Spring Shiro基础组件 AuthenticationInfo

已于 2022-02-07 22:19:57 修改
阅读量899 收藏
点赞数 1
分类专栏: Spring Shiro 文章标签: spring shiro
于 2022-02-04 08:31:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xing_hung/article/details/122753695
版权

相关阅读

简介

表示Subject存储的只和鉴权/登录过程相关的账户信息;
AuthenticationInfo表示已经验证过且存储在系统中的账户信息;
AuthenticationToken表示登录时提交的凭据信息(可能匹配,也可能不匹配AuthenticationInfo);
AuthorizationInfo表示访问控制数据,如角色和权限;

核心方法

/**
 * 获取关联Subject的principal集合
 */
PrincipalCollection getPrincipals();

/**
 * 获取关联Subject的凭据
 */
Object getCredentials();

实现子类

public interface AuthenticationInfo extends Serializable
    public interface Account extends AuthenticationInfo, AuthorizationInfo
        public class SimpleAccount implements Account, MergableAuthenticationInfo, SaltedAuthenticationInfo, Serializable
    public interface MergableAuthenticationInfo extends AuthenticationInfo
        public class SimpleAccount implements Account, MergableAuthenticationInfo, SaltedAuthenticationInfo, Serializable
        public class SimpleAuthenticationInfo implements MergableAuthenticationInfo, SaltedAuthenticationInfo
    public interface SaltedAuthenticationInfo extends AuthenticationInfo
        public class SimpleAccount implements Account, MergableAuthenticationInfo, SaltedAuthenticationInfo, Serializable
        public class SimpleAuthenticationInfo implements MergableAuthenticationInfo, SaltedAuthenticationInfo

Account

简介

同时继承AuthenticationInfoAuthorizationInfo接口,表示单个Realm中单个账户的鉴权和授权;

核心方法

MergableAuthenticationInfo

简介

支持合并其它AuthenticationInfo的实现,即允许本类实例是来自多个Realm的账户数据的聚合或者组合;
支持多Realm鉴权;

核心方法

/**
 * 合并指定的AuthenticationInfo
 */
void merge(AuthenticationInfo info);

SaltedAuthenticationInfo

简介

表示支持使用盐值进行哈希凭据信息的账户信息,主要为了支持需要哈希用户凭据的环境;
盐值通常从安全的伪随机数生成器生成,和账户信息一起安全地存储,和账户的凭据一起维护;

核心方法

/**
 * 获取账户凭据使用的盐值
 */
ByteSource getCredentialsSalt();

SimpleAuthenticationInfo

简介

MergableAuthenticationInfo的简单实现;

核心方法

// principal集合
protected PrincipalCollection principals;
// credentials
protected Object credentials;
// 盐值
protected ByteSource credentialsSalt;

/**
 * 构造方法
 */
public SimpleAuthenticationInfo(Object principal, Object hashedCredentials, ByteSource credentialsSalt, String realmName) {
    this.principals = new SimplePrincipalCollection(principal, realmName);
    this.credentials = hashedCredentials;
    this.credentialsSalt = credentialsSalt;
}

/**
 * 获取关联Subject的principal集合
 */
public PrincipalCollection getPrincipals() {
    return principals;
}

/**
 * 获取关联Subject的凭据
 */
public Object getCredentials() {
    return credentials;
}

/**
 * 获取账户凭据使用的盐值
 */
public ByteSource getCredentialsSalt() {
    return credentialsSalt;
}

/**
 * 合并指定的AuthenticationInfo
 */
public void merge(AuthenticationInfo info) {
    // 校验入参
    if (info == null || info.getPrincipals() == null || info.getPrincipals().isEmpty()) {
        return;
    }

    if (this.principals == null) {
        // 原principal集合不存在,直接用入参覆盖
        this.principals = info.getPrincipals();
    } else {
        if (!(this.principals instanceof MutablePrincipalCollection)) {
            // 如果当前principals属性不是MutablePrincipalCollection实例,则包装该属性为SimplePrincipalCollection
            this.principals = new SimplePrincipalCollection(this.principals);
        }
        // 添加principal集合
        ((MutablePrincipalCollection) this.principals).addAll(info.getPrincipals());
    }

    // 盐值只在realm的credentials认证过程中使用,所以合并来自不同realm的盐值也没意义
    // 但如果当前实例的盐值为null,那么如果存在非空值,放入一个非空值也无妨
    //only mess with a salt value if we don't have one yet.  It doesn't make sense
    //to merge salt values from different realms because a salt is used only within
    //the realm's credential matching process.  But if the current instance's salt
    //is null, then it can't hurt to pull in a non-null value if one exists.
    //
    //since 1.1:
    if (this.credentialsSalt == null && info instanceof SaltedAuthenticationInfo) {
        // 当前实例的盐值为null,直接使用入参的盐值
        this.credentialsSalt = ((SaltedAuthenticationInfo) info).getCredentialsSalt();
    }

    Object thisCredentials = getCredentials();
    Object otherCredentials = info.getCredentials();

    if (otherCredentials == null) {
        // 无需合并其他的credentials
        return;
    }

    if (thisCredentials == null) {
        // 直接使用入参的credentials
        this.credentials = otherCredentials;
        return;
    }

    if (!(thisCredentials instanceof Collection)) {
        // 当前实例的credentials不是一个集合就创建一个集合存储credentials
        Set newSet = new HashSet();
        newSet.add(thisCredentials);
        setCredentials(newSet);
    }

    // 此时实例的credentials是集合对象
    // At this point, the credentials should be a collection
    Collection credentialCollection = (Collection) getCredentials();
    if (otherCredentials instanceof Collection) {
        // 入参的credentials是集合对象
        credentialCollection.addAll((Collection) otherCredentials);
    } else {
        // 入参的credentials是单个对象
        credentialCollection.add(otherCredentials);
    }
}

SimpleAccount

简介

Account的简单实现,内部使用SimpleAuthenticationInfoSimpleAuthorizationInfo实例实现Account接口;

核心方法

// 鉴权信息,实现AuthenticationInfo接口
private SimpleAuthenticationInfo authcInfo;
// 授权信息,实现AuthorizationInfo接口
private SimpleAuthorizationInfo authzInfo;
// 账户锁定标识
private boolean locked;
// 账户过期标识
private boolean credentialsExpired;

/**
 * 构造方法
 */
public SimpleAccount(PrincipalCollection principals, Object credentials) {
    // 鉴权信息
    this.authcInfo = new SimpleAuthenticationInfo(principals, credentials);
    // 授权信息
    this.authzInfo = new SimpleAuthorizationInfo();
}

/**
 * 获取锁定标识
 */
public boolean isLocked() {
    return locked;
}

/**
 * 设置锁定标识
 */
public void setLocked(boolean locked) {
    this.locked = locked;
}

/**
 * 获取过期标识
 */
public boolean isCredentialsExpired() {
    return credentialsExpired;
}

/**
 * 设置过期标识
 */
public void setCredentialsExpired(boolean credentialsExpired) {
    this.credentialsExpired = credentialsExpired;
}

/**
 * 合并AuthenticationInfo
 */
public void merge(AuthenticationInfo info) {
    // 合并鉴权信息
    authcInfo.merge(info);

    // Merge SimpleAccount specific info
    if (info instanceof SimpleAccount) {
        // 合并SimpleAccount的锁定和过期标识
        SimpleAccount otherAccount = (SimpleAccount) info;
        if (otherAccount.isLocked()) {
            setLocked(true);
        }

        if (otherAccount.isCredentialsExpired()) {
            setCredentialsExpired(true);
        }
    }
}
我家有猫已长成
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shirospring集成基础Hello案例详解
08-25
主要介绍了shirospring集成基础Hello案例详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
shiro 初始化SimpleAuthenticationInfo 问题
辛晨V的博客
08-18 1757
shiro调用 doGetAuthenticationInfo 进行用户密码校验时,获取到用户信息后进行提交校验: SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(user, user.getPassword().toString(), getName()); return simpleAuthenticationInfo; 源码: public SimpleAuth...
shiro笔记之----SimpleAuthenticationInfo 验证password
hubeilihao的专栏
05-28 8119
公司项目中用的是shiro做安全认证框架,从代码中看到了判断验证码的,也看到了判断用户名是否存在的,就是没有发现判断密码是否正确的,后从网上文章以及查看源码才大概了解shiro对于密码验证的流程。 自定义的shiroRealm public class ShiroRealm extends AuthorizingRealm { @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
Shiro认证源码图文解析
2401_83817916的博客
04-18 787
学习技术是一条慢长而艰苦的道路,不能靠一时激情,也不是熬几天几夜就能学好的,必须养成平时努力学习的习惯。所以:贵在坚持!最后再分享的一些BATJ等大厂20、21年的面试题,把这些技术点整理成了视频和PDF(实际上比预期多花了不少精力),包含知识脉络 + 诸多细节,由于篇幅有限,上面只是以图片的形式给大家展示一部分。Mybatis面试专题MySQL面试专题并发编程面试专题《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
Shiro SimpleAuthenticationInfo使用细节记录
小猪奋斗
09-27 1607
最近发现 simpleAuthenticationIfo 中的principal疑问。 场景是这个样子的 //此处使用的是user对象,不是username SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( user, user.getPassword(), ...
shiro学习之路-加密模块
shenbug的博客
11-26 1237
一.shiro加密模块的使用 1.shiro是主流的权限管理框架,提供了认证,授权,回话管理,密码加密等功能,使得开发者更加便捷 2.具体实现采用MD5加密,而且进行加盐处理 二.代码实现 1.在自定义的认证类中,放回的AuthenticationInfo添加加盐参数 return new SimpleAuthenticationInfo(user,user.getPassword(),
SimpleAuthenticationInfo的参数
热门推荐
weixin_42195162的博客
04-18 2万+
SimpleAuthenticationInfo的参数 仅供个人参考,以及学习记录。 SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( userInfo, //用户名–此处传的是用户对象 userInfo.getPassword(), //密码—从数据库中获取的密码 salt, getName()...
第六章 Realm及相关对象(三) AuthenticationInfo(*)
weixin_42408447的博客
12-21 375
AuthenticationInfo有两个作用: 1)如果Realm 是AuthenticatingRealm 子类(包括AuthorizingRealm,它继承AuthenticationRealm),则提供给AuthenticatingRealm 内部使用的CredentialsMatcher进行凭据验证;(如果没有继承它需要在自己的Realm中自己实现验证); 2)提供给SecurityManager来创建Subject(提供身份信息); MergableAuthenticationInfo 用于提.
Shiro】SimpleAuthenticationInfo如何验证password
kevin的博客
05-09 1651
通篇的关键就是知道ShiroRealm类重写的doGetAuthenticationInfo这个方法,到底是谁的方法。从上图我们可以知道,ShiroRealm最终继承到了AuthenticatingRealm这个方法。ps:该图中①上的注释是没看过底层的时候,先入为主的理解。在自定义的ShiroRealm中,看上去像验证的就是①,但也只是创建了一个SimpleAuthenticationInfo对象,最后②return出去就没了。
shiro初步学习
wyy的博客
08-24 682
Shiro简介 Shiro架构原理 INI文件介绍 Shiro环境搭建及认证过程 第一个Shiro演示 授权 加密及凭证匹配器 自定义Realm 凭证匹配器 一、 Shiro 简介 1 概述 权限体系在现代软件应用中有着非常重要的地位。一个应用如果没有权限体系都会显着这个系统“特别不安全”,无论是传统的MIS系统还是互联网项目出于对业务数据和应用自身的安全,都会设置自己的安全策略。 目前市场上专门的Java权限框架有Apache ShiroSpring Security。相较于Spring Se.
AuthenticationInfo接口
iteye_10899的博客
10-31 1520
AuthenticationInfo主要是用来获取认证信息的,它实现了Serializable接口,先对其解析如下: 1.获取主题的身份(或者可以理解为用户名,有一个主身份) PrincipalCollection getPrincipals(); 2.获取主题的凭证(或者可以理解为密码) Object getCredentials(); ...
shiro之Realm及相关对象AuthenticationInfo(*)
weixin_42408447的博客
11-16 292
AuthenticationInfo有两个作用: 1)如果Realm 是AuthenticatingRealm 子类(包括AuthorizingRealm,它继承AuthenticationRealm),则提供给AuthenticatingRealm 内部使用的CredentialsMatcher进行凭据验证;(如果没有继承它需要在自己的Realm中自己实现验证); 2)提供给SecurityManager来创建Subject(提供身份信息); MergableAuthenticationInfo 用于提.
spring shiro整合
11-10
运用了springmvc,mybatis shiro安全框架搭建及整合等技术
springShiro.rar
08-23
shiroSpringmvc_demo
详解springshiro集成
08-29
主要介绍了详解springshiro集成,需要的朋友可以参考下
spring cloud + shiro集成方案
01-15
手把手教你集成spring cloud + shiro微服务框架;用最少的工作量,改造基于shiro安全框架的微服务项目,实现spring cloud + shiro 框架集成。博客地址:...
第六章 Realm及相关对象(三) AuthenticationInfo
yifanSJ的博客
08-23 8127
AuthenticationInfo有两个作用: 1)如果Realm 是AuthenticatingRealm 子类(包括AuthorizingRealm,它继承AuthenticationRealm),则提供给AuthenticatingRealm 内部使用的CredentialsMatcher进行凭据验证;(如果没有继承它需要在自己的Realm中自己实现验证); 2)提供给Security
Shiro doGetAuthenticationInfo方法登录后获取不到正确的权限
wjzhang5514的博客
06-25 1万+
前提: Shiro的认证依赖AuthenticatingRealm里的getAuthenticationInfo方法,该方法会调用我们自定义的认证方法doGetAuthenticationInfo获取本次认证的结果,如下: public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken ...
Shiro(1) 身份与权限验证
u010478214的博客
06-19 2179
Apache Shiro 是一个轻量级的开源安全框架,用于身份认证,授权,会话管理和加密。 下图描述了Shiro的基本功能: Authentication:有时也简称为“登录”,这是一个证明用户是他们所说的他们是谁的行为。 Authorization:访问控制的过程,即角色与权限控制。 Session Management:管理用户特定的会话,支持非 Web应用,因为Shiro自己实现了一整套的Session
spring shiro怎么用
最新发布
05-26
Spring Shiro是一种基于Spring框架和Apache Shiro安全框架的整合,用于简化Web应用程序的安全性集成。Spring Shiro提供了一组易于使用的API,可以轻松地将ShiroSpring集成,从而实现诸如身份验证、授权、加密等安全功能。 下面是使用Spring Shiro进行身份认证和授权的步骤: 1. 引入Spring Shiro的相关依赖。 2. 配置ShiroFilterFactoryBean,用于拦截请求并进行身份认证和授权。 3. 配置SecurityManager,用于管理身份认证和授权。 4. 实现自定义Realm,用于获取用户身份信息和授权信息。 5. 在Web应用程序中使用Shiro注解进行权限控制。 如果您需要更详细的介绍和使用示例,请参考Spring Shiro官方文档:https://shiro.apache.org/spring.html

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值