Shiro的认证和授权过程

最新推荐文章于 2024-05-01 06:09:37 发布
最新推荐文章于 2024-05-01 06:09:37 发布
阅读量2.2k 收藏 7
点赞数 1
分类专栏: Shiro 文章标签: shiro java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44736853/article/details/119241461
版权

Shiro主要包括四大部分:认证,授权,session管理和加密

在这里插入图片描述

1.认证:是一个身份验证的过程,要证明他们的身份,需要提供principals(身份)和credentials(凭证)。身份有多种,包括邮箱,账号等能表示subject身份的信息,凭证有密码,指纹,数字证书等。一般就是登录,获取账号和密码。

在这里插入图片描述

认证过程主要分为三步:

step1:收集subject的principals(身份)和credentials(凭证)

首先拿到当前currentUser,

Subject currentUser = SecurityUtils.getSubject();
1.1利用currentUser可以获取用户相关信息。

例如获取到登录用户的账号和密码

currentUser.getPrincipal()
currentUser.get.Credentials()

1.1.1判断用户是否拥有某个角色

currentUser.hasRole()

1.1.2是否用于某种权限

currentUser.isPermitted()
1.2收集用户的principal和credentials。
//注意,此处的username和password是当前登录用户的账号和密码,也就是说是从登录页面传过来的。
UsernamePasswordToken token = new UsernamePasswordToken(username, password);

step2:提交用于身份验证的身份和凭证。步骤一将收集到的身份和凭证封装为token,我们需要将token提交给shiro,以进行身份验证尝试。

currentUser.login(token);

step3:处理成功或失败

如果成功登录,即为验证通过,调用isAuthenticated()将会返回true,但如果登陆失败,例如账号密码错误,账号被锁定等,我们希望能看到失败信息,即抛出异常。

try{
currentUser.login(token);
}catch(UnknownAccountException uae){
//账号错误
...
}catch(IncorrectCredentials ice){
//密码错误
...
}catch(LockedAccountException lae){
//账号被锁定
...
}catch(AuthenticationException ae){
//unexcepted errot?
...
}

2.授权,主要是检查用户的权限。

在这里插入图片描述

step1:subject调用hasRole(),cgeckRole(),isPermitted(),或checkPermission()

step2:subject通常是一个委托给securityManager的DeletingSubject或者子类,通过调用securityManager的hasRole(),cgeckRole(),isPermitted(),或checkPermission()的变种方法(securityManager实现了Authorizer接口)

step3:securityManager委托给了Authorizer实例,通过调用authorizer实例的hasRole(),cgeckRole(),isPermitted(),或checkPermission()来实现授权。authorizer实例默认是ModularRealmAuthorizer实例,支持在协调一个或多个realm。

step4检查每个配置的realm是否实现了相同的Authorizer接口,是如果是,则调用自己的hasRole ()、 checkRole () 、 isPermitted () 或 checkPermission()方法。

3.Realm

Realm是一个component,可以访问应用程序的安全数据,如用户,角色,权限等,然后将这些数据转换成Shiro可以理解的格式。Realm本质上就是一个security-specific Dao。由于realm访问的数据既有认证数据,例如账号密码,又有授权数据,例如权限和角色,所以每一个Realm可以执行认证和授权操作。

4.其他

4.1Rembered 和Authenticated的区别

Rembered的subject不是匿名的,该subject的身份不为空,是在前一个session期间身份认证过程中记住的,调用subject.isRembered()将返回true。
Authenticated是在当前session期间验证通过的subject,调用isAuthenticated()将返回true.

4.2为什么要设置Rembered 和Authenticated?

为了安全。记住我功能为了方便登录,只是说明是上一次验证过的用户,当其他人使用记住我登录时我们的账号时,就不应该有操作敏感信息的权限,例如查看财务信息等,这时必须要认证,也就是输入账号密码才能操作。用记住我登录的只有访问普通信息的权限。

4.3Logout(注销)

当subject完成所有交互后需要释放所有身份信息,此时调用current.logout()即可。
CountingStars619
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro认证授权过程
weixin_43833993的博客
03-01 1703
Shiro认证过程 - 认证执行流程 1、通过ini配置文件创建securityManager 2、调用subject.login方法主体提交认证,提交的token 3、securityManager进行认证,securityManager最终由ModularRealmAuthenticator进行认证。 4、ModularRealmAuthenticator调用IniRealm(给r...
Shiro认证授权
编程小白养成手记
08-12 482
shiro实战教程 一、权限管理 1.1什么是权限管理 基本上涉及到用户参与的系统都需要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证授权两部分,简称认证授权。对于需要访问控制的资源,用户首先经过身份认证通过后,如果该用户有访问这个资源的权限才可以继续访问。 1.2用户身份认证 概念 所谓的身份认真就是判断一个用户是否是合法用户的过程。最常见的就是通过用户输入用户名和密码来校验,看
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
Springboot基础学习之(十七):通过Shiro实现用户得到登录认证授权
m0_52479012的博客
04-13 3287
springboot项目:通过shiro实现用户的认证授权服务 设置网页的访问权限,不同的网页是具有不同的权限的用户才能够访问的
2024年最全Shiro安全框架——【快速入门、登录拦截、用户认证
最新发布
05-01 320
);} else {”);//注销//退出三、SpringBoot 集成 Shiro1.编写测试环境1.在刚刚的父项目中新建一个 springboot 模块2.导入 SpringBoot 和 Shiro 整合包的依赖SpringBoot 和 Shiro 整合包1.4.1下面是编写配置文件Shiro 三大要素用户 -> ShiroFilterFactoryBean管理所有用户 -> DefaultWebSecurityManager连接数据。
一文读懂 Shiro 登录认证全流程
csdn565973850的博客
09-14 5032
一起跟着源码看 Shiro 的登录认证流程
shiro(一):shiro基本概念及基本使用(认证授权)
weixin_39724194的博客
01-31 1210
身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。授权,即访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。
采用shiro实现登录认证与权限授权管理
水中加点糖
06-24 3万+
Shiro 是Shiro 是一个 Apache 下的一开源项目项目,旨在简化身份验证和授权。 本文中记录的是一次使用shiro实现登录认证与权限授权过程。 本文中主要用的技术有: spring,springMVC,maven,shiroshiro的配置,通过maven加入shiro相关jar包 org.apache.shiro shiro-c
shiro认证授权demo
10-28
这个"shiro认证授权demo"应该包含了设置Shiro环境、配置 Realm、创建 SecurityManager、定义用户角色和权限以及处理登录、登出等核心功能的示例代码。 1. **Shiro环境设置**:首先,需要在项目中引入Shiro的依赖...
shiro权限认证授权
02-26
### 一、Shiro认证 **1. 用户身份验证(Authentication)** 用户身份验证是验证用户身份的过程,确保用户是他们声称的那个人。在Shiro中,这个过程通常涉及以下步骤: - **凭证匹配**:用户提供的登录信息(如...
shiro认证授权过程
05-01
在本文中,我们将深入理解Shiro认证授权过程,以及如何利用它来保护我们的应用程序。 **1. 认证过程** 认证,也称为登录,是验证用户身份的过程。在Shiro中,这个过程分为以下几个步骤: 1. **凭证匹配器...
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
在本文中,我们将详细介绍如何使用Spring Boot框架实现整合Shiro进行登录认证授权过程的解析。Shiro是Apache软件基金会下的一个基于Java的开源安全框架,提供了身份验证、授权、加密和会话管理等功能。在Spring ...
shiro认证授权案例
10-12
**一、Shiro认证流程** Shiro认证过程主要涉及以下几个步骤: 1. **凭证匹配器(CredentialsMatcher)**:这是Shiro用来比对用户输入的凭证(如密码)和系统存储的凭证是否一致的组件。在案例中,可能使用了MD5...
实现Shiro的简单认证授权
m0_61614875的博客
02-04 651
配置了Realm类之后,登陆用户会自动走doGetAuthorizationInfo(授权),doGetAuthenticationInfo(认证方法)方法,通过doGetAuthenticationInfo来获取当前登陆用户的信息,Token.getUsername()是获取用户的用户名,其中传过来的字段名必须是username,不然不会配对。安全框架,提供了认证授权、加密和会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro 要简单的多。
shiro web 身份、权限验证流程
TheThirdMoon的博客
03-27 254
1. 权限验证更灵活的方式是使用aop和注解方式 2. 除了权限验证还有一个角色验证,流程和权限验证类似,使用了UserFilter, RolesAuthorizationFilter
Shiro认证和鉴权的流程
web13985085406的博客
08-24 1336
Realm: 域,shiro从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;8.认证器Authenticator会拿到传入token中的password和返回认证信息对象SimpleAuthenticationInfo中的password进行比对,如果不一致则抛出异常.4.然后判断用户的角色/权限集合中是否包含当前判断的权限,如果包含返回true,否则返回false.
权限认证框架---Shiro
qq_60067835的博客
12-07 1053
带你从0到1开始学习安全认证框架,采用图文结合和案例分析的模式,实操体验认证全流程
Shiro认证流程和授权流程
Emma_Joans的博客
10-12 1万+
认证:身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。 在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals
shiro的具体认证流程
nana1253431195的博客
08-24 966
调用SimpleAuthenticationInfo方法构造SimpleAuthenticationInfo对象并且返回。执行getAuthenticationInfo方法中的assertCredentialsMatch进行密码验证。使用doGetAuthenticationInfo方法经行认证。通过传入的token获取principal用户名。使用principal查找数据库获取user对象。最后自定义的Realm的父类。自定义Realm继承。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值