shiro多realm的spring-boot案例剖析

最新推荐文章于 2023-11-19 19:36:04 发布
最新推荐文章于 2023-11-19 19:36:04 发布
阅读量343 收藏 3
点赞数
分类专栏: spring-boot 文章标签: shiro shiro多realm spring-boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuixiou1/article/details/112795418
版权

shiro多realm整合的spring-boot案例剖析

    概述:shiro认证的流程主要是通过securityManager调用login(Subject subject, AuthenticationToken token)方法,实际上委托的是Authenticator(认证器进行认证),默认情况下使用的是

ModularRealmAuthenticator认证器,如果我们只有1个realm,最终的认证操作就是调用这个realm,如果我们有多个realm呢?这个时候就需要我们对ModularRealmAuthenticator认证器进行扩展。

一、下面是subject.login()执行的代码调用片段

    public void login(AuthenticationToken token) throws AuthenticationException {
        clearRunAsIdentitiesInternal();
        Subject subject = securityManager.login(this, token);

上面是DelegatingSubject的login方法

    public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException {
        AuthenticationInfo info;
        try {
            info = authenticate(token);
        } catch (AuthenticationException ae) {
        
        }
    }

上面是DefaultSecurityManager的login方法

    public AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {
        return this.authenticator.authenticate(token);
    }

实际调用的是AuthenticatingSecurityManager的authenticate方法, 这个this.authenticator就是ModularRealmAuthenticator。

二、ModularRealmAuthenticator默认的多reaml是按什么策略进行处理的呢?

1、authenticate方法的公共处理,实际上调用的是doAuthenticate(token)方法。

 public final AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {
      AuthenticationInfo info;
        try {
            info = doAuthenticate(token); // 实际主要的认证方法
            if (info == null) { // 没有返回info就抛出auth异常
                throw new AuthenticationException(msg);
            }
        } catch (Throwable t) {
            AuthenticationException ae = null;
            if (t instanceof AuthenticationException) {
                ae = (AuthenticationException) t;
            }
            if (ae == null) {
                ae = new AuthenticationException(msg, t);
            } // 任何认证过程异常包装成auth异常进行抛出
            throw ae;
        }
        return info;
    }

2、我们看看doAuthenticate的默认实现,根据配置了realms的个数来判断是调用单个还是doMultiRealmAuthentication()方法

protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
     assertRealmsConfigured();
    Collection<Realm> realms = getRealms();
    if (realms.size() == 1) {
        return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);
    } else {
        return doMultiRealmAuthentication(realms, authenticationToken);
    }
}

 3、在说doMultiRealmAuthentication方法前,我们可以在ModularRealmAuthenticator类里找到new的AuthenticationStrategy策略。这个策略决定了doMultiRealmAuthentication的实现方式。我们先看看AbstractAuthenticationStrategy的默认实现。

public abstract class AbstractAuthenticationStrategy implements AuthenticationStrategy {

    // 全部realm认证前--创建一个空info
    public AuthenticationInfo beforeAllAttempts(Collection<? extends Realm> realms, AuthenticationToken token) throws AuthenticationException {
        return new SimpleAuthenticationInfo();
    }

    // 单个realm认证前--直接返回
    public AuthenticationInfo beforeAttempt(Realm realm, AuthenticationToken token, AuthenticationInfo aggregate) throws AuthenticationException {
        return aggregate;
    }

    // 单个realm认证前--将上一个和此次的info进行合并
    public AuthenticationInfo afterAttempt(Realm realm, AuthenticationToken token, AuthenticationInfo singleRealmInfo, AuthenticationInfo aggregateInfo, Throwable t) throws AuthenticationException {
        AuthenticationInfo info;
        if (singleRealmInfo == null) {
最低0.47元/天 解锁文章
野生技术协会
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
自定义JWT认证过滤器
Leon_Jinhai_Sun的博客
01-23 2022
身份认证 - 1 登录成功之后前端就可以获取到了jwt的信息,前端中我们是保存在了store中,同时也保存在了localStorage中,然后每次axios请求之前,我们都会添加上我们的请求头信息,可以回顾一下: 前端项目的axios.js 所以后端进行用户身份识别的时候,我们需要通过请求头中获取jwt,然后解析出我们的用户名,这样我们就可以知道是谁在访问我们的接口啦,然后判断用户是否有权限等操作。 那么我们自定义一个过滤器用来进行识别jwt。 JWTAuthenticationFilter
认证过滤器
Leon_Jinhai_Sun的博客
06-05 2128
认证
JWT认证过滤器
m0_68935893的博客
08-02 240
【代码】JWT认证过滤器。
(二)添加JwtAuthenticationFilter类实现登录之后在请求头添加 token来访问数据
weixin_51431465的博客
09-17 266
【代码】(二)添加JwtAuthenticationFilter类实现登录之后在请求头添加 token来访问数据。
配置Spring Security AuthenticationFilter和AuthenticationPrincipal
qiuweifan的博客
04-01 1987
5.自定义Spring Security AuthenticationFilter 最后,让我们编写JWTAuthenticationFilter从请求中获取 JWT 令牌,对其进行验证,加载与令牌关联的用户,并将其传递给 Spring Security - public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtTokenProvider tokenProvi
mybatisplus-spring-boot_mybatis-plus整合_shiro_plus_
09-29
在IT行业中,MyBatis-Plus、Spring Boot和Shiro都是极为重要的框架,它们分别用于数据库操作、微服务开发和权限管理。以下是对这些技术及其整合应用的详细说明: MyBatis-Plus(简称MP)是MyBatis的增强工具,它在...
mybatisplus-spring-boot_mybatis-plus整合_shiro_plus_源码.zip
10-18
《MyBatisPlus、Spring Boot与Shiro Plus整合详解》 在现代Web开发中,MyBatisPlus、Spring Boot和Shiro Plus是三个非常重要的工具,它们分别在数据操作、微服务架构和权限管理方面发挥着关键作用。本文将深入探讨...
boot-shiro.zip
08-17
本文将通过分析“boot-shiro.zip”项目,深入探讨如何在SpringBoot项目中整合Shiro进行权限管理。 首先,我们要理解SpringBoot和Shiro的基本概念。SpringBoot是基于Spring框架的微服务开发工具,它通过自动配置和...
基于springboot的shiro完整项目案例
03-10
通过分析和研究本项目案例,开发者可以了解如何在Spring Boot中集成Shiro,实现用户登录、权限控制、会话管理等功能。这有助于提升对Spring Boot和Shiro的理解,同时为实际项目开发提供参考。在实践中,你可以根据...
shiro-web-master.zip
08-21
"shiro-web-master"暗示了我们还会接触到如何在Spring Boot或其它Web框架中集成Shiro。这通常涉及配置Shiro过滤器链,如`authc`(认证过滤器)、`perms`(权限过滤器)等,以实现URL级别的访问控制。 7. **实战...
整合SpringSecurity和JWT实现登录认证和授权
Java升级之路的博客
09-07 4280
文章目录前言一、SpringSecurity是什么?二、JWT是什么?1. JWT的组成2. JWT实现认证和授权的原理三、整合步骤1. 引入相关依赖2. yml配置中加入jwt配置信息3. 添加JWT token的工具类4. 添加SpringSecurity的配置类5. 添加自定义结果处理类5.1 添加CustomAccessDeniedHandler5.2 添加CustomAuthenticationEntryPoint6. 添加JwtUser类7. 添加过滤器JwtAuthenticationTok
自定义Spring Security过滤器 JwtAuthenticationTokenFilter
最新发布
zyx1234321的博客
11-19 380
这个过滤器的作用是在请求到达时验证 JWT,并将用户信息存储到 Spring Security 的上下文和 ThreadLocal 中,方便后续的权限验证和用户信息获取。放在所有过滤器前面,检查浏览器携带的token是否合法。
shiro 账号密码和手机短信登入,重写realm
mo念的博客
09-18 1055
用户名密码使用的token自然是UsernamePasswordToken,我们可以参考UsernamePasswordToken,自定义PhoneToken,在不同的控制器中传入Token,然后由Realm判断当前的Token属于UsernamePasswordToken还是PhoneToken。 自定义Token: public class PhoneToken implements HostAuthenticationToken, RememberMeAuthenticationToken, Seri
Shiro权限管理】11.ShiroRealm 验证
程序猿之洞
11-20 1865
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。 上一篇讲解了Shiro的密码MD5加盐校验,下面来讲解Shiro的多Realm验证。 在我们之前的样例中,一直使用的是ShiroRealm来获取数据源中的账号密码封装信息的,而该 Realm配置在securityManager中 而在实际的业务场景中,会遇到安全数据存储在不同的数据库中的情况(例如
SpringBoot+SpringSecurity+JWT实RESTfulAPI权限控制
热门推荐
林老师带你学编程
10-26 4万+
关于什么是jwt(json web token),还有jwt的工作流程我这边就不多介绍,主要给大家介绍一下SpringBoot中如何整合Security然后在添加jwt的支持。 想学习分布式、微服务、JVM、多线程、架构、java、python的童鞋,千万不要扫码,否则后果自负~ 通过SpringBoot+Security+JWT来实现token校验的过程。在生产环境中,对发布API增加授...
【SpringBoot】集成SpringSecurity+JWT实现多服务单点登录,原来这么easy
墩墩分墩
09-25 2164
- **单点登录(SingleSignOn,SSO)**,当用户在身份`认证服务器`上登录一次以后,即可**获得访问单点登录系统中其他关联系统和应用软件的权限**,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,`用户只需一次登录就可以访问所有相互信任的应用系统`。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是目前比较流行的一种**分布式登录方式**。
Shirorealm只抛AuthenticationException异常的解决方案
KingStarMemory
06-06 3895
realm认证源码 protected AuthenticationInfo doMultiRealmAuthentication(Collection<Realm> realms, AuthenticationToken token) { AuthenticationStrategy strategy = getAuthenticationStrategy(); ...
SpringBoot + SpringSecurity+JWT整合(微服务适用)
weixin_42372860的博客
09-26 1175
SpringSecurity基于表单的登录认证流程如下图: 大致过程是在UsernamePasswordAuthenticationFilter将username和password封装成UsernamePasswordAuthenticationToken,之后会在AuthenticationProvider(接口,需要自己实现)的authenticate方法中拿到且校验(一般是查数据库,对比账号密码),而校验成功则返回Authentication接口对象(一般情况是直接返回UsernamePassw
SpringBoot + SpringSecurity + JWT认证
Eden 的博客
08-13 134
JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准( RFC 7519 ),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。至此,spring-security 整合 jwt 认证 就已经完成了。负载中包含了所有用户所需要的信息,避免了多次查询数据库。application.properties 配置。简洁(Compact)
shiro-spring-boot-starter
08-26
Shiro-Spring-Boot-Starter 是一个用于集成 Shiro 框架到 Spring Boot 应用中的起步依赖。Shiro 是一个 Java 安全框架,可以为应用程序提供身份认证、授权、加密和会话管理等功能。通过使用 Shiro-Spring-Boot-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值