Shiro 身份验证

最新推荐文章于 2023-10-19 13:35:43 发布
最新推荐文章于 2023-10-19 13:35:43 发布
阅读量173 收藏
点赞数
分类专栏: java 架构 Shiro详解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuanqs_1992/article/details/81358584
版权
java 同时被 3 个专栏收录
22 篇文章 0 订阅
订阅专栏
架构
3 篇文章 0 订阅
订阅专栏
Shiro详解
2 篇文章 0 订阅
订阅专栏

身份验证:在shiro中用户需要提供principals和credentias给shiro从而应用能验证用户身份。

principals:身份,即主体标识属性。

credentials:证明/凭证即只有主体知道的安全值,如密码/数字证书。

最常见的principals和credentials组合就是用户名/密码。

简单的验证:

pom.xml

 <!-- shiro dependency-->
        <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <version>4.9</version>
        </dependency>
        <dependency>
            <groupId>commons-logging</groupId>
            <artifactId>commons-logging</artifactId>
            <version>1.1.3</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.2.2</version>
        </dependency>

shiro.ini

[users] 
zhang=123 
wang=123

 testHelloworld

 public void testHelloWorld(){
        //1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        //2、得到SecurityManager实例 并绑定给SecurityUtils
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
        //3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("wang","123");
        try {
            //4、登录,即身份验证
            subject.login(token);
        }catch (AuthenticationException e){
            System.out.println("验证失败");
            e.printStackTrace();
        }
        System.out.println("验证结果:"+ subject.isAuthenticated());
        Assert.assertEquals(true,subject.isAuthenticated());
        //退出
        subject.logout();
    }

自定义Realm

public class MyRealm1 implements Realm {
    @Override
    public String getName() {
        return "myrealm1";
    }

    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof UsernamePasswordToken;
    }

    @Override
    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
       String username = (String)token.getPrincipal();
       String password = new String((char[]) token.getCredentials());
       if(!"zhang".equals(username)){
            throw new UnknownAccountException();
       }
       if(!"123".equals(password)){
           throw new IncorrectCredentialsException();
       }
       return new SimpleAuthenticationInfo(username,password,getName());
    }
}

需要继承Realm类,并重写其getName(),supports(),getAuthenticationInfo()方法,需修改shiro.ini

#myRealm1=com.yuanqs.realm.MyRealm1
#securityManager.realms=$myRealm1

这样自定义的MyRealm1即可生效,测试还是调之前的方法。

最常用的调用数据库的Reaml的配置如下:

jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
dataSource=com.alibaba.druid.pool.DruidDataSource
dataSource.driverClassName=com.mysql.jdbc.Driver
dataSource.url=jdbc:mysql://localhost:3306/shiro
dataSource.username=root
dataSource.password=root
jdbcRealm.dataSource=$dataSource
securityManager.realms=$jdbcRealm

 

Curry_Yuan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Shiro身份验证绕过漏洞(CVE-2020-13933)
07-17
直接使用java -jar srping....war命令运行即可 执行之后,访问http://主机的IP:8888/admin/*或者http://主机的IP:8888/login
shiro身份验证、授权
04-22
它涵盖了身份验证(Authentication)、授权(Authorization)、密码策略(Cryptography)以及会话管理(Session Management)等多个核心安全领域,使得开发者可以轻松地在Java应用中实现安全控制。 **身份验证...
Shiro身份认证流程
m0_73875507的博客
03-14 103
Subject把标识token交给SecurityManager,在SecurityManager安全中心中,SecurityManager把标识token委托给认证器;认证器的作用一般是用来指定如何验证,它规定本次认证用到哪些Realm;认证器Authenticator将传入的标识token,与数据源Realm对比,验证token是否合法。Shiro把用户的数据封装成标识tokentoken一般封装着用户名,密码等信息;使用Subject门面获取到封装着用户的数据的标识token
权限验证框架之Shiro
小明同学的博客
08-21 721
总结起来,Realm、AuthenticationFilter和AuthorizationFilter需要进行定义或配置,并由SecurityManager进行管理,以确保Shiro能够正确地进行身份验证和授权操作。将数据转换为不可读的形式,以保护数据的安全性。会话是指用户在与应用程序交互期间的一段时间。是整个Shiro安全体系的核心。因为它没有依赖于特定的框架。配置相应的加密算法和密钥。代表当前执行操作的用户。是所有安全操作的入口点。基于Cookie的会话。用于管理用户的会话信息。基于URL重写的会话。
Java后端精选技术之Shiro安全框架入门篇,登录验证实例详解
最新发布
资料免费分享,点击名片
10-19 648
2)当运行一个Web应用程序时,Shiro将会创建一些有用的默认Filter实例,并自动地在[main]项中将它们置为可用自动地可用的默认的Filter实例是被DefaultFilter枚举类定义的,枚举的名称字段就是可供配置的名称。1)Shiro验证URL时,URL匹配成功便不再继续匹配查找(所以要注意配置文件中的URL顺序,尤其在使用通配符时),故filterChainDefinitions的配置顺序为自上而下,以最上面的为准。(2)授权,即权限验证,验证某个已认证的用户是否拥有某个权限;
Shiro过滤器配置(ShiroFilterFactoryBean)
热门推荐
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
shiro原理
qingfeng2556的博客
05-04 5349
principals即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。credentials是证明/凭证,即只有主体知道的安全值,如密码/数字证书等。最常见的principals和credentials组合就是用户/密码了。 下面我们来看一个认证的例子,由于我们是用maven构建的实例,所以需要在pom.xml中添加依赖: ? 1 2
Shiro 身份验证、授权、密码和会话管理
05-07
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了身份验证、授权、密码管理和会话管理等功能,简化了在 Java 应用程序中处理安全性的问题。Shiro 的设计目标是使开发者能够专注于应用程序的安全逻辑,而...
Apache Shiro 身份验证绕过漏洞安全风险通告
03-24
Apache Shiro 身份验证绕过漏洞安全风险通告
基于spring boot 2和shiro实现身份验证案例
08-19
"基于Spring Boot 2和Shiro实现身份验证案例" 基于Spring Boot 2和Shiro实现身份验证案例是当前网络安全领域中的一种常见解决方案。Shiro是一个功能强大且易于使用的Java安全框架,官网:https://shiro.apache.org/...
shiro身份验证授权入门
十五楼亮哥
05-22 7982
一、 介绍:shiro是apache提供的强大而灵活的开源安全框架,它主要用来处理身份认证,授权,企业会话管理和加密。 shiro功能:用户验证、用户执行访问权限控制、在任何环境下使用session API,如cs程序。可以使用多数据源如同时使用oracle、mysql。单点登录(sso)支持。remember me服务。详细介绍还请看官网的使用手册:http://shiro.apache.org
Shiro身份认证
lt_BeiMo的博客
07-27 204
身份认证 在 shiro 中,用户需要提供 principals (身份)和 credentials(证明)给 shiro,从而应用能验证用户身份: principals——类似于银行卡号(一对多),即主体的标识属性 credentials——只有用户自己才知道的银行卡密码,证明 / 凭证,即只有主体知道的安全值,如密码 / 数字证书等 Subject 及 Realm,分别是主体及验证主体的数据源 基本流程: 1.获取 SecurityManager 并绑定到 SecurityUtils,这是.
shiro-密码比较的设计 CredentialsMatcher -为什么Java中的密码优先使用 char[] 而不是String
汪小哥
12-23 1万+
密码比较 昨天的时候,笔者仔细的追踪了,整个获取信息的主要的设计,通过用户的唯一标识得到 AuthenticationInfo 然后和 AuthenticationToken (用户名 密码),进行比较! 有一个专门的设计类,用来处理密码匹配的比较的。而且很复杂~AuthenticatingRealm中有一个成员变量 private CredentialsMatcher credenti
[第二章]shiro身份验证
沈荣荣的博客
09-06 1070
身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。 在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但
shiro身份验证
zhangxing
06-19 1675
1.场景还原     Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它非常实用又简单易懂,今天笔者就shiro身份验证讲解一下,希望小伙伴能够受益。 2.概念梳理  Subject :主体(用户)  Realm:验证主体的数据源 3.验证步骤 ①加入shiro依赖 org.apache.shiro shi
java安全框架Apache Shiro 简介
12-05 415
Apache Shiro 是一个框架,可用于身份验证和授权。本文提供了几个示例用来展示如何在 Java™ 应用程序中使用 Shiro 并给出了如何在一个 Grails web 应用程序中使用它的概述。为了从本文中最大限度地受益,您应该习惯于创建 Java 应用程序并安装了如下的几个组件: Java 1.6 JDK Grails(用来运行这些 web 应用程序示例) 常用缩略词
第四章:Shiro的身份认证(Authentication)
逸轩
04-09 8307
Authentication概述 概述   Authentication 是指身份验证的过程——即证明一个用户实际上是不是他们所说的他们是谁。也就是说通过提交用户的身份和凭证给Shiro,以判断它们是否和应用程序预期的相匹配。 基本概念 1:Principals(身份):是Subject 的‘identifying attributes(标识属性)’。比如我们登录提交的用户名。
Shiro系列-Shiro如何实现身份验证
初学者
10-28 2533
导语   下面就来按照顺序依次介绍一下Shiro的使用场景,场景代码后续会放到GitHub上面希望大家可以多多支持。首先先来介绍一下Shiro的身份认证。 文章目录Shiro身份验证入门小例子环境准备登陆/退出操作1、准备用户身份凭据编写测试步骤总结身份认证流程查看源码login(AuthenticationToken token) Subject的登陆方法createSubject(toke...
Apache Shiro入门:身份验证与授权教程
1. **身份验证 (Authentication)**: 这是用户登录的过程,Shiro通过`doGetAuthenticationInfo()`方法来获取并验证用户的身份信息。在示例代码中,`UsernamePasswordToken`被用来获取用户名和密码,然后与数据库中的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值