shiro入门demo(一)身份验证

已于 2023-12-13 09:55:00 修改
阅读量554 收藏 9
点赞数 8
分类专栏: Shiro+VUE 文章标签: java spring spring boot
于 2023-12-11 17:10:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w_t_y_y/article/details/134931758
版权

  shiro(身份)认证,简单来说就是登录/退出。搭建springboot项目,引入shiro和单元测试依赖:

  <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <!--单元测试-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>

        <!--shiro-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.2.2</version>
        </dependency>
    </dependencies>

身份认证的步骤:

(1)收集用户身份 / 凭证,即如用户名 / 密码;
(2)调用 Subject.login 进行登录,其会自动委托给 SecurityManager.login 方法进行登录。如果失败将得到相应的 AuthenticationException 异常,根据异常提示用户错误信息;否则登录成功。如果身份验证失败捕获 AuthenticationException 或其子类,常见的如: DisabledAccountException(禁用的帐号)、LockedAccountException(锁定的帐号)、UnknownAccountException(错误的帐号)、ExcessiveAttemptsException(登录失败次数过多)、IncorrectCredentialsException (错误的凭证)、ExpiredCredentialsException(过期的凭证)等,具体请查看其继承关系;对于页面的错误消息展示,最好使用如 “用户名 / 密码错误” 而不是 “用户名错误”/“密码错误”,防止一些恶意用户非法扫描帐号库;
(3)最后调用 Subject.logout 进行退出操作,其会自动委托给 SecurityManager.logout 方法退出。

注意:身份验证是基础,如果身份验证出错其他的都会认证失败,比如密码错误而角色、权限是正确的,角色、权限认证也会失败。

一、身份认证配置文件mock数据实现:

 1、数据mock:新建shiro-user.ini文件

[users]
zs=123
ls=123
admin=123

  2、单元测试:

import com.demo.shiro.ShiroApplication;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.junit.Test;
import org.junit.runner.RunWith;
import org.springframework.boot.test.context.SpringBootTest;
import org.springframework.test.context.junit4.SpringRunner;

/**
 * 身份验证
 */
@SpringBootTest(classes = {ShiroApplication.class}, webEnvironment = SpringBootTest.WebEnvironment.RANDOM_PORT)
@RunWith(SpringRunner.class)
public class ShiroLoginTest{

    /**
     *登陆/退出,以admin/123用户为例
     */
    @Test
    public void testLoginInAndPut(){
        //1、创建SecurityManagerFactory,用户名/密码硬编码在ini文件,实际应存储在数据库并将密码加密
        IniSecurityManagerFactory factory=new IniSecurityManagerFactory("classpath:shiro-user.ini");
        //2、创建安全管理器SecurityManager,并绑定给SecurityUtil
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
        //3、通过SecurityUtil获取登入用户主体subject,并创建token
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token=new UsernamePasswordToken(
                "admin", "123"
        );
        //用户认证(shrio的核心功能之一)
        try {
            //异常
            //4、登录,即身份验证
            subject.login(token);
            System.out.println("认证成功");
        } catch (AuthenticationException e) {
            //5、认证失败
            //org.apache.shiro.authc.UnknownAccountException:账号错误异常
            //org.apache.shiro.authc.IncorrectCredentialsException:密码错误异常
            //org.apache.shiro.authz.UnauthorizedException: 授权错误异常
            System.out.println("认证失败");
            e.printStackTrace();
        }
        //6、安全退出
        subject.logout();
    }
}

执行,控制台输出:认证成功;

将密码改为123456,抛出密码错误异常

二、Realm域实现:

1、简单认证:realm一般是继承AuthorizingRealm,因为这里只有认证,就使用最简单的Realm了

package com.demo.shiro.realm;

import org.apache.shiro.authc.*;
import org.apache.shiro.realm.Realm;

public class MyRealm1 implements Realm {
    @Override
    public String getName() {
        return "myRealm1";
    }

    @Override
    public boolean supports(AuthenticationToken token) {
        //仅支持UsernamePasswordToken类型的token
        return token instanceof UsernamePasswordToken;
    }

    @Override
    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = (String) token.getPrincipal();
        String password = new String((char[]) token.getCredentials());
        if(!"admin".equals(username)){
            throw new UnknownAccountException();
        }
        if(!"123".equals(password)){
            throw new IncorrectCredentialsException();
        }
        //身份验证成功,返回一个AuthenticationInfo实现
        return new SimpleAuthenticationInfo(username,password,getName());
    }
}

按照这个方法再定义MyRealm2、MyRealm3,分别实现zs/123、ls/123。注入Reaml方法有两种,

(1)配置文件方法:新建shiro-user-realm.ini文件,

#1、声明realm
myRealm1 = com.demo.shiro.realm.MyRealm1
myRealm2 = com.demo.shiro.realm.MyRealm2
myRealm3 = com.demo.shiro.realm.MyRealm3
#2、指定securityManager的realms实现
securityManager.realms = $myRealm1,$myRealm2,$myRealm3

 将单元测试原来加载的shiro-user.ini改为shiro-user-realm.ini即可。

(2)编程方法:修改单元测试代码:

 //方法1,配置文件注入realm
        //1、创建SecurityManagerFactory,用户名/密码硬编码在ini文件,实际应存储在数据库并将密码加密
        //IniSecurityManagerFactory factory=new IniSecurityManagerFactory("classpath:shiro-user-realm.ini");
        //2、创建安全管理器SecurityManager,并绑定给SecurityUtil
        //SecurityManager securityManager = factory.getInstance();

        //方法2,编程设置realm
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        List<Realm> realms = new ArrayList<>();
        realms.add(new MyRealm1());
        realms.add(new MyRealm2());
        realms.add(new MyRealm3());
        securityManager.setRealms(realms);

2、

w_t_y_y
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
shiro入门demo
04-18
shiro学习入门程序
shiro入门学习demo源码
03-01
<bean id="myShiroRealm" class="com.z.shiro.realm.ShiroRealm"> <property name="cacheManager" ref="cacheManager" /> </bean> <!-- Shiro Filter --> <bean id="shiroFilter" class="org.apache...
shiro入门demo(三)身份认证+授权+拦截
最新发布
w_t_y_y的博客
12-27 504
2、Realm:这里没有连接数据库,在UserConstants中假设数据。
shiro入门demo(二)授权
w_t_y_y的博客
12-13 401
在前面认证的基础上,认证通过后一般还有个授权的操作。授权根据业务需求有两种维度,基于角色的授权和基于资源的授权。(2)checkPermission、checkPermissions方式,只要验证失败就报异常。(1)isPermitted、isPermittedAll方式,返回值true/false。2、单元测试:在前面的基础上加上资源权限验证即可。(1)规则:资源标志符:操作:对象实例id;1、shiro中授权实现方式:有三种。(2)*表示任意资源/操作/实例。输出:认证成功 角色验证成功;
Shiro简介及简单入门demo
web13524385009的博客
08-24 151
Shiro是apache的一个开源框架,将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权,加密,会话管理等,组成一个通用的安全认证框架。
Shiro】整理一篇关于Shiro框架入门demo
种一棵树最好的时间是十年前,其次是现在。
01-04 507
项目的具体的搭建,这里就不再copy了,具体的请参考这个博客:https://blog.csdn.net/yq714588944/article/details/79337945 这里只记录我在使用这个demo遇到的“坑”: 依赖文件,两处修改 上面博客里面的pom.xml文件中的Servlet依赖,在我运行时报了一个错,检查发现应该将Servlet依赖范围设为provided,目的是在打包时不...
Shiro安全框架(一)——入门Demo
qq_42386143的博客
08-12 172
Shiro安全框架 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。 一:入门案例 1.使用Idea创建一个Web项目 2.在pom.xml文件中引入依赖坐标 <dependency> <groupId>org.apache.shiro</groupId> &...
Shiro入门
m0_58233942的博客
10-20 121
shiro简介 Apache Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。 本教程只介绍基本的 Shiro 使用,不会过多分析源码等,重在使用。 Shiro 可以非常容易的开发出足够好的应用,其不
快速入门Shiro
JunDong的博客
06-01 1876
讲解结合案例,Shiro入门,看这篇就够了。
shiro入门
阳某的博客
10-12 1126
目录shiro简介shiro入门案例shiro与web集成 shiro简介 什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 spring中有spring security (原名Acegi),是一个权限框架,它和spring依赖过于紧密,没有shiro使用简单。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理...
基于spring boot 2和shiro实现身份验证案例
08-19
基于Spring Boot 2和Shiro实现身份验证案例是当前网络安全领域中的一种常见解决方案。Shiro是一个功能强大且易于使用的Java安全框架,官网:https://shiro.apache.org/。主要功能有身份验证、授权、加密和会话管理。...
shiro验证demo
11-27
shiro验证 demo代码
Shiro_Demo 一个简单的Shiro验证框架实例
04-07
Shiro_Demo 一个简单的Shiro验证框架实例
前后端分离(JWT管理)(一)简单实例
热门推荐
w_t_y_y的博客
06-29 1万+
一、代码: 二、测试:
前后端分离(session管理)(一)简单实例
w_t_y_y的博客
06-11 1581
springboot集成shiro简单实例
shiro概述(三)拦截器
w_t_y_y的博客
12-14 1381
也就是说一次请求只会走一次拦截器链;另外提供enabled属性,表示是否开启该拦截器实例,默认enabled=true表示开启,如果不想让某个拦截器工作,可以设置为false即可。当我们组装拦截器链时会根据这个名字找到相应的拦截器实例;4、AdviceFilter:提供了AOP风格的支持,类似于SpringMVC中的Interceptor。3、ShiroFilter:是整个Shiro的入口点,用于拦截需要安全控制的请求进行处理。一、介绍:shiro使用了与servlet一样的Filter进行接口扩展。
前后端分离(session管理)(三)前后端综合前端
w_t_y_y的博客
06-17 509
前端复用的之前springsercurity的前端项目。
shiro 入门案例
09-06
3. 配置认证:在配置文件中配置 Shiro 的认证规则,比如指定用户的身份验证方式、加密算法等。 4. 配置授权:在配置文件中配置 Shiro 的授权规则,定义用户能够访问的资源或操作。 5. 编写登录界面:在你的项目中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

w_t_y_y

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值