shiro之身份验证(一)

最新推荐文章于 2023-07-12 19:45:00 发布
最新推荐文章于 2023-07-12 19:45:00 发布
阅读量448 收藏
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43113679/article/details/98744564
版权

shiro原理和框架图什么的这就不说了,主要是实际的操作,大家可以参考Shiro 简介看看Shiro的工作原理

1、添加依赖

因为是第一篇,所以还是写上这个

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.4.1</version>
</dependency>

在这里插入图片描述

2、身份验证

(1)先来个小测试,能不能通过

在这里插入图片描述
首先创建一个shiro.ini的文件,里面存的是账号密码
在这里插入图片描述
下面是测试程序

package auth;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;
import org.junit.Test;

public class AuthenticatetTest {

    @Test
    public void authenticationTest() {
         创建DefaultSecurityManager,以前的IniSecurityManagerFactory被舍弃了
    	DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
    	//创建iniRealm
    	IniRealm iniRealm = new IniRealm("classpath:shiro.ini");
    	//把iniRealm添加进DefaultSecurityManager
        defaultSecurityManager.setRealm(iniRealm);        
        // 将securityManager设置当前的运行环境中
        SecurityUtils.setSecurityManager(defaultSecurityManager);        
        // 从SecurityUtils里边创建一个subject
        Subject subject = SecurityUtils.getSubject();
        // 在认证提交前准备token(令牌)
        // 这里的账号和密码 将来是由用户输入进去
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123");
        try {
            // 执行认证提交
            subject.login(token);
        } catch (AuthenticationException e) {
        	//如果你提交的token和shiro.ini里面的数据没有匹配的就会报错
            e.printStackTrace();
        }

        // 是否认证通过
        boolean isAuthenticated = subject.isAuthenticated();
        System.out.println("是否认证通过:" + isAuthenticated);
        // 退出操作
        subject.logout();
        // 是否认证通过
        isAuthenticated = subject.isAuthenticated();
        System.out.println("是否认证通过:" + isAuthenticated);

    }
}

在这里插入图片描述
没问题,下面说一下注意事项

如果你输入的账号密码没有问题,那就subject.isAuthenticated();就会为true,如果查询不到就会报错,具体谁执行看下面:
ModularRealmAuthenticator接收IniRealm返回Authentication认证信息

  1. 如果查询到用户账号,就给ModularRealmAuthenticator返回用户信息(账号和密码),之后对IniRealm中的用户密码 (在ini文件中存在)和自己提交的token的密码进行比对,一模一样subject.isAuthenticated();就会为true,不一致抛出org.apache.shiro.authc.IncorrectCredentialsException
  2. 如果查询不到账户,就给ModularRealmAuthenticator返回null,并抛出org.apache.shiro.authc.UnknownAccountException
(2)完整的身份验证逻辑

下面是参考官方案例10 Minute Tutorial on Apache Shiro


import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.Subject;
import org.junit.Test;

public class AuthenticatetTest {

    @Test
    public void authenticationTest() {
    	  //获取本地资源文件,设置realm为本地的资源文件
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        IniRealm iniRealm = new IniRealm("classpath:shiro.ini");
        defaultSecurityManager.setRealm(iniRealm);
        SecurityUtils.setSecurityManager(defaultSecurityManager);
    	 //获取对象主体
        Subject currentUser = SecurityUtils.getSubject();
        //获取session
        Session session = currentUser.getSession();
        session.setAttribute( "someKey", "aValue" );
        //判断是否登陆过
        if ( !currentUser.isAuthenticated() ) {
            //没有登陆. 就登陆
            UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "1234");
            //请记住我,也就是shiro操作cookie实现自动登录,这可以先不了解,
            token.setRememberMe(true);
            try {
                currentUser.login( token );
               System.out.println( "User [" + currentUser.getPrincipal() + "] logged in successfully." );              
               	//退出
                currentUser.logout();
                System.out.println( "User [" + currentUser.getPrincipal() + "] logged in successfully." );         
            } catch ( UnknownAccountException e ) {
            	System.out.println("用户名不存在"+e);
            } catch ( IncorrectCredentialsException e ) {
            	System.out.println("密码不正确"+e);
            } catch ( LockedAccountException e ) {
                System.out.println("账户被锁定?"+e);
            } catch ( AuthenticationException e ) {
            	System.out.println("AuthenticationException"+e);
            }
        }
        //正常退出
        System.exit(0);
   

    }
}
胖墩的IT
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro(权限开元轻量级框架)
anhldd的博客
12-23 823
什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统, 分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。 在应用程序角度来观察如何使用Shiro完成工作(图01) ini文件 Subject:主体,代表了当...
实现Shiro的简单认证和授权
m0_61614875的博客
02-04 651
配置了Realm类之后,登陆用户会自动走doGetAuthorizationInfo(授权),doGetAuthenticationInfo(认证方法)方法,通过doGetAuthenticationInfo来获取当前登陆用户的信息,Token.getUsername()是获取用户的用户名,其中传过来的字段名必须是username,不然不会配对。安全框架,提供了认证、授权、加密和会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro 要简单的多。
shiro身份验证
weixin_34219944的博客
06-26 145
2019独角兽企业重金招聘Python工程师标准>>> ...
shiro进行身份验证的流程
qq_38930240的博客
01-28 601
1.Subject.login(token)  ,委托SecurityManager,所有使用前要用SecurityUtils.setSecurityManager(),设置安全管理者 2.SecurityManager委托给Authenticator进行身份验证 3、Authenticator 才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自 定义插入自己的实...
Shiro基本知识-身份认证-权限验证
qq_43590989的博客
03-14 710
Shiro基本知识-身份认证-权限验证什么是Shiro?为什么使用Shiro?什么时候使用Shiro?Shiro架构设计基于Shiro实现身份验证身份验证整体实现逻辑持久层开发在项目中添加Shiro的依赖开发Realm类开发Shiro配置类控制器层开发登录页面开发功能测试基于Shiro实现权限验证权限验证整体实现逻辑持久层开发通过用户id获取角色id通过角色id获取菜单id通过菜单id获取perm...
基于spring boot 2和shiro实现身份验证案例
08-19
基于Spring Boot 2和Shiro实现身份验证案例是当前网络安全领域中的一种常见解决方案。Shiro是一个功能强大且易于使用的Java安全框架,官网:https://shiro.apache.org/。主要功能有身份验证、授权、加密和会话管理。...
shiro身份验证、授权
04-22
它涵盖了身份验证(Authentication)、授权(Authorization)、密码策略(Cryptography)以及会话管理(Session Management)等多个核心安全领域,使得开发者可以轻松地在Java应用中实现安全控制。 **身份验证...
Shiro 身份验证、授权、密码和会话管理
05-07
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了身份验证、授权、密码管理和会话管理等功能,简化了在 Java 应用程序中处理安全性的问题。Shiro 的设计目标是使开发者能够专注于应用程序的安全逻辑,而...
Shiro学习第一式身份验证2
02-25
Apache Shiro是一个强大的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能,使得在Java应用中处理安全性变得更加简单。"Shiro学习第一式身份验证2"着重讲解了Shiro身份验证过程,包括单个Realm、多个...
shiro+spirngmvc 验证 IntelliJ IDEA
09-13
Apache Shiro是一款轻量级的安全框架,适用于Java应用的安全管理,包括认证(身份验证)、授权(权限控制)、会话管理和加密服务。Shiro的简单API使得集成到现有的应用中变得容易,而不需要大量安全相关的代码。 **...
Shiro学习笔记(三)——shiro实现认证
驼君的小小博客园
02-07 355
基本概念 身份验证 即在应用中谁能证明他就是他本人。一般提供如他们的身份ID 一些标识信息来 表明他就是他本人,如提供身份证,用户名/密码来证明。 在 shiro 中,用户需要提供 principals 和 credentials 给shiro,从而应用能验证用户身份 principals 身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principal...
shiro架构&认证 -Shiro
qq_43409973的博客
03-22 781
shiro架构&认证 -Shiro
Shiro身份验证(三)
小小舒宸的专栏
11-27 8669
身份验证就是验证身份的过程,即在应用程序中验证他们到底存不存在。为了验证他们的身份,他们需要提供一些让应用程序信任的标识信息。 在Shiro中,用户必须提供principals(身份)和credentials(凭证)给Shiro,让应用程序验证用户身份。 Principals是一个主体的标识属性,它可以是任何东西,比如用户名、邮箱和手机等唯一标识。虽然Subject可以有任意数量pri
Shiro入门 -- 认证过程详解
zhouth94的博客
05-19 442
1、Shiro认证流程
Shiro权限控制笔记要点
Harry的博客
06-07 251
一.Shiro 1.1 权限管理过滤器解释: Authentication :身份认证/登录,验证用户是不是拥有相应的身份; Authorization :授权,即权限验证验证某个已认证的用户是否拥有某个权限;即判断用户是否能 做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限; Session Manager :会话管理,即用户登录后就是...
X-ray捡洞中遇到的高频漏洞(Shiro默认key、备份文件&敏感目录泄露、Druid未授权访问、phpstudy-nginx解析漏洞、dedecms-cve-2018-6910)
Love&Share
11-10 9499
用 X-Ray 刷洞发现一些出现频率高的漏洞,把漏洞原理和利用方式稍作整理,按照危害排名,低危漏洞可以收集一些信息然后深度利用变高危 文章目录直接利用Shiro默认keySql注入备份文件&敏感目录泄露Druid未授权访问XSS有条件利用phpstudy-nginx解析漏洞dedecms-cve-2018-6910鸡肋Apache Tomcat Examples未删除go-pprof资源监控信息泄露ELSE配置xray反连360提交漏洞 直接利用 Shiro默认key Xray提示:shiro/s.
【应用】SpringBoot -- Shiro 实现认证与鉴权
情绪瓜皮皮丶的学习之路
09-24 1207
SpringBoot 中使用 Shiro 框架实现账号认证与权限鉴别
Shiro认证和鉴权的流程
web13985085406的博客
08-24 1337
Realm: 域,shiro从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;8.认证器Authenticator会拿到传入token中的password和返回认证信息对象SimpleAuthenticationInfo中的password进行比对,如果不一致则抛出异常.4.然后判断用户的角色/权限集合中是否包含当前判断的权限,如果包含返回true,否则返回false.
Shiro【散列算法、Shiro会话、退出登录 、权限表设计、注解配置鉴权 】(五)-全面详解(学习总结---从入门到深化)
最新发布
07-12 759
Shiro【散列算法、Shiro会话、退出登录 、权限表设计、注解配置鉴权 】(五)-全面详解(学习总结---从入门到深化)
Shiro教程详解:身份验证、授权与Web集成
Shiro教程PDF版是一份详尽的指南,旨在帮助读者深入了解Apache Shiro,一个强大的安全框架,用于实现Web应用中的身份验证、授权和会话管理等功能。该教程分为多个章节,内容涵盖以下几个关键部分: 1. **第一章:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值