shiro的认证

最新推荐文章于 2022-08-29 08:38:26 发布
最新推荐文章于 2022-08-29 08:38:26 发布
阅读量157 收藏
点赞数
分类专栏: shiro安全框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011066470/article/details/117388858
版权

一  认证

1.1 认证

身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。

1.2 认证角色中的对象

  • Subject:主体

访问系统的用户,主体可以是用户、程序等,进行认证的都称为主体;

  • Principal:身份信息

是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等,一个主体可以有多个身份,但是必须有一个主身份(Primary Principal)。

  • credential:凭证信息

是只有主体自己知道的安全信息,如密码、证书等

1.3 认证流程

二 简单认证流程

2.1 pom文件

<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-core</artifactId>
  <version>1.5.3</version>
</dependency>

2.2 shiro信息配置文件

创建shiro.ini配置文件,放到resource文件目录下,写入的内容,如下:

2.3  验证代码

public class TestAuthenticator {
    public static void main(String[] args) {
        //创建securityManager
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        defaultSecurityManager.setRealm(new IniRealm("classpath:shiro.ini"));
        //将安装工具类中设置默认安全管理器
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        //获取主体对象
        Subject subject = SecurityUtils.getSubject();
        //创建token令牌
        UsernamePasswordToken token = new UsernamePasswordToken("xiaochen1", "123");
        try {
            subject.login(token);//用户登录
            System.out.println("登录成功~~");
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户名错误!!");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("密码错误!!!");
        }

    }
}

执行结果:

将用户配置文件中正确的用户:

 

public class TestAuthenticator {
    public static void main(String[] args) {
        //创建securityManager
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        defaultSecurityManager.setRealm(new IniRealm("classpath:shiro.ini"));
        //将安装工具类中设置默认安全管理器
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        //获取主体对象
        Subject subject = SecurityUtils.getSubject();
        //创建token令牌
        UsernamePasswordToken token = new UsernamePasswordToken("lisi", "123");
        try {
            subject.login(token);//用户登录
            System.out.println("登录成功~~");
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户名错误!!");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("密码错误!!!");
        }

    }
}

执行结果:

2.4 源码的流程

认证:

      1.最终执行用户名比较 SimpleAccountRealm
        doGetAuthenticationInfo 在这个方法中完成用户名的校验
      2.最终密码校验是在AuthenticationRealm中
      assertCredentialsMatch
 总结:AuthenticatingRealm 认证的realm DoGetAuthenticationInfo方法
        AuthorizatingRealm  授权realm   DoGetAuthorizationInfo方法

 三 Ream

3.1 reaml的作用

上边的程序使用的是Shiro自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义realm。

shiro提供的realm如下图所示:

2.认证源码使用的SimpleAccountRealm

SimpleAccountRealm的部分源码中有两个方法一个是 认证 一个是 授权, (AuthenticatingReaml有DoGetAuthenticationInfo()方法,AuthorizatingRealm有DoGetAuthorizationInfo()方法,AuthorizatingRealm继承AuthenticatingReaml,则同时具有了DoGetAuthenticationInfo()和DoGetAuthorizationInfo()两个方法,而SimpleAccountRealm继承AuthorizatingRealm,则SimpleAccountRealm同样具有DoGetAuthenticationInfo()和DoGetAuthorizationInfo()两个方法的功能

3.2 自定义realm 

1.调用类:

package com.shiro.ljf.demo.test;

import com.shiro.ljf.demo.sptshirodemo.shiro.CustomerDefineRealm;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;

/**
 * 使用自定义realm
 */
public class TestCustomerRealmAuthenticator {
    public static void main(String[] args) {

        //创建securityManager
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        //设置自定义realm
        defaultSecurityManager.setRealm(new CustomerDefineRealm());
        //将安全工具类设置安全工具类
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        //通过安全工具类获取subject
        Subject subject = SecurityUtils.getSubject();
        //创建token
        UsernamePasswordToken token = new UsernamePasswordToken("xiaochen", "123");

        try {
            subject.login(token);
            System.out.println(subject.isAuthenticated());
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户名错误");
        } catch (IncorrectCredentialsException e) {
            e.printStackTrace();
            System.out.println("密码错误");
        }


        //认证用户进行授权
        if(subject.isAuthenticated()){

            //1.基于角色权限控制
            System.out.println(subject.hasRole("admin"));


        }


    }
}

2.自定义CustomerDefineRealm

package com.shiro.ljf.demo.sptshirodemo.shiro;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

/**
 * @ClassName: CustomerDefineRealm
 * @Description: TODO 自定义realm实现 将认证|授权数据的来源转为数据库的实现
 * @Author: liujianfu
 * @Date: 2021/05/29 19:23:30 
 * @Version: V1.0
 **/
public class CustomerDefineRealm extends AuthorizingRealm {
    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("==================");
        return null;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //在token中获取用户名
        String principal = (String) token.getPrincipal();
        System.out.println(principal);
        //根据身份信息使用jdbc mybatis查询相关数据库
        if("lisi".equals(principal)){
            //参数1:返回数据库中正确的用户名   //参数2:返回数据库中正确密码  //参数3:提供当前realm的名字 this.getName();
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(principal,"123",this.getName());
            return simpleAuthenticationInfo;
        }
        return null;
    }
}

3.调试

4. 改为正确的用户名

验证通过后,调用

System.out.println(" hou:"+subject.isAuthenticated());  则会返回true。

 

健康平安的活着
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
shiro(权限开元轻量级框架)
anhldd的博客
12-23 831
什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统, 分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。 在应用程序角度来观察如何使用Shiro完成工作(图01) ini文件 Subject:主体,代表了当...
shiro认证
qq_45177371的博客
11-04 112
1、shiro认证 2、盐加密 Shiro认证 , 盐加密 Pom依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.3.2</version> ...
Shiro认证
weixin_66202611的博客
08-25 307
的,这样使得没办法使用Spring里面的@Autowired注解,同时也没办法直接交给Spring进行管理,所以我们需要通过实现类里的@Service里面添加标记(biz中的属性名)首先在方法中随机生成盐 ,拿到用户和密码,然后拿到密码进行盐加密,得到的是一个加密过后的盐,再获取长度,最后拿到加密后的密码和盐以及最初的密码进行比较,返回的是true则加密成功。(1)shiro在加载的时候,Spring上下文还没有记载完毕,所以Component与@autowised是不能使用的。4.对应mapper编写。.
shiro 认证
gufengblog的博客
05-12 165
身份认证概念: 即在应用中谁能证明他就是他本人。一般提供如他们的身份ID 一些标识信息来 表明他就是他本人,如提供身份证,用户名/密码来证明。 在shiro 中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能 验证用户身份: principals : 即用户名,在用户数据中起到唯一标识的字段 credentials: 即用户对应的密码,可以使数字证书、密码等 认证流程: damo: 1、环境 eclipse 2、新建一个Java项目 3、导入包/项目结构
shiro认证授权
08-03
Apache Shiro 是一个强大且易用的 Java 安全框架,提供了认证、授权、加密和会话管理功能,可以非常方便地开发出足够安全的应用。本文将深入探讨 Shiro 的核心概念,包括认证和授权,并结合提供的 `shiro-demo` 代码...
shiro认证.pdf
08-13
本文档主要介绍Shiro认证的基本流程以及如何使用Shiro进行用户登录和退出操作。 首先,Shiro认证的过程可以简单概括为以下步骤: 1. 用户向应用程序提供其身份凭证,如用户名和密码。 2. 应用程序将这些凭证传递给...
Apache Shiro 使用手册(二) Shiro 认证
09-15
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份认证、授权和会话管理功能。本文主要关注其认证过程,即验证用户身份的环节。 在 Shiro认证过程中,用户需要提供实体信息(Principals)和凭据信息...
shiro 权限认证以及授权demo
09-10
shiro 权限认证以及授权demo
shiro认证及授权demo
10-28
这个"shiro认证及授权demo"应该包含了设置Shiro环境、配置 Realm、创建 SecurityManager、定义用户角色和权限以及处理登录、登出等核心功能的示例代码。 1. **Shiro环境设置**:首先,需要在项目中引入Shiro的依赖...
shiro认证.docx
06-23
Apache Shiro 是一个强大且易用的Java安全框架,它提供了认证、授权、会话管理和加密等功能,用于构建简单且健壮的应用安全控制层。Shiro认证部分是其核心功能之一,允许系统确认用户的身份。下面我们将详细讲解...
shiro(认证)
weixin_50020236的博客
07-11 674
shiro 认证
Shiro-----Shiro认证流程
qq_48788523的博客
01-09 3112
晚上睡觉花了几分钟了解了一下Shiro认证的流程 ,
shiro认证(ssm)
m0_65774688的博客
08-29 140
shiro认证(ssm)
四、Shiro认证
一个孤独漫步者的遐想的博客
11-06 3263
四、Shiro认证4.1、认证4.2、shiro认证关键对象4.3、认证流程4.4、认证开发1、创建项目并引入依赖2、引入shiro配置文件并加入如下配置3、认证代码查看类的关系图4.5、自定义Realm1、shiro提供的Realm2、自定义Realm4、使用自定义Realm4.6、使用MD5和Salt1、自定义md5+salt错误加密(未加密)真正的加密使用MD5+Salt使用MD5+Salt+Hash2、测试测试-明文新建CustmerMD5Realm新建testCustmerMD5Authenti.
shiro权限验证
我_在路上的博客
01-14 1438
上次介绍了shiro的一些理论知识,这次用一些代码来具体实现角色验证与登录验证 首先介绍一下使用的环境: SpringBoot + Mybatis + Shiro 添加的类 ShiroRealm 继承了AuthorizingRealm类,实现两个方法,分别为登录权限验证,以及角色权限验证的功能。(注释已经很详细了,详细了解请看
权限管理系统中功能权限&数据权限以及权限模块的实现
健康平安的活着的专栏
06-17 7933
一 数据权限的概述 二 数据权限的操作步骤 2.1 思想 数据权限的控制是通过部门的菜单展示来实现的。 2.2 用到数据权限的地方 1.用户添加时候,选择部门的下拉框 2 部门管理的列表 3.角色管理,新增弹框页面,选择部门的树状菜单 2.3 部门管理中部门列表的数据权限 2.3.1 . controller层加载部门列表,加载全部部门信息 2.3.2. sevice层逻辑:将当前登录用户所拥有的部门id设置成查询部门列表的where的筛选条件 ...
Shiro认证实现与核心组件解析
"Shiro认证实现和核心组件解析" Shiro是一个强大的Java安全框架,它提供了认证、授权、加密和会话管理功能,使得在开发应用时可以轻松处理安全性问题。Shiro认证流程简单易懂,主要涉及的核心组件包括Subject、...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值