Shiro认证过程

最新推荐文章于 2024-07-08 16:55:04 发布
最新推荐文章于 2024-07-08 16:55:04 发布
阅读量200 收藏
点赞数 1
分类专栏: Shiro 文章标签: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43319635/article/details/103426115
版权

1.身份认证流程

在这里插入图片描述

  • 获取当前的 Subject. 调用 SecurityUtils.getSubject();
  • 测试当前的用户是否已经被认证. 即是否已经登录. 调用 Subject 的 isAuthenticated()
  • 若没有被认证, 则把用户名和密码封装为 UsernamePasswordToken 对象
  • 首先调用 Subject.login(token) 进行登录,其会自动委托给SecurityManager
  • SecurityManager 负责真正的身份验证逻辑;它会委托给Authenticator 进行身份验证;
  • Authenticator 才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自定义插入自己的实现;
  • Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证,默认 ModularRealmAuthenticator 会调用AuthenticationStrategy 进行多 Realm 身份验证;
  • Authenticator 会把相应的 token 传入 Realm,从 Realm 获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。
  • 自定义 Realm 的方法, 从数据库中获取对应的记录, 返回给 Shiro.

2.Realm类

  • 授权需要继承 AuthorizingRealm 类, 并实现其 doGetAuthorizationInfo 方法
  • AuthorizingRealm 类继承自 AuthenticatingRealm, 但没有实现 AuthenticatingRealm 中的
    doGetAuthenticationInfo, 所以认证和授权只需要继承 AuthorizingRealm 就可以了. 同时实现他的两个抽象方法.

如何把一个字符串加密为 MD5?
替换当前 Realm 的 credentialsMatcher 属性. 直接使用 HashedCredentialsMatcher 对象, 并设置加密算法即可

<bean id="jdbcRealm" class="com.liang.realm.ShiroRealm">
        <property name="credentialsMatcher">
        	<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
        		<property name="hashAlgorithmName" value="MD5"></property>
        		<!-- 加密次数 -->
        		<property name="hashIterations" value="10"></property>
        	</bean>
        </property>
    </bean>

为什么使用 MD5 盐值加密?
即使两个人的明文密码一样,加密后的密码也是不一样的
如何做到盐值加密?
1). 在 doGetAuthenticationInfo 方法返回值创建 SimpleAuthenticationInfo 对象的时候, 需要使用
SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName) 构造器
2). 使用 ByteSource.Util.bytes() 来计算盐值.
3). 盐值需要唯一: 一般使用随机字符串或 user id
4). 可以使用 new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations); 来计算盐值加密后的密码的值.

ByteSource credentialsSalt=ByteSource.Util.bytes(username);//盐值,一般使用随机字符串或 user id,即使两个人的明文密码一样,加密后的密码也是不一样的

3.AuthenticationStrategy认证策略

  • AuthenticationStrategy 接口的默认实现:
  • FirstSuccessfulStrategy:只要有一个 Realm 验证成功即可,只返回第 一个 Realm
    身份验证成功的认证信息,其他的忽略;
  • AtLeastOneSuccessfulStrategy:只要有一个Realm验证成功即可,和
    FirstSuccessfulStrategy 不同,将返回所有Realm身份验证成功的认证信 息;
  • AllSuccessfulStrategy:所有Realm验证成功才算成功,且返回所有
    Realm身份验证成功的认证信息,如果有一个失败就失败了。
  • ModularRealmAuthenticator 默认是 AtLeastOneSuccessfulStrategy 策略
Insane'
关注
专栏目录
shiro认证流程
知识在于积累
04-28 1594
3.1shiro认证流程(掌握!!!)    1、subject.login(token);     token:令牌,包括账号和密码     token是根据当前用户请求的账号和密码去构造!     2、securityManager.login(token)     3、Authenticator.login(token) (重点理解部分)      Authenticat
01-shiro认证流程.md
07-31
### Shiro 认证流程详解 #### 一、权限管理概览 权限管理是指在信息系统中,为了确保数据的安全性和完整性,对用户访问系统资源的行为进行控制的一种机制。权限管理通常涉及两个主要方面:用户认证(User ...
Shiro】2. Shiro认证流程
xiaoyuan_27的博客
12-20 822
认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。 认证的关键对象 Subject:主体,主体可以是访问系统的用户、应用程序等。需要进行认证的都称为主体。 Principal:身份信息,是主体(Subject)进行身份认证的标识,标识必须具有唯一性。如用户名、手机号、邮箱地址等。一个主体可以有多个身份,但是必须有一个主身份(Primary Principal)
Shiro框架2——shiro认证+shiro的授权
最新发布
qq_64064246的博客
07-08 1310
通过分析源码可得:认证:1.最终执行用户名比较是 在SimpleAccountRealm类 的 doGetAuthenticationInfo 方法中完成用户名校验2.最终密码校验是在 AuthenticatingRealm类 的 assertCredentialsMatch方法 中总结:认证realm授权realm自定义Realm的作用:放弃使用.ini文件,使用数据库查询。
Shiro认证流程
qq_43654581的博客
10-29 457
了解Shiro认证流程
Shiro-----Shiro认证流程
qq_48788523的博客
01-09 3118
晚上睡觉花了几分钟了解了一下Shiro认证流程 ,
shiro认证过程
ITWANGBOIT的博客
10-11 2480
下图为调用subject.login()方法进行登录认证时的方法调用过程。 大致过程为: 1:当调用subject.login方法时,实际上调用的是SecurityManager的login方法。 2:SecurityManager里有个Authenticator(即认证器),SecurityManager会将认证动作交给认证器,认证器可以设置认证策略(这里不说)。 3:Securit...
javaSE环境下Shiro认证过程以及部分API
11-18
本篇文章将深入探讨Shiro认证过程,并介绍一些常用的API,帮助你更好地理解和应用Shiro。 首先,我们来了解Shiro认证过程。在Shiro中,认证是指验证用户身份的过程。它通常包括以下步骤: 1. **凭证匹配器...
计算机后端-Java-java高手加薪课视频教程16 shiro认证流程.mp4
05-21
计算机后端-Java-java高手加薪课视频教程16 shiro认证流程.mp4
Apache Shiro 使用手册(二) Shiro 认证
09-15
Shiro认证过程中,用户需要提供实体信息(Principals)和凭据信息(Credentials)。Principals 是用来唯一标识用户的身份,比如用户名、身份证号等;Credentials 则是用来验证这些身份的证据,常见的如密码。...
shiro认证.pdf
08-13
本文档主要介绍Shiro认证的基本流程以及如何使用Shiro进行用户登录和退出操作。 首先,Shiro认证过程可以简单概括为以下步骤: 1. 用户向应用程序提供其身份凭证,如用户名和密码。 2. 应用程序将这些凭证传递给...
shiro认证授权的过程
05-01
NULL 博文链接:https://yuhuiblog695685688425687986842568269.iteye.com/blog/2405483
shiro登录验证实例
02-03
shiro登录验证实例,下载包虽然是web_exception_project.zip,但是确实是shiro登录验证实例,请放心下载,另外,实例详情请访问博主博客:http://blog.csdn.net/u013142781
Shiro认证和授权过程
weixin_44736853的博客
07-30 2296
认证:是一个身份验证的过程,要证明他们的身份,需要提供principals(身份)和credentials(凭证)。身份有多种,包括邮箱,账号等能表示subject身份的信息,凭证有密码,指纹,数字证书等。一般就是登录,获取账号和密码。 认证过程主要分为三步: step1:收集subject的principals(身份)和credentials(凭证) 1.首先拿到当前currentUser, Subject currentUser = SecurityUtils.getSubject(); 1.1利用c
shiro的具体认证流程
拉格朗日的学习笔记
09-22 1907
以后一般继承 AuthorizingRealm(授权)即可;其继承了 AuthenticatingRealm(即身份验证),而且也间接继承了 CachingRealm(带有缓存实现) package com.baizhi.springboot_shiro.shiro.realms; import com.baizhi.springboot_shiro.entity.Perms; import com.baizhi.springboot_shiro.entity.Role; import com.bai.
Shiro 认证过程
weixin_43145065的博客
10-19 180
Shiro 认证过程
shiro的基础知识储备--认证流程
wlijun_0808的博客
08-04 191
shiro功能以及基础知识 shiro主要有两部分内容,一个是认证另一个是授权 认证:当一个用户去登录系统时,shiro会去认证这个用户是否为可登录用户。 授权:一个系统会有好几种角色的用户,如管理员或者是普通用户,那怎么去定义管理员和普通用户呢这个就需要shiro中的授权机制去赋给用户不同的角色权限 认证的基础知识与流程 1,shiro认证的关键对象 **suject:**主体,访问系统的用户,主体可以使用户,程序,进行认证的窦被称为主体。 **Principal:**身份信息,基本上指的就是用户
shiro认证流程
蓄势待发
04-24 431
shiro-web认证流程 一、认证流程 访问Controller接口,获取Subject对象,实现UsernamePasswordToken,调用subject对象login方法,进入AuthenticationRealm对象中的getAuthenticationInfo方法中。 先判断缓存中是否存在认证信息,若没有跳转到自定义Realm【注册到SubjectManager中[并且在Realm中配置加密策略]】的doGetAuthenticationInfo中,通过token获取用户名调用数据库获取用户
Shiro认证流程与核心组件解析
Shiro认证流程如下: 1. **开始认证**:应用程序创建一个表示用户认证信息的AuthenticationToken实例,然后调用Subject的login()方法。 2. **SecurityManager介入**:Subject实例(通常是DelegatingSubject)会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值