【Shiro】SimpleAuthenticationInfo如何验证password

已于 2023-05-12 16:58:02 修改
阅读量1.4k 收藏 4
点赞数 1
分类专栏: shiro 文章标签: 安全 java spring boot shiro
于 2023-05-09 21:33:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42516475/article/details/130587699
版权

一、前言

通篇的关键就是知道ShiroRealm类重写的doGetAuthenticationInfo这个方法,到底是谁的方法。
在这里插入图片描述
从上图我们可以知道,ShiroRealm最终继承到了AuthenticatingRealm这个方法。

二、自定义的ShiroRealm类

ps:该图中①上的注释是没看过底层的时候,先入为主的理解。
在这里插入图片描述

在自定义的ShiroRealm中,看上去像验证的就是①,但也只是创建了一个SimpleAuthenticationInfo对象,最后②return出去就没了。
小白的我尝试Debug去找实际执行的代码,却只跳到了SimpleAuthenticationInfo类中,最后一无所获。

我们回过头看下ShiroRealm,它继承了AuthorizingRealm
在这里插入图片描述
进到了AuthorizingRealm里面,你会发现还是什么没有,但你会注意到,它继承了AuthenticatingRealm(他们的关系如 一前言 所示)。

三、AuthenticatingRealm类

在该类中,通过Find可以发现,AuthenticatingRealm类中含有抽象方法doGetAuthenticationInfo,也就意味着,ShiroRealm中@Override就是它。
在这里插入图片描述
我们在看下是谁调用了这个方法,最后可以发现,在AuthenticatingRealm类中,getAuthenticationInfo()方法里的②调用了该方法;也就是说,我们在ShiroRealm中return的内容在这里。
在这里插入图片描述

讲到这里,我们分别在看下①和③。

1、getCachedAuthenticationInfo(token)方法

①从字面意思,参数和最后对象的类名,可以知道,这就是获取token中的用户名和密码。

  • 补充:看到这里眼睛尖的朋友会发现,在上图中,①和②都是返回info(AuthenticationInfo类);代码逻辑是:
// 通过缓存和token获取用户信息
info = getCachedAuthenticationInfo(token);
// 用户信息不存在
if(info == null{
	// 在ShiroRealm中@Override,获取登录用户的信息
	info = doGetAuthenticationInfo(token);
	...
}

AuthenticationInfo类(如下图)和AuthenticationToken有点类似,可以扩展看下shiro AuthenticationToken体系
在这里插入图片描述

getCachedAuthenticationInfo主要是看缓存和token,获取用户信息。
在这里插入图片描述

2、assertCredentialsMatch(token, info)方法

在这里插入图片描述
在该方法里面有CredentialsMatcher(),虽然我不知道是什么,但下面的if里面调用了该对象的方法cm.doCredentialsMatch(token, info)
在这里插入图片描述
从接口上可以看到有4个实现类,废话不多说,一个个看了后发现第一个只返回true,第二个处理有salt的,第四个处理没salt的,第三个太长了没细看。

对比下来,salt应该就是我们要找的。
在这里插入图片描述

ps:加密对小白的我难度有点大,暂时就不再深究了,有兴趣的大佬们可以去看看。

可以看到这里,我们就知道doCredentialsMatch方法中,最后token解密的数据和数据库中的数据相同,就会返回true,也就意味着验证通过。

如果返回false,就会抛出IncorrectCredentialsException(看assertCredentialsMatch(token, info)方法的第一张图),在controller中就会捕获该异常,返回给前端。
在这里插入图片描述

四、总结图

在这里插入图片描述

Kevinllli
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro登录验证实例
02-03
shiro登录验证实例,下载包虽然是web_exception_project.zip,但是确实是shiro登录验证实例,请放心下载,另外,实例详情请访问博主博客:http://blog.csdn.net/u013142781
shiro身份验证、授权
04-22
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理.本资源用于简单的登录验证及授权功能,有配置文件、先关jar包及工具类
ShiroSimpleAuthenticationInfo使用(*)
weixin_42408447的博客
12-21 5013
SimpleAuthenticationInfo这里原理很简单,又有一些值得挖掘的东西。 //此处使用的是user对象,不是username SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( user, user.getPassword(), getName() )
浅谈关于shiro——SimpleAuthenticationInfo中的参数
李公子的博客
09-20 1万+
/** * 执行认证逻辑 */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException { System.out.println("执行认证逻辑"); ...
2.Apache Shiro核心类、接口基本解析
相互学习 共同进步
06-17 768
Subject(主题) Subject就像呈现的视图。所有Subject都绑定到SecurityManager,与Subject的所有交互都会委托给SecurityManager;可以把Subject认为是一个门面;SecurityManager才是实际的执行者 Subject currentUser = SecurityUtils.getSubject(); //获取当前执行(登录)的用户 Session session = currentUser.getSession(); //获取session会
shiro笔记之----SimpleAuthenticationInfo 验证password
hubeilihao的专栏
05-28 8045
公司项目中用的是shiro安全认证框架,从代码中看到了判断验证码的,也看到了判断用户名是否存在的,就是没有发现判断密码是否正确的,后从网上文章以及查看源码才大概了解shiro对于密码验证的流程。 自定义的shiroRealm public class ShiroRealm extends AuthorizingRealm { @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
Shiro学习之旅——SimpleAuthenticationInfo
huiguifuhuo的博客
09-08 983
示例代码 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken; String username = t
SimpleAuthenticationInfo的参数
weixin_42195162的博客
04-18 2万+
SimpleAuthenticationInfo的参数 仅供个人参考,以及学习记录。 SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( userInfo, //用户名–此处传的是用户对象 userInfo.getPassword(), //密码—从数据库中获取的密码 salt, getName()...
Shiro SimpleAuthenticationInfo使用
热门推荐
坤哥的博客
11-25 8万+
SimpleAuthenticationInfo这里原理很简单,又有一些值得挖掘的东西。 //此处使用的是user对象,不是username SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( user, u
ShiroSimpleAuthorizationInfo如何授权
kevin的博客
05-10 887
本文基于上一篇文章进行介绍【ShiroSimpleAuthenticationInfo如何验证password。经过上一篇文章的探求,这回直接找准方法;我们回过头看下ShiroRealm,它继承了AuthorizingRealm。
Java shiro登录验证实例
04-29
Java shiro登录验证实例。 shiro登录验证实例,下载包虽然是web_exception_project.zip,但是确实是shiro登录验证实例,请放心下载,另外,实例详情请访问博主博客:http://blog.csdn.net/u013142781 shiro
shiro验证登录代码实例及问题解决
08-25
主要介绍了shiro验证登录代码实例及问题解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Shiro安全验证框架
12-31
深度解析Shiro安全验证框架,整套开发视频源码以及开发文档。
安装SSL证书之后还会有不安全提示怎么办?
JoySSL230907的博客
04-20 806
在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。- 证书链完整性:确保您不仅安装了主证书,还包含了所有必要的中间证书。缺少中间证书可能导致浏览器认为证书不可信。- 清除浏览器缓存:浏览器可能缓存了旧的或错误的证书信息,清除缓存有助于加载新安装的证书。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。
如何在Android应用中安全地使用SQLite数据库,并通过SQLCipher进行加密保护
轻描时光
04-23 78
Android内置SQLite轻量级关系型数据库,可以在Android应用中存储、检索和管理结构化数据。SQLite是一个无服务器的、零配置的、事务性的SQL数据库引擎,非常适合用于移动设备和桌面应用程序中。:SQLite不需要单独的服务器进程或操作系统级别的配置。可以直接读写磁盘上的文件,非常高效且适合在资源有限的移动设备上使用。:SQLite支持ACID事务,提供了原子性、一致性、隔离性和持久性。保证了即使在发生故障的情况下,数据的完整性也能得到维护。
跨境电商测评攻略:如何安全有效地提升业绩?
zcwz888的博客
04-23 314
但自养号需要解决技术层面的问题,如果是买设备或者软件这种,可能上一秒还能用,下一秒就因为平台风控的原因批量封号,因为平台会通过ip 获取到设备的型号,地区码,监管码,主板码,WIFI地址,甚至是颜色,指纹码,IP地址等等大概几十个参数,参数关联后,触发平台机审,导致的砍单,封号。这时候要好好规划一下测评的事情,做美客多到最后你会发现,测评是最有效果的,因为测评的本质就是玩弄流量,模仿用户的真实行为让流量变得更多,从而得到跨境电商平台规则的加成,竞争激烈的产品不测评和别人竞争。
网络安全实训Day16
最新发布
Yisitelz的博客
04-26 222
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
4.3 海思SS928开发 - uboot开发 - 非安全启动镜像制作
luohaha66的博客
04-23 228
上电,启动GSL,启动uboot,引导内核启动。
无需公网IP,安全稳定实现U8C异地访问
asdaddsd的博客
04-21 268
快解析内网穿透实现在任何地域、任何时间、任何网络环境,快速访问内网的各种应用。为了进一步保证企业访问的安全性,快解析域名不仅支持https协议、免开端口,同时在无忧版、钻石版、旗舰版、星耀版增加了访问白名单、访问密码功能,让企业数据更安全。快解析内网穿透经常运用在远程办公OA、数据库、搭建web网站、ERP、访问NAS、信息管理、文件共享FTP、软件跨网互通等各种场景。在财务、人力、供应链、采购、制造、营销、研发、项目、资产、协同等领域为客户提供数字化、智能化、社会化的企业云服务产品与解决方案。
shiro权限验证代码
06-02
Shiro 是一个强大的 Java 安全框架,提供了身份认证、授权、加密等功能。以下是一个简单的 Shiro 权限验证代码示例: 1. 配置 Shiro 安全管理器 ```java // 创建一个 DefaultSecurityManager 对象 DefaultSecurityManager securityManager = new DefaultSecurityManager(); // 设置 Realm securityManager.setRealm(myRealm); // 将 SecurityManager 设置为全局的安全管理器 SecurityUtils.setSecurityManager(securityManager); ``` 2. 创建一个自定义 Realm 类 ```java public class MyRealm extends AuthorizingRealm { // 授权方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 获取当前用户 String username = (String) principals.getPrimaryPrincipal(); // 根据用户名查询该用户的角色和权限 Set<String> roles = userService.findRolesByUsername(username); Set<String> permissions = userService.findPermissionsByUsername(username); // 创建 SimpleAuthorizationInfo 对象,并设置角色和权限 SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); authorizationInfo.setRoles(roles); authorizationInfo.setStringPermissions(permissions); return authorizationInfo; } // 认证方法 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 获取用户名和密码 String username = (String) token.getPrincipal(); String password = new String((char[]) token.getCredentials()); // 查询用户是否存在 User user = userService.findByUsername(username); if (user == null) { throw new UnknownAccountException("用户不存在"); } // 验证密码 if (!passwordEncoder.matches(password, user.getPassword())) { throw new IncorrectCredentialsException("密码错误"); } // 创建 SimpleAuthenticationInfo 对象,并设置用户名和密码 SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username, password, getName()); return authenticationInfo; } } ``` 3. 在 Controller 中进行权限验证 ```java @Controller public class UserController { @RequiresPermissions("user:list") @GetMapping("/user/list") public String list() { // 用户列表页面 return "user/list"; } @RequiresPermissions("user:add") @GetMapping("/user/add") public String add() { // 添加用户页面 return "user/add"; } @RequiresPermissions("user:edit") @GetMapping("/user/edit") public String edit() { // 编辑用户页面 return "user/edit"; } } ``` 在上述代码中,@RequiresPermissions 注解表示该方法需要进行权限验证。如果当前用户拥有对应的权限,则可以访问该方法;否则将抛出 UnauthorizedException 异常。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值