Apache Shiro认证流程

最新推荐文章于 2023-10-19 14:42:36 发布
最新推荐文章于 2023-10-19 14:42:36 发布
阅读量245 收藏
点赞数
文章标签: apache flask 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013551615/article/details/120397379
版权

Subject

第一步:获取用户名(Principal)和密码(Credential);

//获取当前的Subject
UsernamePassworkToken token = new UsernamePassworkToken (username,password);

//Rmember me功能
.token.setRememberMe(true)
  • AuthenticationToken接口:用于表示用户提交的用户名和密码的接口
  • 通常使用UsernamePassworkToken类(派生自AuthenticationToken)进行认证。

用户是如何获取数据的与AuthenticationToken无关,可以从HTML表单、数据库、命令行和其他任何地方。

第二步:提交用户名和密码去验证

//获取当前的Subject
Subject user = SecurityUtils.getSubject();

// 用户尝试认证
user.login(token);

第三步:如果提交成功,认证成功,否则认证失败

//获取当前的Subject
try {
    user.login(token);
} catch ( UnknownAccountException uae ) { ...
} catch ( IncorrectCredentialsException ice ) { ...
} catch ( LockedAccountException lae ) { ...
} catch ( ExcessiveAttemptsException eae ) { ...
} ... 捕获自定义AuthenticationException异常 ...
} catch ( AuthenticationException ae ) {
    //未知错误
}

//程序正常,继续执行 ...

AuthenticationException异常

AuthenticationException异常
常见异常子类:

UnknownAccountException:用户名不存在
IncorrectCredentialsException:密码错误
LockedAccountException:账号被锁定
ExcessiveAttemptsException:账号在一段时间内尝试登录次数过多

认证流程

在这里插入图片描述

第一步:调用Subject.login(token),token是AuthenticationToken的实例。

第二步:Subject的子类DelegatingSubject调用securityManager.login来把认证任务交给SecurityManager

在这里插入图片描述

第三步:SecurityManger的子类DefaultSecurityManager使用从AuthenticatingSecurityManager继承来的成员authenticator的authenticate方法进行认证。

在这里插入图片描述

在这里插入图片描述
接下来看看Authenticator接口,其下的authenticate用于认证。

在这里插入图片描述
在这里插入图片描述

AbstractAuthenticator调用子类的doAuthenticate来执行真正的认证过程,这里子类只有ModularRealmAuthenticator,最终的认证由ModularRealmAuthenticator的doAuthenticate来执行。

ModularRealmAuthenticator

  • 关键方法:doAuthenticate
  • 流程:判断是单个realm认证还是多realm认证,分别调用doSingleRealmAuthentication,doMultiRealmAuthentication
    在这里插入图片描述
调用doSingleRealmAuthentication
  • 首先判断这个Realm是否支持提交的token类型,然后调用我们自己的Realm重写的的getAuthenticationInfo方法,返回包装了用户信息的AuthenticationInfo。
    在这里插入图片描述

Realm

  1. 作用:简而言之,Realm就是一个安全相关的DAO。他的作用是读取数据源(数据库、文件)的数据转换为Realm能理解的数据(AuthenticationInfo)。
  2. 功能:执行认证和授权

判断是否支持AuthenticationToken

在这里插入图片描述
Realm需要判断传入的token类型是否是能够处理的。比如一个处理指纹认证的Realm就不能接收UsernamePasswordToken。

处理AuthenticationToken

  1. 从token取得用户身份信息(Principle)
  2. 根据用户身份,在数据源(数据库、文件)中查找对应的数据(体现了Realm本质是一个安全相关的DAO)
  3. 将toeken中提供的密码(credentials)与数据源取出来的密码相匹配
  4. 如果匹配,返回一个封装了数据源中用户数据(安全、权限等)的AuthenticationInfo,如果不匹配返回一个AnthenticationException。
11408考研休息室
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro认证流程
Ledis的博客
04-17 328
shiro认证流程
Apache Shiro教程
12-30
- **身份验证流程**:Shiro通过Subject的`login()`方法发起登录请求,SecurityManager通过Realm验证凭证,成功后创建Session并记录Subject。 - **授权实现**:通过Role和Permission进行权限控制,可以定义角色并...
Apache Shiro 快速入门教程,shiro 基础教程
热门推荐
SwingLife的专栏
06-03 10万+
第一部分 什么是Apache Shiro 1、什么是 apache shiroApache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理 如同 Spring security 一样都是是一个权限安全框架,但是与Spring Security相比,在于他使用了和比较简洁易懂的认证和授权方式。 2、A
请你简述Apache Shiro 框架的认证流程
weixin_35757191的博客
01-19 172
Apache Shiro 框架的认证流程主要分为以下几步: 用户登录,提交用户名和密码。 Shiro 框架使用 AuthenticationInfo 对象来验证用户名和密码是否正确。 如果用户名和密码验证通过,则 Shiro 框架会创建一个 Subject 对象,表示当前登录的用户。 Shiro 框架会使用 Subject 对象来验证用户是否有访问某个资源的权限。 如果用户具有访问某个资...
Apache Shiro 授权过程
王浩的技术博客
11-02 145
下面详细介绍在进行授权时,Shiro的内部处理机制。 如上图,我们通过Shiro架构图的授权部分,来说明Shiro授权内部的处理顺序: 1.应用程序或框架代码调用任何Subject的hasRole*,checkRole*,isPermitted*,或者checkPermission*方法的变体,传递任何所需的权限或角色内容。 2.Subject的实例,通常是DelegatingSub...
Shiro认证流程
轻松qinsong
07-05 1039
Shiro认证流程 一.shiro认证思路分析 获取当前的 Subject. 调用 SecurityUtils.getSubject(); 测试当前的用户是否已经被认证. 即是否已经登录. 调用 Subject 的 isAuthenticated() 若没有被认证, 则把用户名和密码封装为 UsernamePasswordToken 对象 1). 创建一个表单页面 2). 把请求提交到...
Apache Shiro 使用手册(二) Shiro 认证
09-15
Shiro认证流程主要包括以下步骤: 1. 应用程序创建 `AuthenticationToken` 实例并调用 `Subject.login()`。 2. `Subject` 委托给 SecurityManager 进行认证,通常是 `DelegatingSubject` 类的实例。 3. ...
Apache shiro1.10.0依赖
10-25
1. **认证**:在Shiro中,认证是指验证用户身份的过程。Shiro提供了一个简单的API,允许开发者设置用户名和密码,然后通过Subject对象进行认证。在Shiro 1.10.0中,可能会包含对认证策略的优化,比如支持多种凭证...
Apache Shiro 框架简介
09-15
Apache Shiro是一个专门为Java开发的安全框架,其设计目标是提供简单易用的API,以便开发者可以轻松处理认证、授权、加密和会话管理等安全问题。以下是对Shiro框架更详细的解析: 一、Shiro的主要功能 1. 认证...
shiro认证授权的过程
05-01
NULL 博文链接:https://yuhuiblog695685688425687986842568269.iteye.com/blog/2405483
Apache Shiro 认证过程
王浩的技术博客
10-11 246
3.1.1 示例 Shiro验证Subjects 的过程中,可以分解成三个不同的步骤: 1. 收集Subjects 提交的Principals(身份)和Credentials(凭证); 2. 提交Principals(身份)和Credentials(凭证)进行身份验证; 3. 如果提交成功,则允许访问,否则重新进行身份验证或者阻止访问。 收集身份/凭据信息 //Example...
源码分析shiro认证授权流程
04-17 193
1. shiro介绍 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户“登录”; 授权 - 访问控制; 密码加密 - 保护或隐藏数据防止被偷窥; 会话管理 - 每用户相关的时间敏感的状态。 对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架,Sh...
Shiro认证流程
qq_43654581的博客
10-29 444
了解Shiro认证流程
Shiro 认证过程
最新发布
weixin_43145065的博客
10-19 165
Shiro 认证过程
shiro认证过程
Super的专栏
11-03 604
很多第一次使用shiro做demo的同学经常问我 为什么我提交的登录表单为什么没有拦截到,其实是因为他们没有对login拦截将拦击链设置如下即可: /login = authc /logout = logout /static/** = anon /api/** = anon /register/** = anon
详解Shiro认证流程
小小的人儿的博客
01-12 4256
通过前面对shiro源码的解读,我们知道,只要我们在拦截器里面配置了所有请求都经过FormAuthenticationFilter,那么我们就不用自己写login方法,shiro会自己帮我们处理登录逻辑。 isAccessAllowed shiro中的判断一个请求是否允许通过的条件是当前得到的subject是否已经认证过,或者当前请求是否是登录请求。 如何判断Subject是否认证过? org.apache.shiro.subject.support.DelegatingSubject#isAuthenti
Apache Shiro 权限认证框架详解与实战
"Apache Shiro 是一个开源的安全框架,专注于身份验证、授权、会话管理和加密。它设计简洁,易于理解和使用,适用于各种应用程序环境,从简单命令行应用到大型企业级应用。Shiro 提供的功能包括用户验证、权限控制、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值