Apache Shiro身份认证(Authentication)

最新推荐文章于 2022-03-11 11:18:11 发布
最新推荐文章于 2022-03-11 11:18:11 发布
阅读量622 收藏 1
点赞数
文章标签: Shiro中的身份认证功能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sanluo11/article/details/60141102
版权

介绍一下Shiro中的身份认证功能,如下:


本文参考自Apache Shiro的官方文档:http://shiro.apache.org/authentication.html

本文遵循以下流程:先介绍Shiro中的身份认证,再通过一个实例来具体说明一下(基于maven)。

-------------------------------------------------------------------------------------------------------------------------------

1. 认证主体(Authenticating Subjects)

Subject认证主体包含2个信息: 
Principals:身份。可以是用户名,邮件,手机号码等等,用来标识一个登录主体身份; 
Credentials:凭证。常见有密码,数字证书等等。

在Shiro中可以在.ini文件中指定一个认证主体,也可以从数据库中取,这里使用.ini文件来写一个简单的认证主体; 
[users]
csdn1=12345
csdn2=12345
可以表示两个用户,账号为csdn1和csdn2,密码都是12345。
-----------------------------------------------------------------------------------------------------------------------------
验证一个主体的方法可以有效地细分为三个不同的步骤: 
Step 1:收集主体提交的身份和凭证; 
Step 2:提交该身份和凭证; 
Step 3:如果提交成功,允许访问,否则重新尝试身份验证或阻止访问。 
Step 4:退出
----------------------------------------------------------------------------------------------------------------------------
下面说明Shiro中的API是如何反映以上步骤的: 
//Step1: Collect the Subject's principals and credentials
//根据用户名和密码获得一个令牌(token)
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
//token.setRememberMe(true); //可选用

在Step1中,我们使用了UsernamePasswordToken,支持最常用的用户名/密码验证方式。这是Shiro的AuthenticationToken接口,这是由Shiro的认证系统代表提交的主体和凭证使用的基本接口的实现。username和password就是和Subject认证主体中对应的身份和凭证做验证的。
--------------------------------------------------------------------------------------------------------------------------- 
//Step2: Submit the principals and credentials
//得到当前执行的用户
Subject currentUser = SecurityUtils.getSubject();
//进行认证
currentUser.login(token);
在Step2中,先通过SecurityUtils工具类获取当前执行的用户,然后进行身份认证,这个认证会参考ini文件中的Subject主体(当然了,实际中是参考数据库中的信息),在下面的示例程序中可以看的出
---------------------------------------------------------------------------------------------------------------------------
 
//Step3: Handling Success or Failure
try {
    currentUser.login(token);
} catch ( AuthenticationException ae ) {
    //unexpected error?
    //Handel error
}
//No problems, continue on as expected...

在Step3中,我们要根据认证的结果来处理正确或者错误的结果,所以我们需要将currentUser.login(token)使用try/catch包起来。

--------------------------------------------------------------------------------------------------------------------------- 
//Step4: Logging out
currentUser.logout();

与认证相反的是释放所有已知的确定的状态。当主体完成与应用程序交互,可以调用subject.logout()放弃所有的身份信息。subject.logout()会删除所有身份信息以及他们的会话(这里的会话指的是Shiro中的会话)。
---------------------------------------------------------------------------------------------------------------------------

2、认证过程(Authentication Sequence)


step1:应用程序代码在调用Subject.login(token)方法之后,传入代表最终用户的身份和凭证构造的AuthenticationToken实例token。

step2:将Subject实例委托给应用程序的SecurityManager(Shiro的安全管理) 通过调用securityManager.login(token)来开始实际的认证工作。

step3,4,5:然后SecurityManager就会根据具体的realm去进行安全认证了。

realm就是一个域,Shiro就是从realm中获取验证数据的,也就是我们写在.ini文件中的东西,这个realm有很多种,如text realm,jdbc realm等。


sanluo11
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro身份认证
dream_heheda的博客
09-27 375
1.基本验证步骤 2.Remebered(记住我)和Authenticated(已认证)
ShiroApache Shiro架构之身份认证Authentication
武哥聊编程
07-02 1万+
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障。本文主要介绍一下Shiro身份认证功能,参考自Apache Shiro的官方文档,原文档地址:http://shiro.apache.org/authentication.html。 本文遵循以下流程:先介绍Shiro身份认证,再通过一个实例来具体说明一下(基于mav
Apache shiro集群实现 (四)shiro授权(Authentication)--访问控制
04-23 1万+
授权即访问控制,它将判断用户在应用程序对资源是否拥有相应的访问权限。  如,判断一个用户有查看页面的权限,编辑数据的权限,拥有某一按钮的权限,以及是否拥有打印的权限等等。  授权三要素 授权有着三个核心元素:权限、角色和用户。  权限 权限是Apache Shiro安全机制最核心的元素。它在应用程序明确声明了被允许的行为和表现。一个格式良好好的权限声明可以清晰表达出用户对该资
Shiro之UsernamePasswordToken&RememberMeAuthenticationToken&AuthenticationToken
qq_43842093的博客
11-30 744
继承关系 先看一下三者的继承关系,会有一个比较清楚的认识 AuthenticationToken AuthenticationToken 用于收集用户提交的身份(如用户名)及凭据(如密码)。Shiro会调用CredentialsMatcher对象的doCredentialsMatch方法对AuthenticationInfo对象和AuthenticationToken进行匹配。匹配成功则表示主体(Subject)认证成功,否则表示认证失败。 RememberMeAuthenticationToke
shiro_AuthenticationToken
maqingbin8888的专栏
09-18 3101
org.apache.shiro.authc.AuthenticationToken Object getPrincipal();    //登录提交的用户名   Object getCredentials(); //只被Subject 知道的秘密值,比如我们登录提供的密码 认证的基本步骤 1.收集Subjects 提交的Principals(身份)和Credentials(凭证); 2.提交...
Apache shiro 1.13.0源码
最新发布
01-17
首先,Shiro 的核心组件包括身份认证Authentication)、授权(Authorization)和会话管理(Session Management)。身份认证是指验证用户的身份,通常涉及用户名和密码的校验;授权则是确定用户是否有权限执行特定...
Apache Shiro教程
12-30
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证、授权、会话管理和加密等功能。这个教程将帮助你深入理解和有效地使用Shiro框架。在本文,我们将详细探讨Shiro的核心概念、主要功能和常见用法...
Apache Shiro 使用手册(二) Shiro 认证
09-15
Apache Shiro 是一个强大且易用...总之,Apache Shiro 的认证机制提供了简单且灵活的方式来进行用户身份验证。通过理解这一过程,开发者可以更好地集成 Shiro 到自己的应用程序,实现安全的用户身份管理和权限控制。
Apache Shiro 使用手册(三) Shiro授权
09-15
Apache Shiro 是一款强大的安全管理框架,它提供了身份验证(Authentication)、授权(Authorization)和会话管理(Session Management)等功能。本篇文章将详细讲解 Shiro 的授权机制,即如何控制用户在应用程序...
Apache Shiro 框架简介
09-15
1. 认证(Authentication):Shiro提供了验证用户身份的能力,即确认用户是谁。这通常涉及到用户提交凭证,如用户名和密码,然后Shiro与存储的凭证进行比较,以确定用户身份的真实性。 2. 授权(Authorization):...
Apache Shiro 身份认证例子
热门推荐
王浩的技术博客
01-15 2万+
1. 概述 在本例子使用Apache Shiro在Web应用实现身份认证,将Shiro与Spring进行集成,使用内嵌的derby数据库存储用户信息。 2. 准备 创建一个内嵌的derby数据库,本例使用的是db-derby-10.10.1.1。 2.1 建表 Create table users( Id int primary key, Name varchar(20), P
shiroAuthenticationToken(*)
weixin_42408447的博客
12-21 1705
public interface AuthenticationToken extends Serializable { Object getPrincipal(); Object getCredentials(); } 上面定义了接口源码,主要是两个接口,一个是获取委托人信息,一个是获取证明,常用的是用户名和密码的组合。 这里AuthenticationToken只提供接口,一般我们的实体类包含了get/set方法,但是这里抽出了get方法,方便用户自己扩展所需要的实现。 Authe
Shiro(认证的执行流程Authentication)
weixin_34413802的博客
08-14 153
什么是认证? 身份认证,校验用户是否有相应的身份(登录验证) Shiro实现认证的具体流程: 大致上来说是: graph LR Subject-->SecurityManager SecurityManager-->Authenticator Authenticator-->Realm Realm-->Cryptography加密 复制代码 首先,用户填写登录信息发送请求到...
使用apache配置进行简单的HTTP Basic Authentication
bajiudongfeng的专栏
08-18 1650
Set Apache Password Protected Directories With .htaccess File by VIVEK GITE on JANUARY 26, 2006 in APACHE, DEBIAN / UBUNTU, FREEBSD, LINUX, REDHAT AND FRIENDS, SOLARIS-UNIX, SUSE,UBUNTU LI
Spring Shiro基础组件 AuthenticationToken
我家有猫已长成的博客
02-04 616
Spring Shiro基础组件 AuthenticationToken 简介。
Spring-shiro-Boot-3 AuthenticationToken体系
良之才的专栏
03-11 905
登陆认证时,必须要先构造登陆令牌。 在是shiro,用AuthenticationToken接口来表达登陆令牌。 这里介绍shiroAuthenticationToken体系,在实际使用,很多时候需要继承原有令牌实现私有化功能。 一、shiro身份验证的基本概念: (1)身份验证: 这就不多说了,给shiro传递【身份+证明】,就可以进行验证。 (2)身份 粗浅的说,相当于账户。比如手机号、邮箱、用户名这些。 准确的说,相当于身份。 shiro把这个封装成了【principals】
shiro自定义AuthenticationToken适应多认证条件
浪丶荡
03-06 8751
一般的登陆只需要校验账号和密码两个要素 Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken( user.getAccNum(), user.getPasswd()); ...
springboot+shiro简单token认证
鲁迅说要做好或更好的博客
03-12 3077
前言 最后调用过程参考了 : https://blog.csdn.net/long270022471/article/details/62423286 最近可能要用到,所以看了看shiro. 结合人人开源的管理后端代码以及其他大佬的写的有关shiro的博文,自己整理了一下避免以后忘记了. 其代码我加了很多注释,是个人的通俗理解, 可能不正确, 也欢迎大家指出共同进步. Shiro功能 Authentication身份认证,验证用户是否拥有某个身份。 Authorization: 权限校验,验证某
Apache Shiro安全框架:身份验证与授权指南
Apache Shiro是一个全面且强大的Java安全框架,致力于简化身份验证、授权、会话管理和加密等安全性相关的任务。它的设计目标是易用性和直观性,使得开发者能够更轻松地构建安全的应用程序,无论这些应用的规模和复杂...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值