shiro身份验证

最新推荐文章于 2024-08-11 22:20:54 发布
最新推荐文章于 2024-08-11 22:20:54 发布
阅读量1.6k 收藏 4
点赞数
文章标签: shiro身份验证 身份验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangxing52077/article/details/73477038
版权

1.场景还原

    Shiro 是 Java 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它非常实用又简单易懂,今天笔者就shiro的身份验证讲解一下,希望小伙伴能够受益。

2.概念梳理

 Subject :主体(用户)

 Realm:验证主体的数据源

3.验证步骤

①加入shiro依赖

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.2.2</version>
</dependency>
②自定义主体数据源realm,集成Realm 

public class MyRealm1 implements Realm {

    @Override
    public String getName() {
        return "myrealm1";
    }

    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof UsernamePasswordToken; //仅支持UsernamePasswordToken类型的Token
    }

    @Override
    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        String username = (String)token.getPrincipal();  //得到用户名
        String password = new String((char[])token.getCredentials()); //得到密码
        if(!"zhang".equals(username)) {
            throw new UnknownAccountException(); //如果用户名错误
        }
        if(!"123".equals(password)) {
            throw new IncorrectCredentialsException(); //如果密码错误
        }
        //如果身份认证验证成功,返回一个AuthenticationInfo实现;
        return new SimpleAuthenticationInfo(username, password, getName());
    }
}

③测试自定义数据源

@Test
public void testCustomRealm() {
    //1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
    Factory<org.apache.shiro.mgt.SecurityManager> factory =
            new IniSecurityManagerFactory("classpath:shiro-realm.ini");

    //2、得到SecurityManager实例 并绑定给SecurityUtils
    org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();
    SecurityUtils.setSecurityManager(securityManager);

    //3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)
    Subject subject = SecurityUtils.getSubject();
    UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");

    try {
        //4、登录,即身份验证
        subject.login(token);
    } catch (AuthenticationException e) {
        //5、身份验证失败
        e.printStackTrace();
    }

    Assert.assertEquals(true, subject.isAuthenticated()); //断言用户已经登录

    //6、退出
    subject.logout();
}
resources下新建shiro-realm.ini 

[main]
#声明一个realm
myRealm1=realm.MyRealm1
#指定securityManagerrealms实现
securityManager.realms=$myRealm1

多个realm配置

[main]
#声明一个realm
myRealm1=realm.MyRealm1
myRealm2=realm.MyRealm2
#指定securityManagerrealms实现
securityManager.realms=$myRealm1,$myRealm2

测试结果:


表明验证顺利通过!

主体数据源还可以直接写用户信息shiro.ini

[users]
zhang=123
wang=123
表明zhang/123,wang/123两个用户,相同地,验证也可通过;

④连接数据得到主体数据源

1>shiro-jdbc-realm.ini

[main]
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
dataSource=com.alibaba.druid.pool.DruidDataSource
dataSource.driverClassName=com.mysql.jdbc.Driver
dataSource.url=jdbc:mysql://localhost:3306/shiro
dataSource.username=root
dataSource.password=root
jdbcRealm.dataSource=$dataSource
securityManager.realms=$jdbcRealm
2>测试类 

@Test
public void testJDBCRealm() {
    //1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
    Factory<org.apache.shiro.mgt.SecurityManager> factory =
            new IniSecurityManagerFactory("classpath:shiro-jdbc-realm.ini");

    //2、得到SecurityManager实例 并绑定给SecurityUtils
    org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();
    SecurityUtils.setSecurityManager(securityManager);

    //3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)
    Subject subject = SecurityUtils.getSubject();
    UsernamePasswordToken token = new UsernamePasswordToken("liyang", "123");

    try {
        //4、登录,即身份验证
        subject.login(token);
    } catch (AuthenticationException e) {
        //5、身份验证失败
        e.printStackTrace();
    }
    if(subject.isAuthenticated()){
        System.out.print("登陆成功");
    }else{
        System.out.print("登陆失败");
    }

    Assert.assertEquals(true, subject.isAuthenticated()); //断言用户已经登录

    //6、退出
    subject.logout();
}

3>本地数据库数据


测试结果:


4.认证策略详解

SecurityManager 接口继承了 Authenticator,另外还有一个 ModularRealmAuthenticator 实现,其委托给多个 Realm 进行验证,验证规则通过 AuthenticationStrategy 接口指定,默认提供的实现:
FirstSuccessfulStrategy:只要有一个 Realm 验证成功即可,只返回第一个 Realm 身份验证成功的认证信息,其他的忽略;
AtLeastOneSuccessfulStrategy:只要有一个 Realm 验证成功即可,和 FirstSuccessfulStrategy不同,返回所有 Realm 身份验证成功的认证信息;
AllSuccessfulStrategy:所有 Realm 验证成功才算成功,且返回所有 Realm 身份验证成功的认证信息,如果有一个失败就失败了。
ModularRealmAuthenticator 默认使用 AtLeastOneSuccessfulStrategy 策略。

①shiro-atLeatOne-success.ini

[main]
#指定securityManagerauthenticator实现
authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator
securityManager.authenticator=$authenticator

#指定securityManager.authenticatorauthenticationStrategy
allSuccessfulStrategy=org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy
securityManager.authenticator.authenticationStrategy=$allSuccessfulStrategy

myRealm1=realm.MyRealm1
myRealm2=realm.MyRealm2
myRealm3=realm.MyRealm3
securityManager.realms=$myRealm1,$myRealm2,$myRealm3
②shrio-fisrt-success.ini 

[main]
#指定securityManagerauthenticator实现
authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator
securityManager.authenticator=$authenticator

#指定securityManager.authenticatorauthenticationStrategy
allSuccessfulStrategy=org.apache.shiro.authc.pam.FirstSuccessfulStrategy
securityManager.authenticator.authenticationStrategy=$allSuccessfulStrategy

myRealm1=realm.MyRealm1
myRealm2=realm.MyRealm2
myRealm3=realm.MyRealm3
securityManager.realms=$myRealm1,$myRealm2,$myRealm3
③shiro-all-success.ini 

[main]
#指定securityManagerauthenticator实现
authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator
securityManager.authenticator=$authenticator

#指定securityManager.authenticatorauthenticationStrategy
allSuccessfulStrategy=org.apache.shiro.authc.pam.AllSuccessfulStrategy
securityManager.authenticator.authenticationStrategy=$allSuccessfulStrategy

myRealm1=realm.MyRealm1
myRealm2=realm.MyRealm2
myRealm3=realm.MyRealm3
securityManager.realms=$myRealm1,$myRealm3
然后测试 

public class AuthenticatorTest {

    @Test
    public void testAllSuccessfulStrategyWithSuccess() {
        login("classpath:shiro-authenticator-all-success.ini");
        Subject subject = SecurityUtils.getSubject();

        //得到一个身份集合,其包含了Realm验证成功的身份信息
        PrincipalCollection principalCollection = subject.getPrincipals();
              System.out.print(principalCollection.asList().get(1));
        Assert.assertEquals(2, principalCollection.asList().size());
    }

   

    @Test
    public void testAtLeastOneSuccessfulStrategyWithSuccess() {
        login("classpath:shiro-authenticator-atLeastOne-success.ini");
        Subject subject = SecurityUtils.getSubject();

        //得到一个身份集合,其包含了Realm验证成功的身份信息
        PrincipalCollection principalCollection = subject.getPrincipals();
        System.out.print(principalCollection.asList().get(0));
        Assert.assertEquals(2, principalCollection.asList().size());
    }

    @Test
    public void testFirstOneSuccessfulStrategyWithSuccess() {
        login("classpath:shiro-authenticator-first-success.ini");
        Subject subject = SecurityUtils.getSubject();

        //得到一个身份集合,其包含了第一个Realm验证成功的身份信息
        PrincipalCollection principalCollection = subject.getPrincipals();
        Assert.assertEquals(1, principalCollection.asList().size());
    }

  

    private void login(String configFile) {
        //1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
        Factory<org.apache.shiro.mgt.SecurityManager> factory =
                new IniSecurityManagerFactory(configFile);

        //2、得到SecurityManager实例 并绑定给SecurityUtils
        org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);

        //3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");

        subject.login(token);
        System.out.println(subject.isAuthenticated());
    }

    @After
    public void tearDown() throws Exception {
        ThreadContext.unbindSubject();//退出时请解除绑定Subject到线程 否则对下次测试造成影响
    }

}

 好了,大伙按需get!我是张星,欢迎加去博主技术交流群,群号:313145288


老张家的独苗
关注
Apache Shiro身份验证绕过漏洞处置方案
文公子的博客
11-03 1649
Apache Shiro身份验证绕过漏洞处置方案 2020年8月18日Apache Shiro官方发布安全通告 Apache Shiro身份验证绕过漏洞(CVE-2020-13933),经过分析,攻击者可以通过构造特殊的HTTP请求实现身份验证绕过。鉴于该漏洞影响较大,建议尽快升级到最新版本。 漏洞描述 Apache Shiro是一个强大且易用的Java安全框架,通过它可以执行身份验证、授权、密码和会话管理。使用Shiro的易用API,您可以快速、轻松地保护任何应用程序——从最小的移动应用程序到最大的WEB
SpringBoot搭建的shiro鉴权的最简单的登录demo(绝对可用)
09-04
直接把项目导入idea就能打开使用,该项目在简单实现shiro登录鉴权的基础上,还实现了接收数据的统一加工处理模块,在接收post或者get请求后,能返回固定模板格式的json数据给前端,对于初期的学习与应用很有帮助。对了数据库需要自己布置一下,有问题的话可以给我留言
shiro身份验证
weixin_34219944的博客
06-26 147
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro详解
最新发布
weixin_57356976的博客
08-11 507
在web.xml文件里配置shiro的过滤器shiroFilter,DelegatingFilterProxy实际上是Filter的一个代理对象,默认情况下,Spring会到IOC容器查找和对应的filter bean,也可以通过targetBeanName的初始化参数来配置filter bean的id:</</</</</</</</</</</</
Shiro实现身份验证
史天航的博客
12-10 924
Shiro实现身份验证 身份验证,即在应用中谁能证明他是他本人,一般提供如他们的身份ID、用户名、密码等来证明。 在Shiro中,用户需要提供principals(身份)和credentials(证明)给Shiro,从而应用能验证用户身份: principals: 身份,即主体的标识属性,可以是任何东西,如用户名、邮箱,唯一即可。一个主体可以有多个principals,但只有一个Prim...
Shiro系列-Shiro如何实现身份验证
初学者
10-28 2593
导语   下面就来按照顺序依次介绍一下Shiro的使用场景,场景代码后续会放到GitHub上面希望大家可以多多支持。首先先来介绍一下Shiro身份认证。 文章目录Shiro身份验证入门小例子环境准备登陆/退出操作1、准备用户身份凭据编写测试步骤总结身份认证流程查看源码login(AuthenticationToken token) Subject的登陆方法createSubject(toke...
shiro身份认证失败:org.apache.shiro.authc.IncorrectCredentialsException
m0_67391521的博客
08-24 1544
所以不是身份认证的原因,归根到底是密码错的原因,经过多次验证,我很确定经过MD5加盐加密的密码没有错啊,那是能使格式错了,,,,,最近整个shiro项目的时候,发现一个小bug,在登录的时候,当用户名对,密码错的时候,本应提示用户名或密码错误的,但提示信息却是身份认证失败的异常信息,项目后台窗口报错。又经过多次尝试,发现token和info不一样,一个是32位的string形式的,一个是char的形式,然后我将密码先设置为char再转为string之后,终于成功了。
Apache Shiro身份验证绕过漏洞(CVE-2020-13933)
07-17
直接使用java -jar srping....war命令运行即可 执行之后,访问http://主机的IP:8888/admin/*或者http://主机的IP:8888/login
Shiro 身份验证、授权、密码和会话管理
05-07
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了身份验证、授权、密码管理和会话管理等功能,简化了在 Java 应用程序中处理安全性的问题。Shiro 的设计目标是使开发者能够专注于应用程序的安全逻辑,而...
shiro身份验证、授权
04-22
它涵盖了身份验证(Authentication)、授权(Authorization)、密码策略(Cryptography)以及会话管理(Session Management)等多个核心安全领域,使得开发者可以轻松地在Java应用中实现安全控制。 **身份验证...
Apache Shiro 身份验证绕过漏洞安全风险通告
03-24
Apache Shiro 身份验证绕过漏洞安全风险通告
Spring Shiro登陆验证技术详解
liujianwd的博客
07-19 389
身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。 在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但
03-2 shiro身份验证
brusion的博客
09-19 388
03-2 shiro身份验证shiro中用户需要提供身份(principals)和证明(credentials)给shiro。从而应用可以验证用户身份。 principals:身份,主体的标识属性(用户名) credentials:证明/凭证,只有主体知道的安全值(密码) Subject:主体 Realm:数据源 本篇内容: 1、通过ini身份验证 2、身份验证流程 3、使用realm身...
[第二章]shiro身份验证
沈荣荣的博客
09-06 1078
身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。 在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但
shiro身份验证失败捕获的异常对应信息
苏凯的博客
09-07 5543
shiro身份验证失败捕获的异常对应信息 身份验证失败请捕获 AuthenticationException 或其子类,常见的如: DisabledAccountException(禁用的帐号)、 LockedAccountException(锁定的帐号)、 UnknownAccountException(错误的帐号)、 Excessive...
shiro 登录验证身份过程分析
u013995395的博客
05-29 407
//步骤1:首先利用工具类获取Subject,没有获取到则创建一个新的Subject Subject currentUser = SecurityUtils.getSubject(); //步骤2:在默认实现类DelegatingSubject中执行登录验证过程 public void login(AuthenticationToken token) throws Authenticati...
Shiro的鉴权方式
热门推荐
不忘初心,方能始终。
02-25 1万+
一、 怎么用 Shiro 支持三种方式的授权 编程式:通过写 if/else 授权代码块完成: Subject subject = SecurityUtils.getSubject(); if(subject.hasRole(“admin”)) { //有权限 } else { //无权限 } 注解式:通过在执行的 Java 方法上放置相应的注解完成: @Require...
Shiro身份验证最详细的代码流转分析
【冯立雄】的博客
08-11 459
Shiro身份验证流转分析 【冯立雄】的身份验证流转分析,一步步debug下来的 1.ShiroHandler.login(token); 2.DelegatingSubject.login(token); 3.securityManager.login(this, token); 4.DefaultSecurityManager.login(subject,token); 5.Authenti
Spring Boot 2与Shiro:实战身份验证教程
本文档深入探讨了如何在Spring Boot 2环境中利用Apache Shiro框架实现身份验证功能。Shiro是一个功能强大的Java安全框架,专为简化安全控制设计,支持身份验证、授权、加密以及会话管理等功能。它不仅适用于人类用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

老张家的独苗

可以吃鸡腿????么!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值