【Shiro】Apache Shiro架构之身份认证(Authentication)

最新推荐文章于 2023-05-10 12:11:26 发布
最新推荐文章于 2023-05-10 12:11:26 发布
阅读量309 收藏
点赞数
分类专栏: Shiro

欢迎关注我新搭建的博客:http://www.itcodai.com/

Shiro系列文章: 
【Shiro】Apache Shiro架构之权限认证(Authorization) 
【Shiro】Apache Shiro架构之集成web 
【Shiro】Apache Shiro架构之自定义realm 
【Shiro】Apache Shiro架构之实际运用(整合到Spring中)

   
  Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障。本文主要介绍一下Shiro中的身份认证功能,如下: 
 
  本文参考自Apache Shiro的官方文档:http://shiro.apache.org/authentication.html。 
  本文遵循以下流程:先介绍Shiro中的身份认证,再通过一个实例来具体说明一下(基于maven)。

1. 认证主体(Authenticating Subjects)
  Subject 认证主体包含两个信息:

Principals:身份。可以是用户名,邮件,手机号码等等,用来标识一个登录主体身份; 
Credentials:凭证。常见有密码,数字证书等等。

  在Shiro中可以在.ini文件中指定一个认证主体,也可以从数据库中取,这里使用.ini文件来写一个简单的认证主体:

[users]
csdn1=12345
csdn2=12345



  可以表示两个用户,账号为csdn1和csdn2,密码都是12345。至于这个文件怎么用,后面我会在实例中介绍。 
  验证一个主体的方法可以有效地细分为三个不同的步骤:

Step 1:收集主体提交的身份和凭证; 
Step 2:提交该身份和凭证; 
Step 3:如果提交成功,允许访问,否则重新尝试身份验证或阻止访问。 
Step 4:退出

  下面说明Shiro中的API是如何反映以上步骤的:

//Step1: Collect the Subject's principals and credentials
//根据用户名和密码获得一个令牌(token)
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
//token.setRememberMe(true); //可选用



  在Step1中,我们使用UsernamePasswordToken,支持最常用的用户名/密码认证方式。这是Shiro的org.apache.shiro.authc.AuthenticationToken接口,这是由Shiro的认证系统代表提交的主体和凭证使用的基本接口的实现。username和password就是和Subject认证主体中对应的身份和凭证做验证的。当然也可以记住该用户,这个可有可无,关于RememberMe将在后续文章中介绍。

//Step2: Submit the principals and credentials
//得到当前执行的用户
Subject currentUser = SecurityUtils.getSubject();
//进行认证
currentUser.login(token);


  在Step2中,先通过SecurityUtils工具类获取当前执行的用户,然后进行身份认证,这个认证会参考ini文件中的Subject主体(当然了,实际中是参考数据库中的信息),在下面的示例程序中可以看的出。

 

//Step3: Handling Success or Failure
try {
    currentUser.login(token);
} catch ( AuthenticationException ae ) {
    //unexpected error?
    //Handel error
}
//No problems, continue on as expected...


  在Step3中,我们要根据认证的结果来处理正确或者错误的结果,所以我们需要将currentUser.login(token)使用try/catch包起来。

//Step4: Logging out
currentUser.logout();


  与认证相反的是释放所有已知的确定的状态。当主体完成与应用程序交互,可以调用subject.logout()放弃所有的身份信息,subject.logout()会删除所有身份信息以及他们的会话(这里的会话指的是Shiro中的会话)。

2. 认证过程(Authentication Sequence)
  上文介绍了认证主体,以及从代码的角度来分析了一下身份认证过程。下面来看一下在身份认证中,Shiro里面都干了些啥。图出自官方文档: 
 
  Step1:应用程序代码在调用Subject.login(token)方法后,传入代表最终用户的身份和凭证构造的AuthenticationToken实例token。 
  Step2:将Subject实例委托给应用程序的SecurityManager(Shiro的安全管理)通过调用securityManager.login(token)来开始实际的认证工作。这里开始真正的认证工作了。 
  Step3,4,5:然后SecurityManager就会根据具体的reaml去进行安全认证了。 
  这个realm到底是啥呢?realm就是一个域,Shiro就是从realm中获取验证数据的,也就是我们写在.ini文件中的东西,当然了,这个realm有很多种,如text realm、jdbc realm、jndi realm等,text realm比较简单,这一节主要总结一下jdbc realm的使用,text realm也会提到。

3. 身份认证示例
  示例的工程结构如下: 
 
  pom.xml中的包如下:

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
  <modelVersion>4.0.0</modelVersion>
  <groupId>demo.shiro</groupId>
  <artifactId>Shiro02</artifactId>
  <version>0.0.1-SNAPSHOT</version>
  <name>Shiro02</name>
  <description>Shiro02</description>
  <build/>

  <dependencies>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.2.5</version>
    </dependency>
    <dependency>
        <groupId>org.slf4j</groupId>
        <artifactId>slf4j-log4j12</artifactId>
        <version>1.7.21</version>
    </dependency>
    <dependency>
        <groupId>c3p0</groupId>
        <artifactId>c3p0</artifactId>
        <version>0.9.1.2</version>
    </dependency>
    <dependency>
        <groupId>commons-logging</groupId>
        <artifactId>commons-logging</artifactId>
        <version>1.2</version>
    </dependency>
    <dependency>
    <groupId>mysql</groupId>
        <artifactId>mysql-connector-java</artifactId>
        <version>5.1.38</version>
    </dependency>
  </dependencies>
</project>


  log4j.properties文件如下:

 

log4j.rootLogger=INFO, stdout
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n
# General Apache libraries
log4j.logger.org.apache=WARN
# Spring
log4j.logger.org.springframework=WARN
# Default Shiro logging
log4j.logger.org.apache.shiro=TRACE
# Disable verbose logging
log4j.logger.org.apache.shiro.util.ThreadContext=WARN
log4j.logger.org.apache.shiro.cache.ehcache.EhCache=WARN


  首先写一个shiro.ini文件,文件内容很简单,只放一个用户信息:

[users]
csdn=123


  然后开始写身份认证的java代码了,如下:

public class TextRealm {

    public static void main(String[] args) {
        // 读取配置文件,初始化SecurityManager工厂
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        // 获取securityManager实例
        SecurityManager securityManager = factory.getInstance();
        // 把securityManager实例绑定到SecurityUtils
        SecurityUtils.setSecurityManager(securityManager);
        // 创建token令牌,用户名/密码
        UsernamePasswordToken token = new UsernamePasswordToken("csdn", "123");
        // 得到当前执行的用户
        Subject currentUser = SecurityUtils.getSubject();
        try{
            // 身份认证
            currentUser.login(token);   
            System.out.println("身份认证成功!");
        }catch(AuthenticationException e){
            e.printStackTrace();
            System.out.println("身份认证失败!");
        }
        // 退出
        currentUser.logout();
    }
}


  运行该程序就可以根据传入的参数和realm中的数据进行匹对,完成身份认证,从而打印认证成功,如果用户名和密码填写一个错误的,则会验证失败。 
  接下来再分析一下jdbc realm的写法,首先新建一个JdbcRealm.ini文件,如下:

[main]
#数据源选择的是c3p0
dataSource=com.mchange.v2.c3p0.ComboPooledDataSource
dataSource.driverClass=com.mysql.jdbc.Driver
dataSource.jdbcUrl=jdbc:mysql://localhost:3306/db_shiro
dataSource.user=root
dataSource.password=root

#定义一个jdbc的realm,取名为jdbcRealm
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm

#jdbcRealm中有个属性是dataSource,选择我们上边定义的dataSource
jdbcRealm.dataSource=$dataSource

#SecurityManager中的realm选择上面定义的jdbcRealm
securityManager.realms=$jdbcRealm



  然后需要准备数据库的数据,我新建了一个数据库db_shiro,里面有个users表,两个字段username和password,我就放了三个数据用来测试的,如下: 
 
  然后写JdbcRealm.java代码,和上面的一样的,只不过读取的配置文件不同

public class JdbcRealm {

    public static void main(String[] args) {
        // 读取配置文件,初始化SecurityManager工厂
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:jdbc_realm.ini");
        // 获取securityManager实例
        SecurityManager securityManager = factory.getInstance();
        // 把securityManager实例绑定到SecurityUtils
        SecurityUtils.setSecurityManager(securityManager);
        // 得到当前执行的用户
        Subject currentUser = SecurityUtils.getSubject();
        // 创建token令牌,用户名/密码
        UsernamePasswordToken token = new UsernamePasswordToken("倪升武2", "123");
        try{
            // 身份认证
            currentUser.login(token);   
            System.out.println("身份认证成功!");
        }catch(AuthenticationException e){
            e.printStackTrace();
            System.out.println("身份认证失败!");
        }
        // 退出
        currentUser.logout();
    }
}


  这样Shiro就会根据这个jdbc realm从数据库中获取验证数据对传入的参数进行身份验证,验证通过则打印出通过的语句,否则不予通过。这就是Shiro中简单的身份认证,下一节将总结一下Shiro中的权限认证,即授权。
 

Andy_Zheng.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache shiro的简单介绍与使用教程(与spring整合使用)
01-11
apache shiro框架简介   Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。现在,使用Apache Shiro的人越来越多,因为它相当简单,相比比Spring Security,Shiro可能没有Spring Security那么多强大的功能,但是在实际工作时可能并不需要那么复杂的东西,所以使用简单的Shiro就足够了。   以下是你可以用 Apache Shiro所做的事情:   Shiro的4大核心部分——身份验证,授权,会话管理和加密      Authentication:身份验证,简称“登录”。      A
shiro自定义AuthenticationToken适应多认证条件
浪丶荡
03-06 8695
一般的登陆只需要校验账号和密码两个要素 Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken( user.getAccNum(), user.getPasswd()); ...
shiro多realm异常解决
m0_58560859的博客
02-19 1200
shiro多realm报错解决方法。
Apache shiro集群实现 (三)shiro身份认证Shiro Authentication
热门推荐
04-23 3万+
一、术语介绍 Authentication身份认证,即用户提供一些信息来证明自己的身份。如用户名和密码,licence等。 Principals :主体的“标识属性”,可以是任意标识,例如用户名,身份证号码,手机号码等。Principals 可以有多个,但是必须有一个主要的Principal(Primary Principal),这个标识,必须是唯一的。 Credentials:凭据,即
Shiro实现Token认证
梅子黄时雨
05-10 1252
shiro使用
shiro多realm抛出异常问题
qq_46416934的博客
04-07 874
shiro多realm抛出异常问题 关于这个问题百度会搜到很多内容,但是大多数都不全,只是提到了一部分内容,所以综合本人以及网上搜到的内容,提出如下解决方案: 我是使用了两个Realm,一个用于用户登录验证和访问权限获取;一个用于jwt token的认证,所以出现了 Authentication token of type [class org.apache.shiro.authc.Username PasswordToken] could not be authenticated by any confi
Shiro中多Realm下抛出异常不准确
zxwgdft2的博客
03-23 1727
Shiro中多Realm下抛出异常不准确问题描述原因与解决优化 问题描述 如果你的项目中存在多个Realm,当你在Realm中判断账号异常抛出了一个UnknownAccountException异常时,到达FormAuthenticationFilter.onLoginFailure方法中的异常信息为: Authentication token of type [class org.apache....
shiro安全框架、MD5加密、自定义realm
m0_58212960的博客
08-08 335
Shiro是一个功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理。使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序—从最小的移动应用程序到最大的web和企业应用程序...
Shiro学习总结(3)——Apache Shiro身份认证
科技D人生
05-10 2468
身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。 在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但
Apache Shiro™ is a powerful
05-14
Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can ...
单点登录sso-shiro-cas-maven
10-19
其中shiro.loginUrl 跟 shiro.logoutUrl的前面是cas验证的地址,后面的是我们应用系统的地址,这样配置的方式是为了在访问我们的应用系统的时候,先到cas进行验证,如果验证成功了,cas将重定向到shiro.successUrl ...
Shiro完整项目
11-24
[Apache Shiro] is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can ...
cas-shiro-demo
06-20
- the cas-shiro-demo-app module is a demo web application which uses the CAS Shiro support library with protected area requiring CAS authentication : http://shiro.apache.org/cas.html - the cas-shiro-...
ae:org.apache.shiro.authc.AuthenticationException: Authentication token of type [class org.apache.sh...
weixin_33937778的博客
03-05 2405
看问题是说要保证有一个realm正确,但是之前运行就一直成功,后来就不行了。有可能是:以为自己输入了正确的用户名和密码,结果是因为用户名前面添加了空格导致了这个错误发生。 实质问题是:你输入的用户名和密码根本就没有在realm中配置过,所以肯定不行了 转载于:https://www.cnblogs.com/wth21-1314/p/10475291.html...
shiro认证时出现报错Submitted credentials for token [org.apache.shiro.authc.UsernamePasswordToken -
embelfe_segge的博客
04-22 1762
shiro认证时出现报错: org.apache.shiro.authc.IncorrectCredentialsException: Submitted credentials for token [org.apache.shiro.authc.UsernamePasswordToken - admin, rememberMe=false] did not match the expected credentials. 当时出现这个问题是在生产的uat环境上出现的,说实话,挺幸运的,幸好是在uat环境上
关于org.apache.shiro.authc.UsernamePasswordToken cannot be cast to的解决方案
雨潇的专栏
12-29 1万+
问题背景 在实现多Realm时,扩展了ModularRealmAuthenticator 和 UsernamePasswordToken,于是在MyAuthenticationToken token = (MyAuthenticationToken) authenticationToken时出现了转型异常。 扩展ModularRealmAuthenticator 的代码如下: public
(转) shiro权限框架详解04-shiro认证
07-04 80
http://blog.csdn.net/facekbook/article/details/54906635 shiro认证 本文介绍shiro的认证功能 认证流程 入门程序(用户登录和退出) 自定义Realm 散列算法 认证流程 开始构造SecurityManager环境subject.login();提交认证securityManager.login()...
shiro笔记-"Authentication failed for token submission [org.apache.shiro.authc.UsernamePasswordToken - ...
weixin_30896511的博客
11-02 4688
在学习shiro过程中遇到这个错误,在网上找了好久资料也没找到解决办法,大概都是说和传入的值有问题。于是我试着耐心看我自己的报错信息,最终找到了原因并解决。每个人的问题可能都会有差异,所以建议大家耐心的看看它的报错信息。下面说一下我的问题。 这是我的详细报错信息,虽然不能完全理解,但是可以看出是UserMapper这个文件出错了,然后和返回类型有关,最后发现是resultMap出...
Apache Shiro组件
最新发布
07-27
1. 身份验证(Authentication):Shiro提供了一个可插拔的身份验证机制,支持常见的身份验证方式如用户名/密码、验证码、记住我等。 2. 授权(Authorization):Shiro提供了强大的授权机制,可以基于角色、权限或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值