shiro中的认证

于 2022-10-03 16:20:58 发布
阅读量510 收藏
点赞数
分类专栏: shiro 文章标签: shiro shiro认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41842236/article/details/127152868
版权

文章目录

一、认证

身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。

二、 shiro中认证的关键对象

1、subject:主体

访问系统的用户,主体可以是用户、程序等,进行认证的都称为主体;

2、Principal:身份信息

是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等,一个主体可以有多个身份,但是必须有一个主身份(Primary Principal)。

3、credential:凭证信息

是只有主体自己知道的安全信息,如密码、证书等。

三、认证流程

在这里插入图片描述

四、认证的开发

1、创建maven项目并引入依赖

<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-core</artifactId>
  <version>1.5.3</version>
</dependency>

2、引入shiro配置文件并加入如下配置

[users]
zhangsan=123
lisi=456
czy=789

在这里插入图片描述

3、开发认证代码

// 测试shiro的身份认证
public class TestAuthenticator {
    public static void main(String[] args) {
        // 1.创建shiro的安全管理器
        DefaultSecurityManager securityManager = new DefaultSecurityManager();

        // 2.给安全管理器设置realm
        securityManager.setRealm(new IniRealm("classpath:shiro.ini"));

        // 3.SecurityUtils 给全局安全工具类设置安全管理器
        SecurityUtils.setSecurityManager(securityManager);

        // 4.使用SecurityUtils获取用户的身份信息subject主体
        Subject subject = SecurityUtils.getSubject();

        // 5.创建令牌
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan1", "1233");

        try {
            System.out.println("身份认证:" + subject.isAuthenticated());
            // 6.进行身份认证
            subject.login(token);
            System.out.println("身份认证:" + subject.isAuthenticated());
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户名不存在!");
        }catch (IncorrectCredentialsException e) {
            e.printStackTrace();
            System.out.println("密码错误!");
        }
    }
}

五、自定义Realm

上边的程序使用的是Shiro自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义Realm。

1、shiro提供的Realm

在这里插入图片描述

2、根据认证源码认证使用的是SimpleAccountRealm

在这里插入图片描述
SimpleAccountRealm的部分源码中有两个方法一个是认证 一个是授权

public class SimpleAccountRealm extends AuthorizingRealm {
//......
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken upToken = (UsernamePasswordToken)token;
        SimpleAccount account = this.getUser(upToken.getUsername());
        if (account != null) {
            if (account.isLocked()) {
                throw new LockedAccountException("Account [" + account + "] is locked.");
            }

            if (account.isCredentialsExpired()) {
                String msg = "The credentials for account [" + account + "] are expired";
                throw new ExpiredCredentialsException(msg);
            }
        }

        return account;
    }

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = this.getUsername(principals);
        this.USERS_LOCK.readLock().lock();

        AuthorizationInfo var3;
        try {
            var3 = (AuthorizationInfo)this.users.get(username);
        } finally {
            this.USERS_LOCK.readLock().unlock();
        }

        return var3;
    }
}

3、自定义Realm

/**
 * 自定义realm
 */
public class CustomRealm extends AuthorizingRealm {
    // 授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    // 认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 通过token获取用户输入的信息
        String principal = (String) token.getPrincipal();
        System.out.println(principal);
        // 通过用户名来查询数据库中的信息 jdbc jpa mybatis
        if ("zhangsan".equals(principal)){
            // 参数1:返回数据库中正确的用户名   参数2:返回数据库正确的密码     参数3:获取当前realm的名字
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(principal, "123", this.getName());
            return simpleAuthenticationInfo;
        }
        return null;
    }
}

4、使用自定义Realm认证

/**
 * 测试使用自定义的realm来实现shiro身份认证
 */
public class TestCustomRealmAuthenticator {
    public static void main(String[] args) {
        // 1.创建安全管理器
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        // 2.设置自定义的realm(相当于从数据库中读取的)
        defaultSecurityManager.setRealm(new CustomRealm());
        // 3.使用安全工具类设置管理器
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        // 4.使用安全工具类获取subject主体
        Subject subject = SecurityUtils.getSubject();
        // 5.使用用户名和密码创建一个令牌token(相当于用户自己输入的用户名和密码信息)
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123123");

        try {
            // 6.使用subject进行登录
            subject.login(token);
            System.out.println(subject.isAuthenticated());
        } catch (UnknownAccountException e){
            e.printStackTrace();
            System.out.println("用户名错误!");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("密码错误!");
        }
    }
}

六、使用MD5和Salt

实际应用是将盐和散列后的值存在数据库中,Realm从数据库取出盐和加密后的值由shiro完成密码校验。
MD5加密算法的特点:算法不可逆(只能由明文加密得到密文,反之则不行);如果内容相同,无论进行多少次MD5加密其结果始终保持一致。
MD5算法的应用:加密; 签名

1、自定义md5+salt的Realm

/**
 * 自定义一个带有MD5 + salt + 散列的realm
 */
public class CustomMD5Realm extends AuthorizingRealm {


    // 授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    // 身份认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 从token中获取身份信息
        String principal = (String) token.getPrincipal();
        // 根据用户名到数据库中进行查找
        if ("zhangsan".equals(principal)){
            return new SimpleAuthenticationInfo(principal,
                    "4090ec9c2cfd8341455ae0e6c80ae696",
                    ByteSource.Util.bytes("QPX@!"),
                    this.getName());
        }
        return null;
    }

}

2、使用md5 + salt 认证

**
 * 测试MD5加密算法身份认证
 */
public class TestCustomMD5RealmAuthenticator {
    public static void main(String[] args) {
        // 1.创建安全管理器
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        // 2.设置自定义realm
        CustomMD5Realm customMD5Realm = new CustomMD5Realm();

        // 使用hash凭证匹配器
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        // 使用的加密算法
        hashedCredentialsMatcher.setHashAlgorithmName("md5");
        // 设置哈希散列的次数
        hashedCredentialsMatcher.setHashIterations(1024);

        customMD5Realm.setCredentialsMatcher(hashedCredentialsMatcher);

        defaultSecurityManager.setRealm(customMD5Realm);
        // 3.注入安全工具类
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        // 4.获取subject主体
        Subject subject = SecurityUtils.getSubject();
        // 5.获取token
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123");

        try {
            // 6.登录认证
            subject.login(token);
            System.out.println("登录成功");
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户名错误!");
        }catch (IncorrectCredentialsException e) {
            e.printStackTrace();
            System.out.println("密码错误!");
        }
    }
}
@青春之路
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro认证后获取登录用户信息
cccp_2009的博客
12-10 1918
1、shiro.xml配置认证成功跳转路径后再该方法: /** * shiro认证后获取用户信息进入首页 * @param model * @return */ @RequestMapping("index.do") public String index(Model model){ Subject subject ...
shiro——认证
08-05
对应博客:https://blog.csdn.net/fancheng614/article/details/81433130
Shiro 缓存认证信息和授权信息
05-30 451
spring-shiro.xml文件配置 <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="customAuthorizingRealm"/> <...
浅谈shiro认证
qq_54778098的博客
08-07 748
shiro认证流程和细节
shiroWeb项目-认证及MD5认证信息在页面显示(十)
weixin_30654419的博客
07-29 79
realm设置完整认证信息 // realm的认证方法,从数据库查询用户信息 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // token是...
shiro-realm查询认证信息在页面展示
weixin_38104426的博客
05-19 484
认证信息在页面显示 1、认证后用户菜单在首页显示 2、认证后用户的信息在页头显示 修改realm设置完整认证信息 realm从数据库查询用户信息,将用户菜单、usercode、username等设置在SimpleAuthenticationInfo。 先使用静态代码实现: //注入SysService来调用数据库的相关数据 @Auto
Shiro框架认证流程
weixin_43808717的博客
10-06 748
1、Shiro框架介绍 Shiro 是一个功能强大和易于使用的安全框架,为开发人员提供一个直观而全面的解决方案的认证,授权,加密,会话管理四大功能! Subject:主体,subject记录了当前操作用户,将当前登录访问的用户信息存在其。 Authenticator:身份认证/登录,验证用户账号密码是否正确。 Authorizer:授权,根据不同的用户发放不同的权限。 SessionManager:会话管理,它不依赖web容器的session,因此Shiro也可以使用在非web应用上
shiro认证及授权demo
10-28
包含使用Shiro实现认证和授权的Demo,对应博客:https://blog.csdn.net/fancheng614/article/details/83477345
shiro jwt登录认证
05-20
该项目使用了springboot、mybaits-plus、jwt、shiro、redis。mybaits-plus基本没用,只做了一次数据库查询,redis暂时不使用,登录验证成功后再追加redis操作。
shiro认证.pdf
08-13
shiro 认证 #资源达人分享计划 # 技术文档
shiro认证授权
08-03
shiro入门认证和授权的相关代码,博客地址:http://blog.csdn.net/u014532775/article/details/76620643
shiro登录认证过程讲解
热门推荐
caoyang0105的博客
09-19 3万+
先粘出登录的代码 @RequestMapping(value="/submitLogin",method = RequestMethod.POST) @ResponseBody public Map&lt;String, Object&gt; submitLogin(String username,String password){ System.out.pri...
Shiro 认证授权详解
皓晨的架构笔记
03-27 8014
1     权限管理1.1用户身份认证1.1.1  概念         身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。1.1.2  用户名密码身份认证流程1.1.3  关键对象      ...
Shiro权限管理】12.Shiro认证策略
程序猿之洞
11-26 2686
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。 上一篇我们讲到了Shiro的多Realm验证,并且编写实例进行了测试。对于多Realm校验,我们还需要知道,两个Realm时,怎么才能知道认证通过了?是一个Realm通过了就通过,还是全部Realm通过了才通过,还是其它?这就牵扯到了认证策略。 认证策略实际上是AuthenticationStrategy这个接口,它有三个
led-Opt.Bak
05-21
毕设&课设&项目&实训- 【项目资源】: 包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。 包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。 【项目质量】: 所有源码都经过严格测试,可以直接运行。 功能在确认正常工作后才上传。 【适用人群】: 适用于希望学习不同技术领域的小白或进阶学习者。 可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【附加价值】: 项目具有较高的学习借鉴价值,也可直接拿来修改复刻。 对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。 【沟通交流】: 有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。 鼓励下载和使用,并欢迎大家互相学习,共同进步。
【图像加密解密】基于matlab菲涅尔域双随机相位编码图像加密解密【含Matlab源码 4548期】.mp4
05-21
Matlab研究室上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描视频QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
人工智能项目+OpenCV+实例分割+Cpp实现+模型部署+qt界面+完全可用版+C++
05-21
【内容概要】 本C++项目,集成OpenCV库与实例分割模型,实现了对图像不同对象的精确分割。项目采用先进的实例分割算法,并以C++为核心开发语言,搭配Qt框架构建用户友好型图形界面。完成模型训练后,实现了模型的高效部署,用户可直接通过QT界面上传图片,以及选择模型地址,就可获取分割后的结果。 【适用人群】 适合C++开发者、CV工程师、机器学习研究者及对AI技术有浓厚兴趣的学生群体。 【使用场景】 广泛适用于工业检测、医学影像分析、农林业病虫害识别、智能监控系统及AR增强现实等领域。无论是学术研究的数据预处理,还是企业级产品的图像分析功能开发,该项目都能提供坚实的技术支撑。 【目标】 项目旨在通过实战演练,帮助开发者掌握从理论到实践的全过程:包括模型选择与优化、C++接口的OpenCV操作、Qt界面设计与交互逻辑实现,直至模型的高效部署与应用。最终目标是打造一个即拿即用的实例分割工具,促进AI技术在多领域的落地应用,同时提升开发者在复杂项目。
netty-resolver-4.1.22.Final.jar
05-21
javaEE javaweb常用jar包 , 亲测可用,下载后导入到java工程使用。
node-v4.8.6-headers.tar.xz
最新发布
05-21
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
shiro 认证的流程
07-30
下面是Shiro认证的基本流程: 1. 创建SecurityManager:首先,你需要创建一个SecurityManager对象,它是Shiro的核心组件之一。SecurityManager负责协调整个认证和授权过程。 2. 创建Subject:Subject代表当前操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值