第二章 身份验证 (二) Realm + Authenticator及AuthenticationStrategy

最新推荐文章于 2023-07-27 11:24:23 发布
最新推荐文章于 2023-07-27 11:24:23 发布
阅读量1.5k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yifanSJ/article/details/77200880
版权

Realm:域,Shiro 从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource , 即安全数据源。如我们之前的ini 配置方式将使用org.apache.shiro.realm.text.IniRealm。

org.apache.shiro.realm.Realm接口如下:

String getName(); //返回一个唯一的Realm名字
boolean supports(AuthenticationToken token); //判断此Realm是否支持此Token
AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException; //根据Token获取认证信息

一、单Ream配置

1. 自定义Realm实现

public class MyRealm1 implements Realm{
	/*
	 * 返回一个唯一的Realm名字
	 */
	public String getName() {
		return "myrealm1";
	}
	/*
	 * 判断此Realm是否支持此Token
	 */
	public boolean supports(AuthenticationToken token) {
		//仅支持UsernamePasswordToken类型的Token
		return token instanceof UsernamePasswordToken;
	}
	/*
	 * 根据Token获取认证信息
	 */
	public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) {
		String username = (String) token.getPrincipal();//得到用户名
		String password = new String((char[])token.getCredentials());//得到密码
		if(!"zhang".equals(username)){
			throw new UnknownAccountException();//如果用户名错误
		}
		if(!"123".equals(password)){
			throw new IncorrectCredentialsException();//如果密码错误
		}
		//如果身份认证验证成功,返回一个AuthenticationInfo实现
		return new SimpleAuthenticationInfo(username,password,getName());
	}
}

2. ini配置文件指定自定义Realm实现(shiro-realm.ini)

#声明一个realm
myRealm1=chapter2.realm.MyRealm1
#指定securityManager的realms实现
securityManager.realms=$myRealm1
3. 测试 

public class LoginLogoutTest {
	@Test
	public void testHelloworld(){
		//1. 获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
		Factory<org.apache.shiro.mgt.SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-realm.ini");
		//2. 得到SecurityManager实例,并绑定给SecurityUtils
		SecurityManager securityManager = factory.getInstance();
		SecurityUtils.setSecurityManager(securityManager);
		//3. 得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证),会自动绑定到当前线程。
		Subject subject = SecurityUtils.getSubject();
		UsernamePasswordToken token = new UsernamePasswordToken("zhang","123");
		try {
			//4. 登录,即身份验证
			subject.login(token);
		} catch (AuthenticationException e) {
			//5. 身份验证失败
		}
		Assert.assertEquals(true, subject.isAuthenticated());
		//6. 退出
		subject.logout();
	}
}
二、多Realm配置

1. ini配置文件(shiro-multi-realm.ini)

#声明一个realm
myRealm1=chapter2.realm.MyRealm1
myRealm2=chapter2.realm.MyRealm2
#指定securityManager的realms实现
securityManager.realms=$myRealm1,$myRealm2
securityManager会按照realms指定的顺序进行身份认证。如果设置“securityManager.realms=$myRealm1”,那么myRealm2 不会被自动设置进去。

三、Shiro默认提供的Realm

一般继承AuthorizingRealm(授权)即可;其继承了AuthenticatingRealm(即身份验证),而且也间接继承了CachingRealm(带有缓存实现)

主要默认实现如下:

org.apache.shiro.realm.text.IniRealm:IniRealm:[users]部分指定用户名/密码及其角色;[roles]部分指定角色即权限信息;

org.apache.shiro.realm.text.PropertiesRealm:user.username=password,role1,role2指定用户名/密码及其角色;role.role1=permission1,permission2指定角色及权限信息

org.apache.shiro.realm.jdbc.JdbcRealm:通过sql查询相应的信息,如“select password from users where username = ?”获取用户密码,“select password, password_salt from users where username = ?”获取用户密码及盐;“select role_name from user_roles where username = ?” 获取用户角色;“select permission from roles_permissions where role_name = ?”获取角色对应的权限信息;也可以调用相应的api进行自定义sql;

四、JDBC Realm使用

材料:MySql + C3P0

1. 数据准备

到数据库shiro 下建三张表:users(用户名/密码)、user_roles(用户/角色)、roles_permissions(角色/权限),并添加一个用户记录,用户名/密码为zhang/123;

drop database if exists shiro;
create database shiro;
use shiro;

create table users (
  id bigint auto_increment,
  username varchar(100),
  password varchar(100),
  password_salt varchar(100),
  constraint pk_users primary key(id)
) charset=utf8 ENGINE=InnoDB;
create unique index idx_users_username on users(username);

create table user_roles(
  id bigint auto_increment,
  username varchar(100),
  role_name varchar(100),
  constraint pk_user_roles primary key(id)
) charset=utf8 ENGINE=InnoDB;
create unique index idx_user_roles on user_roles(username, role_name);

create table roles_permissions(
  id bigint auto_increment,
  role_name varchar(100),
  permission varchar(100),
  constraint pk_roles_permissions primary key(id)
) charset=utf8 ENGINE=InnoDB;
create unique index idx_roles_permissions on roles_permissions(role_name, permission);

insert into users(username,password)values('zhang','123');

2. shiro-jdbc-realm.ini

jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
dataSource=com.mchange.v2.c3p0.ComboPooledDataSource
dataSource.driverClass=com.mysql.jdbc.Driver
dataSource.jdbcUrl=jdbc:mysql://localhost:3306/shiro
dataSource.user=root
dataSource.password=123456
jdbcRealm.dataSource=$dataSource
securityManager.realms=$jdbcRealm
3. 测试代码和上例相同,只用修改对应的realm.ini文件即可。


五、Authenticator及AuthenticationStrategy

Authenticator的职责是验证用户帐号,是Shiro API中身份验证核心的入口点:

public AuthenticationInfo authenticate(AuthenticationToken authenticationToken) throws AuthenticationException;

如果验证成功,将返回AuthenticationInfo 验证信息;此信息中包含了身份及凭证;如果验证失败将抛出相应的AuthenticationException实现。

SecurityManager接口继承了Authenticator,另外还有一个ModularRealmAuthenticator实现其委托给多个Realm 进行验证,验证规则通过AuthenticationStrategy 接口指定,默认提供的实现:

FirstSuccessfulStrategy:只要有一个Realm验证成功即可,只返回第一个Realm身份验证成功的认证信息,其他的忽略;

AtLeastOneSuccessfulStrategy:只要有一个Realm验证成功即可,和FirstSuccessfulStrategy不同,返回所有Realm身份验证成功的认证信息;

AllSuccessfulStrategy:所有Realm验证成功才算成功,且返回所有Realm身份验证成功的认证信息,如果有一个失败就失败了。

ModularRealmAuthenticator默认使用AtLeastOneSuccessfulStrategy策略。

1. realm

假设我们有三个realm:

myRealm1: 用户名/密码为zhang/123时成功,且返回身份/凭据为zhang/123;(如下)

myRealm2: 用户名/密码为wang/123 时成功,且返回身份/凭据为wang/123;(和myRealm1相似)

myRealm3: 用户名/密码为zhang/123 时成功,且返回身份/凭据为zhang@163.com/123,和myRealm1 不同的是返回时的身份变了;(和myRealm1相似)

public class MyRealm1 implements Realm{
	/*
	 * 返回一个唯一的Realm名字
	 */
	public String getName() {
		return "myrealm1";
	}
	/*
	 * 判断此Realm是否支持此Token
	 */
	public boolean supports(AuthenticationToken token) {
		//仅支持UsernamePasswordToken类型的Token
		return token instanceof UsernamePasswordToken;
	}
	/*
	 * 根据Token获取认证信息
	 */
	public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) {
		String username = (String) token.getPrincipal();//得到用户名
		String password = new String((char[])token.getCredentials());//得到密码
		if(!"zhang".equals(username)){
			throw new UnknownAccountException();//如果用户名错误
		}
		if(!"123".equals(password)){
			throw new IncorrectCredentialsException();//如果密码错误
		}
		//如果身份认证验证成功,返回一个AuthenticationInfo实现
		return new SimpleAuthenticationInfo(username,password,getName());
	}
}

2. ini配置文件(shiro-authenticator-all-success.ini)

#指定securityManager的authenticator实现
authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator
securityManager.authenticator=$authenticator

#指定securityManager.authenticator的authenticationStrategy
allSuccessfulStrategy=org.apache.shiro.authc.pam.AllSuccessfulStrategy
securityManager.authenticator.authenticationStrategy=$allSuccessfulStrategy

myRealm1=chapter2.realm.MyRealm1
myRealm2=chapter2.realm.MyRealm2
myRealm3=chapter2.realm.MyRealm3
securityManager.realms=$myRealm1,$myRealm3
3. 测试代码 

public class AuthenticatorTest {
	/*
	 * 测试AllSuccessfulStrategy成功
	 */
	@Test
	public void testAllSuccessfulStrategyWithSuccess(){
		login("classpath:shiro-authenticator-all-success.ini");
		Subject subject = SecurityUtils.getSubject();
		//得到一个身份集合,其包含了Realm验证成功的身份信息
		PrincipalCollection principalCollection = subject.getPrincipals();
		Assert.assertEquals(2, principalCollection.asList().size());
	}
	/*
	 * 测试AllSuccessfulStrategy失败
	 */
	@Test
	public void testAllSuccessfulStrategyWithFail(){
		login("classpath:shiro-authenticator-all-fail.ini");
		Subject subject = SecurityUtils.getSubject();
		//得到一个身份集合,其包含了Realm验证成功的身份信息
		PrincipalCollection principalCollection = subject.getPrincipals();
		Assert.assertEquals(2, principalCollection.asList().size());
	}
	public void login(String configFile){
		//1. 获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
		Factory<SecurityManager> factory = new IniSecurityManagerFactory(configFile);
		//2. 得到SecurityManager实例,并绑定给SecurityUtils
		SecurityManager securityManager = factory.getInstance();
		SecurityUtils.setSecurityManager(securityManager);
		//3. 得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)
		Subject subject = SecurityUtils.getSubject();
		UsernamePasswordToken token = new UsernamePasswordToken("zhang","123");
		
		subject.login(token);
	}
}
上面是 securityManager.authenticator.authenticationStrategy中对于 AllSuccessfulStrategy的实现。但对于 AtLeastOneSuccessfulStrategy FirstSuccessfulStrategy的唯一不同点一个是返回所有验证成功的Realm 的认证信息;另一个是只返回第一个验证成功的Realm的认证信息。

4. 自定义AuthenticationStrategy实现,首先看其API:

//在所有Realm验证之前调用
AuthenticationInfo beforeAllAttempts(Collection<? extends Realm> realms, AuthenticationToken token);
//在每个Realm之前调用
AuthenticationInfo beforeAttempt(Realm realm, AuthenticationToken token, AuthenticationInfo aggregate);
//在每个Realm之后调用
AuthenticationInfo afterAttempt(Realm realm, AuthenticationToken token,AuthenticationInfo singleRealmInfo, AuthenticationInfo aggregateInfo, Throwable t);
//在所有Realm之后调用
AuthenticationInfo afterAllAttempts(AuthenticationToken token, AuthenticationInfo aggregate);
因为每个AuthenticationStrategy 实例都是无状态的,所有每次都通过接口将相应的认证信息传入下一次流程;通过如上接口可以进行如合并/返回第一个验证成功的认证信息。自定义实现时一般继承org.apache.shiro.authc.pam.AbstractAuthenticationStrategy即可,具体可以参考代码com.github.zhangkaitao.shiro.chapter2.authenticator.strategy 包下OnlyOneAuthenticatorStrategy 和AtLeastTwoAuthenticatorStrategy。

到此基本的身份验证就搞定了,对于AuthenticationToken 、AuthenticationInfo和Realm的详细使用后续章节再陆续介绍

Testdddddddddddddddd
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
解决:Idea: caused by noauth authentication required
AbbyLv_的博客
06-14 1355
解决:Idea: caused by noauth authentication required
关于身份认证中的AuthenticatorAuthenticationStrategy
qq383264679的专栏
06-13 3879
在流程图3中,有AuthenticatorAuthenticationStrategy2个接口。 Authenticator的职责是验证用户帐号,是Shiro API中身份验证核心的入口点:          它只有一个方法: public AuthenticationInfo authenticate(AuthenticationToken authenticationToken)
Shiro第二章-验证者Authenticator、验证策略AuthenticationStrategy
海恩的博客
04-30 447
AuthenticatorAuthenticationStrategy Authenticator的职责是验证用户,被subject的login()调用。 public AuthenticationInfo authenticate(AuthenticationToken authenticationToken) throws AuthenticationExc...
IDEA操作svn时提示authentication required
Z_RenYong的博客
02-04 1639
转载: https://blog.csdn.net/qq_33247435/article/details/87600819 win + r 打开运行窗口,输入cmd 输入 svn ls https://xxx (xxx是具体的svn项目地址) 最后会显示®eject, accept (t)emporarily or accept §ermanently? 输入p即可 ...
IDEA连接不上SVN,一直弹出authentication required
Java进阶之路
05-14 3万+
如题,打开设置后去掉默认的勾选,重新输入用户名密码,更新代码成功。(连接上之后可以再勾选上,不再受影响)如果仍然不好使,建议点击下方 Clear Auth Cache 按钮再试一下~...
How Tomcat Work 第二章 实例应用
08-10
《How Tomcat Work 第二章 实例应用》深入解析 在深入探讨Tomcat工作原理之前,我们先要了解什么是Tomcat。Apache Tomcat是一款开源的Java Servlet容器,它实现了Java Servlet和JavaServer Pages (JSP) 规范,是...
Realm + aspectj aop数据库封装
06-19
在Android开发中,数据持久化是一个重要的环节, Realm是一个高效且强大的对象关系映射(ORM)库,专门针对移动平台设计,尤其是Android。它提供了原生的数据库支持,能够简化数据存储和检索的过程,同时也避免了...
基于spring boot 2和shiro实现身份验证案例
08-19
"基于Spring Boot 2和Shiro实现身份验证案例" 基于Spring Boot 2和Shiro实现身份验证案例是当前网络安全领域中的一种常见解决方案。Shiro是一个功能强大且易于使用的Java安全框架,官网:https://shiro.apache.org/...
信息安全技术第二章-认证技术.pptx
11-30
在Client/Server环境中,有三种可能的安全方案,而Kerberos选择了第三种,要求用户和服务器都需验证对方的身份,以增强安全性。 Kerberos的设计考虑了以下几个关键特性: 1. **安全性**:确保在网络中传输的信息不...
springsecuritytotp:使用Google Authenticator登录Spring Security(基于时间的一次性密码算法,TOTP)
02-05
使用Google Authenticator登录Spring Security Form(基于时间的一次性密码算法,TOTP) 在线演示: : 博客文章: :
Android Realm+gridview gridviewItem点击更新保存数据
08-07
本项目"Android Realm+gridview gridviewItem点击更新保存数据"着重展示了如何在Android应用中结合Realm数据库和GridView控件,实现数据的动态更新与持久化存储。 首先,`MyApplication`是自定义的应用程序类,通常...
IDEA使用Redis时出现NOAUTH Authentication required问题
最新发布
qq_43016434的博客
07-27 1309
我在运行测试redis的样例中出现了这个错误,报错截图我就不放了。引发这个问题的原因:就是因为没有以auth的身份连接服务器,在连接之前需要输入auth的密码。一般来说都是需要进入IDEA的application.yaml文件(每个人的文件不一样,看自己的设置),配置redis的基本信息,其中包括了password。如果你已经配置的password但是还是报了错:1.在自己的电脑上重启redis服务,观察能否运行;不能的跳到下一步骤。
mac os 系统下 intellij idea中svn提示authentication required的解决方法
传奇的菜鸟
01-30 5601
mac os 系统下  intellij idea 提交svn时需要输入用户名密码,而且一直需要证书的解决方案。 1.按照如图操作,一般都可以。 2.如果还是需要证书,那绝对是你的svn权限是只读,forbidden了,改成读写就ok。 还是git好用。 ...
IDEA更新svn项目提示authentication required解决方法
热门推荐
dam454450872的博客
06-07 5万+
idea更新svn项目的时候,经常提示authentication required,然后输入用户名和密码,还是提示,容易被折磨崩溃。下面是解决办法:File-&gt;Settings-&gt;Version Control-&gt;Subversion-&gt;Clear Auth Cache...
Shiro三多relam ,认证策略,密码加密
qq_41921914的博客
12-05 326
Shiro三多relam ,认证策略,密码加密 1.多Relam实现: 与单个Relam实现方式差不错,只不过在编写一个Realm,多relam组成一个集合,然后放到securityManager中。 2.代码 public class CustomRealm extends AuthenticatingRealm { .... } public class CustomRealm2...
idea实现SpringBoot+Shiro+MyBatis+Thymeleaf实现权限控制,身份查询与验证,角色配置和权限配置
旗袍不开、怎么得胜?
06-01 409
Shiro三个核心:  Subject:用户主体(把操作交给SecurityManager)  SecurityManager:安全管理器(关联Realm)  Realm:Shiro连接数据的桥梁 1.引入shiro相关maven依赖 <!-- shiro与spring整合依赖 --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spri
自定义Realm实现认证
京北游戏官方
12-24 9374
Shiro默认使用自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义realm。 1,Realm接口 最基础的是Realm接口,CachingRealm负责缓存处理,AuthenticationRealm负责认证,AuthorizingRealm负责授权,通常自定义的realm继承AuthorizingRealm 2,实现步骤 1,创建shiro_realm的maven项目 2,创建自定义realm public cl
自定义Realm 认证 密码加密 自定义realm的授权功能
qq_55682798的博客
08-08 366
/什么时候执行该方法: 当你进行权限校验时会执行该方法//根据账号查询该用户具有哪些权限if(list!}}////1.根据token获取账号//2.根据账号查询用户信息if(user!=null){//从数据库中获取的密码}}}try {System.out.println("账号密码错误");}}}...
Shiro教程详解:身份验证、授权与Web集成
2. **第二章身份验证** - 讲述了如何设置和管理用户登录过程,包括环境准备、登录/退出操作以及身份认证的流程。这部分会深入解析REALM(安全领域)和相关的AUTHENTICATOR(认证器)和AUTHENTICATIONSTRATEGY...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值