序中,这通常是用户名,电子邮件地址或全局唯一的用户ID。

Credentials(凭证)

凭证通常是仅由主体知道的秘密值,用作其实际上“拥有”所主张身份的佐证。

凭据的一些常见示例是密码,生物特征数据(例如指纹和视网膜扫描)以及X.509证书。

主体/凭证配对的最常见示例是用户名和密码。

用户名是声明的身份,密码是与声明的身份匹配的证明。

如果提交的密码与应用程序期望的密码匹配,则该应用程序可以在很大程度上假定用户确实是他们所说的那个人,因为没有其他人应该知道相同的密码。

验证主题

验证主题的过程可以有效地分为三个不同的步骤:

  1. 收集主题提交的主体和证书

  2. 提交主体和凭据以进行身份验证。

  3. 如果提交成功,则允许访问,否则重试身份验证或阻止访问。

以下代码演示了Shiro的API如何反映这些步骤:

第一步:收集主题提交的主体和证书

//Example using most common scenario of username/password pair:
UsernamePasswordToken token = new UsernamePasswordToken(username, password);

//"Remember Me" built-in: 
token.setRememberMe(true);

在这种情况下,我们使用的是UsernamePasswordToken,它支持最常用的用户名/密码身份验证方法。这是Shiro的org.apache.shiro.authc.AuthenticationToken接口的实现,该接口是Shiro身份验证系统用来表示提交的主体和凭据的基本接口。

在这里需要注意的重要一点是Shiro不在乎您如何获取此信息:数据可能是由提交HTML表单的用户获取的,或者是从HTTP标头中检索的,或者是从Swing或Flex中读取的GUI密码形式,或通过命令行参数。从应用程序最终用户收集信息的过程与Shiro的AuthenticationToken概念完全脱钩。

您可以随意构造和表示AuthenticationToken实例-它与协议无关。

此示例还表明,我们已表明我们希望Shiro为身份验证尝试执行“记住我”服务。这样可以确保Shiro能够在以后返回应用程序时记住用户身份。我们将在下一章介绍“记住我”服务。

步骤2:提交主体和凭据

在收集了主体和凭据并将其表示为AuthenticationToken实例之后,我们需要将该令牌提交给Shiro来执行实际的身份验证尝试:

Subject currentUser = SecurityUtils.getSubject();

currentUser.login(token);

在获取当前正在执行的Subject之后,我们进行一次登录调用,传入我们之前创建的AuthenticationToken实例。

对登录方法的调用有效地表示身份验证尝试。

步骤3:处理成功或失败

如果登录方法悄悄返回,就可以了-我们完成了! 主题已通过身份验证。

应用程序线程可以不间断地继续运行,对 SecurityUtils.getSubject() 的所有其他调用将返回经过身份验证的Subject实例,以及对subject的任何调用。 isAuthenticated() 将返回true。

但是,如果登录尝试失败怎么办?

例如,如果最终用户提供了错误的密码,或者访问了系统太多次并且可能他们的帐户被锁定了怎么办?

Shiro具有丰富的运行时AuthenticationException层次结构,可以准确说明尝试失败的原因。

您可以将登录信息包装在try/catch块中,并捕获所需的任何异常并对它们做出相应的反应。

例如:

try {
    currentUser.login(token);
} catch ( UnknownAccountException uae ) { ...
} catch ( IncorrectCredentialsException ice ) { ...
} catch ( LockedAccountException lae ) { ...
} catch ( ExcessiveAttemptsException eae ) { ...
} ... catch your own ...
} catch ( AuthenticationException ae ) {
    //unexpected error?
}

//No problems, continue on as expected...

如果现有的异常类之一不能满足您的需求,则可以创建自定义AuthenticationExceptions来表示特定的故障情况。

登录失败提示

尽管您的代码可以对特定的异常做出反应并在必要时执行逻辑,但是安全性最佳做法是仅在发生失败时向最终用户显示通用失败消息,例如“用户名或密码错误”。

这样可确保没有任何特定信息可供尝试攻击媒介的黑客使用。

在这里插入图片描述

老马啸西风
关注
  • 18
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
marathon-shiro-authentication-plugin:用于马拉松的Shiro身份验证插件
04-28
用于身份验证插件 插件基于。 当前,它仅支持身份验证,因此任何经过身份验证的用户都可以执行任何操作。 我正在根据路径,操作和Shiro角色提供细粒度的授权。 使用此插件之前,请始终为您的Marathon实例设置HTTPS。...
Spring-shiro-Boot-3 AuthenticationToken体系
良之才的专栏
03-11 851
登陆认证时,必须要先构造登陆令牌。 在是shiro中,用AuthenticationToken接口来表达登陆令牌。 这里介绍shiro的AuthenticationToken体系,在实际使用中,很多时候需要继承原有令牌实现私有化功能。 一、shiro身份验证的基本概念: (1)身份验证: 这就不多说了,给shiro传递【身份+证明】,就可以进行验证。 (2)身份 粗浅的说,相当于账户。比如手机号、邮箱、用户名这些。 准确的说,相当于身份。 shiro中把这个封装成了【principals】
Shiro--身份验证
吴声子夜歌的博客
02-08 256
身份验证 身份验证: 即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。 在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份: principals: 身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个pri...
shiro-spring-boot-starter
warrah 南极狼
12-10 1209
springboot shiro
Shiro步步为营--Springboot开启身份验证
热门推荐
pengjunlee的博客
07-03 1万+
项目的完整目录层次如下图所示。 项目地址:https://github.com/pengjunlee/shiro-authenticate.git 添加依赖与配置 在本工程中,Shiro使用了Ehchache作缓存,因此需要在工程POM文件中引入它们的Maven依赖。 <parent> <groupId>org.springframework.boot...
Shiro - 安全验证
weixin_45453240的博客
09-25 909
简介 Apache Shiro 是 Java 的一个安全(权限)框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在 JavaEE 环境 Shiro 可以完成:认证、
Shiro-多Realm验证
xiao190128的专栏
09-08 1030
1.多Realm验证   存在这样一种场景,同一个密码可能在MqSQL中存储,也可能在Oracle中存储,有可能MqSQL中使用的是MD5加密算法,而Oracle使用SHA1加密算法。这就需要有多个Realm以及认证策略的问题。      通过查看源码可以看到ModularRealmAuthenticator.class 中的doAuthenticate protected AuthenticationInfo doAuthenticate(AuthenticationToken ..
Shiro--身份验证(二)
weixin_42073629的博客
07-27 150
身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。 在shiro中,用户需要提供principals(身份)和credentials(证明)给shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有一个Primary principals,一般是用户名/密码/手机号。 credentials:证明/凭证.
Shiro - 登陆验证
Yanliang
02-12 310
本文将利用springboot集成shiro进行用户的登陆验证功能的开发实现。 springboot集成shiro需要引入以下依赖 &amp;lt;!-- shiro-spring --&amp;gt; &amp;lt;dependency&amp;gt; &amp;lt;groupId&amp;gt;org.apache.shiro&amp;lt;/groupId&amp;gt; &amp;lt;artifa
Shiro连载-----2.Shiro身份验证
DavidChen的博客
08-13 1155
  身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。 在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principal...
单点登录sso-shiro-cas-maven
10-19
其中shiro.loginUrl 跟 shiro.logoutUrl的前面是cas验证的地址,后面的是我们应用系统的地址,这样配置的方式是为了在访问我们的应用系统的时候,先到cas进行验证,如果验证成功了,cas将重定向到shiro.successUrl ...
spring-boot-shiro:spring-boot-shiro前后端分离实现
05-14
Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。...
Java-Shiro学习思维导图.zip
08-20
Java Shiro 是一个强大且灵活的开源安全框架,用于身份认证、授权和会话管理等安全领域的应用开发。学习 Java Shiro 可以通过思维导图来梳理核心概念和学习路径,以下是一个简要的 Java Shiro 学习思维导图。 Java ...
buji-pac4j:用于Shiro的pac4j安全性库:OAuth,CAS,SAML,OpenID Connect,LDAP,JWT。
01-30
buji-pac4j项目是Shiro Web应用程序和Web服务的简单而强大的安全性库,它支持身份验证和授权,还支持CSRF保护等高级功能。 它基于Java 8,Shiro 1.7和v5 。 它在Apache 2许可下可用。 代表认证机制。 它执行登录过程...
Fortinet的安全愿景SASO概述
最新发布
lurenjia404的博客
05-06 805
FTNT SASE的独特方法,使其成为一家适应性极强的厂商,能够应对不断变化的网络和网络安全环境。FTNT开发了一种名为Secure Access Service Omni(SASO)的变体,以更准确地反映FTNT在融合网络和安全功能方面的实力。我们预计,从长远来看,SASO将逐渐取代SASE。
API安全
2301_76717406的博客
05-01 1785
网络安全,信息(数据)安全,应用安全;机密性完整性可靠性。
域控安全 ----> Ntds.dit文件抓取
huohaowen的博客
05-05 1200
大家还记得内网渗透的初衷吗???找到域馆,拿下域控!!拿下了域控就是拿下了整个域!!但是大家知道拿下域环境之后应该怎么操作吗(灵魂拷问)???那么下面,开始我们今天的内容 NTDS.DIT文件!!
网络安全实训Day16
Yisitelz的博客
04-26 2335
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
shiro-redis 报错NOAUTH Authentication required.
09-05
引用和都提到了"NOAUTH Authentication required"这个错误,它的含义是在连接Redis时没有进行身份验证。这个错误通常出现在使用密码连接Redis时没有提供正确的密码或者没有进行身份验证的情况下。 而引用则提到了在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值