Shiro认证流程和授权流程

最新推荐文章于 2024-10-01 09:30:48 发布
最新推荐文章于 2024-10-01 09:30:48 发布
阅读量1k 收藏
点赞数 1
分类专栏: java 文章标签: centos spring boot 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/web15185420056/article/details/126496500
版权

认证:

身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。
在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份:
**principals:**身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有一个Primary principals,一般是用户名/密码/手机号。
**credentials:**证明/凭证,即只有主体知道的安全值,如密码/数字证书等。
最常见的principals和credentials组合就是用户名/密码了。接下来先进行一个基本的身份认证。

另外两个相关的概念是之前提到的Subject及Realm,分别是主体及验证主体的数据源。

Shiro认证流程

这里写图片描述
1、首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前必须通过SecurityUtils. setSecurityManager()设置;
2、SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证;
3、Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现;
4、Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证;
5、Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。

授权:

授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。

主体

主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。
资源
在应用中用户可以访问的任何东西,比如访问JSP页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。
权限
安全策略中的原子授权单位,通过权限我们可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源,如:
访问用户列表页面
查看/新增/修改/删除用户数据(即很多时候都是CRUD(增查改删)式权限控制)
打印文档等等。。。

如上可以看出,权限代表了用户有没有操作某个资源的权利,即反映在某个资源上的操作允不允许,不反映谁去执行这个操作。所以后续还需要把权限赋予给用户,即定义哪个用户允许在某个资源上做什么操作(权限),Shiro不会去做这件事情,而是由实现人员提供。

Shiro支持粗粒度权限(如用户模块的所有权限)和细粒度权限(操作某个用户的权限,即实例级别的),后续部分介绍。

Shiro授权流程

这里写图片描述

1、首先调用Subject.isPermitted*/hasRole*接口,其会委托给SecurityManager,而SecurityManager接着会委托给Authorizer;
2、Authorizer是真正的授权者,如果我们调用如isPermitted(“user:view”),其首先会通过PermissionResolver把字符串转换成相应的Permission实例;
3、在进行授权之前,其会调用相应的Realm获取Subject相应的角色/权限用于匹配传入的角色/权限;
4、Authorizer会判断Realm的角色/权限是否和传入的匹配,如果有多个Realm,会委托给ModularRealmAuthorizer进行循环判断,如果匹配如isPermitted*/hasRole*会返回true,否则返回false表示授权失败。

ModularRealmAuthorizer进行多Realm匹配流程:
1、首先检查相应的Realm是否实现了实现了Authorizer;
2、如果实现了Authorizer,那么接着调用其相应的isPermitted*/hasRole*接口进行匹配;
3、如果有一个Realm匹配那么将返回true,否则返回false。

1、如果Realm进行授权的话,应该继承AuthorizingRealm,其流程是:
(1)如果调用hasRole*,则直接获取AuthorizationInfo.getRoles()与传入的角色比较即可;
(2)首先如果调用如isPermitted(“user:view”),首先通过PermissionResolver将权限字符串转换成相应的Permission实例,默认使用WildcardPermissionResolver,即转换为通配符的WildcardPermission;
2、通过AuthorizationInfo.getObjectPermissions()得到Permission实例集合;通过AuthorizationInfo. getStringPermissions()得到字符串集合并通过PermissionResolver解析为Permission实例;然后获取用户的角色,并通过RolePermissionResolver解析角色对应的权限集合(默认没有实现,可以自己提供);
3、接着调用Permission. implies(Permission p)逐个与传入的权限比较,如果有匹配的则返回true,否则false。

web15185420056
关注
专栏目录
Shiro认证流程授权
weixin_46298946的博客
07-16 346
Shiro概要架构 在概念层面,Shiro 架构包含三个主要的理念: Subject :主体对象,负责提交用户认证授权信息。 SecurityManager:安全管理器,负责认证授权等业务实现。 Realm:领域对象,负责从数据层获取业务数据。 Shiro认证流程 1)系统调用subjectlogin方法将用户信息提交给SecurityManager。 2)SecurityManager将认证操作委托给认证器对象Authenticator。 3)Authenticator将用户输入的身份信息传递给
极简入门,Shiro认证授权流程解析
java思维导图
05-08 474
小Hub领读:接下来的几天,我们开讲Shiro,从入门到分析、集成、单点登录整合等几篇。今天我们先来认识一下Shiro吧~其实Shiro框架并不难,我梳理了一下,你只需要学会以下内容基本...
Shiro认证授权过程
weixin_44736853的博客
07-30 2308
认证:是一个身份验证的过程,要证明他们的身份,需要提供principals(身份)和credentials(凭证)。身份有多种,包括邮箱,账号等能表示subject身份的信息,凭证有密码,指纹,数字证书等。一般就是登录,获取账号和密码。 认证过程主要分为三步: step1:收集subject的principals(身份)和credentials(凭证) 1.首先拿到当前currentUser, Subject currentUser = SecurityUtils.getSubject(); 1.1利用c
shiro认证授权步骤
Jenny_yao的博客
05-03 295
认证的步骤 访问Login的uri 获取subject判断是否认证认证进行subject.login(token) 缓存中没有的话从自定义realm Custrealm中获取数据库中的凭证和密码等信息 使用credentialMatcher比较token(前端获取的密码)和info(数据库获取的密码)是否一致 认证失败抛出异常 授权步骤 访问限定权限的uri 执行权限验证方法 subject.isPermitted(String permission )
shiro认证授权,加密(ssm+shiro
qq_58003121的博客
01-26 2378
1、shiro 是什么 shiro 是一个功能强大和易于使用的Java安全框架,为开发人员提供一个直观而全面的解决方案的认证授权,加密,会话管理。 2、Shiro四大核心功能:Authentication,Authorization,Cryptography,Session Management 3.Shiro三个核心组件:Subject, SecurityManager 和 Realms.   Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是S
shiro认证授权demo
10-28
这个"shiro认证授权demo"应该包含了设置Shiro环境、配置 Realm、创建 SecurityManager、定义用户角色和权限以及处理登录、登出等核心功能的示例代码。 1. **Shiro环境设置**:首先,需要在项目中引入Shiro的依赖...
shiro认证授权
08-03
当用户尝试登录时,Shiro调用 `Subject.login(token)` 方法,启动认证流程。 在 `shiro-demo` 中,你可能会看到类似以下的代码: ```java Subject subject = SecurityUtils.getSubject(); ...
Shiro 认证授权详解
皓晨的架构笔记
03-27 8112
1     权限管理1.1用户身份认证1.1.1  概念         身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。1.1.2  用户名密码身份认证流程1.1.3  关键对象      ...
Shiro认证授权过程
weixin_43833993的博客
03-01 1721
Shiro认证过程 - 认证执行流程 1、通过ini配置文件创建securityManager 2、调用subject.login方法主体提交认证,提交的token 3、securityManager进行认证,securityManager最终由ModularRealmAuthenticator进行认证。 4、ModularRealmAuthenticator调用IniRealm(给r...
shiro认证授权的过程
05-01
NULL 博文链接:https://yuhuiblog695685688425687986842568269.iteye.com/blog/2405483
Jeesite 登录login涉及到shiro验证和授权流程分析
05-29
实习生阶段:进来公司没任何培训,给了我们几个实习生一个月的时间自学SSM框架、掌握开源JeeSite框架和使用JeeSite开发一个小demo(突然感觉头有点大,没人带)然后自己被分配了做涉及使用shiro的登录模块的开发,随时做下笔记,第一次写博客,第一篇博客在此主要分析一下下Jeesite 登录时通过shiro验证和授权的主要流程(关于shrio,先学习下快速入门的使用知识,http://www.cnblogs.com/learnhow/p/5694876.html
Shiro】3. Shiro授权流程
xiaoyuan_27的博客
12-20 799
授权 授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。 授权的关键对象 授权可简单理解为Who对What / Which进行How操作。 Who:主体(Subject),主体需要访问系统中的资源。 What / Which:资源(Resource),如系统菜单、页面、按钮、类方法、系统商品信息等。资源包括资源类型和资源实例,比如商品信息为资源类型,类型为Type01的商品为资源实例,编号为001的商品信息也属于资源实例。
shiro授权认证流程
遇见未知的自己
08-15 1429
shiro中有两个比较重要的流程,一个是认证流程,一个是授权流程。 一、认证流程     Authentication是指身份验证的过程,即证明一个用户实际上是不是他们所说的他们是谁。也就是用户提交身份和凭证给shiro,然后来判断他们是否和可以登录系统。 1.概念 Principals(身份):是subject的标识属性,比如:提交的用户名 Credenticals(凭
初步了解Shiro
Java追求者的博客
05-29 533
1. 什么是Shiro Shiro是一个功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理。使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序―从最小的移动应用程序到最大的web和企业应用程序。 Shiro官网:http://shiro.apache.org/architecture.html Shiro在线中文文档学习:https://www.w3cschool.cn/shiro/co4m1if2.html 2. Shiro的核心架构 2.1 Subject Su
安全框架Shiro——Shiro认证授权流程
Guizy
05-29 1493
一、认证流程 获取当前的Subject, 调用SecurityUtils.getSubject(); 测试当前用户是否已经被认证, 即是否已经登录, 调用Subject的isAuthentication() 若没有被认证, 则把用户名和密码封装为UsernamePasswordToken对象 创建一个表单页面 把请求提交到Controller中 获取用户名和密码 前台执行登录, 调用S...
shiro学习笔记4——认证流程+授权流程
xinpz的博客
08-03 657
shiro第二天 shiro授权 shiro和企业项目整合开发   1 复习   什么是权限管理? 权限管理是系统的安全范畴,要求必须是合法的用户才可以访问系统(用户认证),且必须具有该 资源的访问权限才可以访问该 资源(授权)。 认证:对用户合法身份的校验,要求必须是合法的用户才可以访问系统。 授权:访问控制,必须具有该 资源的访问权限才可以访问该 资源。   权限模型:标准权...
Shiro认证流程和鉴权流程
qq_35987642的博客
09-01 694
1> 将需要登陆的账号和密码封装成UsernamePasswordToken 2> 从SecurityUtils中获取Subject对象,然后调用login方法,然后把token作为参数传入 3> 调用subject.login()之后,会交给SecurityManager进行请求的处理 4> 安全管理器SecurityManager会把请求转发给认证器Authenticator 5> 认证器 Authenticator 会调用Realm中的方法并把token...
Shiro中的认证授权流程是怎样的?
最新发布
alankuo的专栏
10-01 924
【代码】Shiro中的认证授权流程是怎样的?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值