【Shiro权限管理】二、身份认证

最新推荐文章于 2024-07-08 16:55:04 发布
最新推荐文章于 2024-07-08 16:55:04 发布
阅读量246 收藏
点赞数
分类专栏: Shiro权限管理 文章标签: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanshixiang/article/details/102912639
版权

一、介绍

身份认证:即在系统中,什么能证明此用户的合法性,证明当前登录的用户就是自己。提供一些唯一标识ID来证明自己。一般是用户名/密码组合来证明。

principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有一个Primary principals,一般是用户名/密码/手机号。

Credentials:证明/凭证,即只有主体知道的安全值,如密码/数字证书等。最常见的principals和credentials组合就是用户名/密码了。接下来先进行一个基本的身份认证。

 

二、实际项目

1、使用Idea创建一个基于Maven管理的Java工程。

2、在POM文件中引入一下依赖。

  <dependencies>
        <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <version>4.9</version>
        </dependency>

        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-log4j12</artifactId>
            <version>1.7.21</version>
        </dependency>

        <dependency>
            <groupId>log4j</groupId>
            <artifactId>log4j</artifactId>
            <version>1.2.17</version>
        </dependency>

        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.4.0</version>
        </dependency>

        <dependency>
            <groupId>commons-logging</groupId>
            <artifactId>commons-logging</artifactId>
            <version>1.2</version>
        </dependency>
 
    </dependencies>

3、在resources文件夹下新建shiro.ini配置文件,值为以下字段。指定主体

[users]
James=123

4、编写认证测试代码

package com.study.HelloWorld;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;

/**
 * @author James
 * @create 2019-11-02 22:59
 */
public class AuthenticationDemo {

    public static void main(String[] args){

        //1、获取SecurityManager工厂,此处使用(shiro.ini)初始化配置文件。
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");

        //2、得到SecurityManager实例
        SecurityManager securityManager = factory.getInstance();

        //3、将SecurityManager设置到运行环境中
        SecurityUtils.setSecurityManager(securityManager);

        //4、通过SecurityUtils获取Subject主体
        Subject subject = SecurityUtils.getSubject();

        //5、假设登录的用户名 密码是Jame 123(表示用户登录时输入信息 shiro.ini相当于数据库存信息)
        UsernamePasswordToken token=new UsernamePasswordToken("James","123");

        //6、进行登录
        try {
            subject.login(token);

            if (subject.isAuthenticated()) {
                System.out.println("登录成功.....");
            }

        }catch (DisabledAccountException e){
            System.out.println("账户失效.....");
        }catch (ExcessiveAttemptsException e){
            System.out.println("尝试次数过多...");
        }catch (UnknownAccountException e){
            System.out.println("用户名不正确...");
        }catch (IncorrectCredentialsException e){
            System.out.println("用户名或密码不正确...");
        }
    }
}

此处注意:new IniSecurityManagerFactory()会报错,需要我们手动引入 import org.apache.shiro.mgt.SecurityManager ;Shiro中的SecurityManager。因为java.lang*包中也有SecurityManager。需要给idea指明。我曾在这里踩了大坑。

4.1、首先通过newIniSecurityManagerFactory并指定一个ini配置文件来创建一个SecurityManager工厂;

4.2、接着获取SecurityManager并绑定到SecurityUtils,这是一个全局设置,设置一次即可;

4.3、通过SecurityUtils得到Subject,其会自动绑定到当前线程;如果在web环境在请求结束时需要解除绑定;然后获取身份验证的Token,如用户名/密码;
4.4、调用subject.login方法进行登录,其会自动委托给SecurityManager.login方法进行登录;

4.5、isAuthenticated()返回boolean值,true为认证成功,false认证失败。如果身份验证失败请捕获AuthenticationException或其子类,常见的如:DisabledAccountException(禁用的帐号)、LockedAccountException(锁定的帐号)、UnknownAccountException(错误的帐号)、ExcessiveAttemptsException(登录失败次数过多)、IncorrectCredentialsException(错误的凭证)、ExpiredCredentialsException(过期的凭证)等,具体请查看其继承关系;对于页面的错误消息展示,最好使用如“用户名/密码错误”而不是“用户名错误”/“密码错误”,防止一些恶意用户非法扫描帐号库;

4.6、最后可以调用subject.logout退出,其会自动委托给SecurityManager.logout方法退出。

通过认证异常类的子类体系图,我们可以清楚的看到Shiro的一些异常子类。

以上就是Shiro的身份认证,在下一章将结合源码进行认证流程的分析。

 

 

 

 

 

 

 

真香号
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【SpringBoot】23、SpringBoot中整合Shiro实现权限管理
Asurplus
07-12 21万+
之前在 SSM 项目中使用过 shiro,发现 shiro权限管理做的真不错,但是在 SSM 项目中的配置太繁杂了,于是这次在 SpringBoot 中使用了 shiro,下面一起看看吧 一、简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 三个核心组件: 1、Subject: 即“当前操作用户”。但是,在 Shiro 中,Subje
Shiro 身份验证、授权、密码和会话管理
05-07
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了身份验证、授权、密码管理和会话管理等功能,简化了在 Java 应用程序中处理安全性的问题。Shiro 的设计目标是使开发者能够专注于应用程序的安全逻辑,而...
Shiro身份认证权限管理(授权)
nanZhaiXiaoLang的博客
09-27 980
1. Shiro身份认证流程信息: 后台接受凭证信息(密码)和身份信息(用户名)封装到Subject主体中,调用Subject自己的登陆方法,完成校验。底层校验代码是实现AuthenticatingRealm 类重写doGetAuthentica方法,根据传过来的值来 查询数据库完成用户认证。 2. Shiro的用户授权流程信息: 先认证过以后,根据认证信息查询用户的权限级别,...
Shiro学习01:使用Shiro实现身份管理和权限验证
ncepu_Chen的博客
08-11 798
Shiro学习01:使用Shiro实现身份管理和权限验证Shiro的基本概念Shiro入门实例1: 通过ini配置文件实现身份验证项目准备使用默认Realm组件使用自定义Realm使用密文存储密码Shiro入门实例2: 通过ini配置文件实现权限管理BRAC权限管理使用ini配置文件为用户授权使用自定义Realm为用户授权Shiro权限管理的执行流程 Shiro的基本概念 Shiro的基本功能...
Shiro 权限管理入门之认证与授权
萌宅鹿的技术小屋
07-05 630
Shiro权限管理什么是权限管理?什么是身份认证?什么是授权?ShiroShiro 的核心架构3.2 SecurityManager3.3 Authenticator3.4 Authorizer3.5 Realm3.6 SessionManager3.7 SessionDAO3.8 CacheManager3.9 Cryptography 权限管理 什么是权限管理? 基本上涉及到用户参与的系统都要进行权限管理权限管理属于系统安全的范畴,权限管理实现 对用户访问系统的控制,按照 安全规则 或者 安全策略 控
shiro中的验证用户身份认证以及授权
m0_62019369的博客
09-11 3598
Shiro从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。 最基础的是Realm接口,CachingRealm负责缓存处理,AuthenticationRealm负责认证,AuthorizingRealm负责授权。 通常自定义的realm继承Authoriz
最全Shiro教程,一篇学会Shiro权限管理
热门推荐
老达摩的博客
12-23 1万+
声明:本文是博主观看bilibili上Java涛哥视频学习的Shiro框架所整理笔记,学完思路清晰,原文代码大致相同,原视频链接附上,方便以后学习查看。 Shiro ​ Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。 一、权限管理 不同身份的人进入系统所完成的操作不同,如下图,当一个系统包含左侧所有菜单功能时,要求不同人员登录展示不
shiro——Shiro身份验证
m0_62019369的博客
09-09 845
shiro问题: zs/ls/ww/admin能有一样的操作权限吗?5. Shiro权限认证(支持三种方式的授权)5.1 编程式:通过写if/else授权代码块完成//有权限} else {//无权限}
使用Shiro安全框架进行身份验证、授权
qq_34922830的博客
07-26 727
Apache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand API, you can quickly and easily secure any application – from the smalle.
Shiro框架2——shiro的认证+shiro的授权
qq_64064246的博客
07-08 1138
通过分析源码可得:认证:1.最终执行用户名比较是 在SimpleAccountRealm类 的 doGetAuthenticationInfo 方法中完成用户名校验2.最终密码校验是在 AuthenticatingRealm类 的 assertCredentialsMatch方法 中总结:认证realm授权realm自定义Realm的作用:放弃使用.ini文件,使用数据库查询。
Shiro安全框架-身份认证
A_nonym的博客
12-02 3320
Shiro安全框架-登陆实现 写在前面 上一章我们已经了解了Shiro的基本信息和架构,接下来我们用Shiro实现一个简单的登录。 1.登陆实现 1.1.搭建项目 创建一个名为”shiro-demo“的基于SpringBoot的web工程。 1.2.导入依赖 继承SpringBoot的父工程,导入web依赖和shiro整合spring的依赖以及其他相关依赖。 <parent> <groupId>org.springframework.boot</groupId&gt
ssm-shiro权限管理
01-14
在“ssm-shiro权限管理)”中,我们可能会看到如何自定义Realm,将Shiro的认证逻辑与数据库中的用户信息相结合,以实现更灵活的登录验证。 接着,优化登录流程可能包括添加验证码机制来防止恶意登录尝试,或者...
springboot+mybatis+layui+shiro权限管理
06-24
在本项目中,Shiro主要用于实现用户的身份验证和权限授权。Shiro的RememberMe功能可以实现用户下次访问时的自动登录,而其Role-Based和Permission-Based授权模式则能够精细化控制用户对系统资源的访问权限。 Layui...
2024浙江省行政区划矢量图层-省市县乡镇四级行政区划数据下载-带python代码
最新发布
08-02
2024最新浙江省行政区划矢量图层数据,包含省、市、县、乡镇四级行政区划数据下载,附带shp转geojson的python代码
年度销售计划表.xlsx.xlsx
08-01
销售统计,调查问卷,库存明细,跟进表,业绩统计表,差异分析 ,产品清单 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
蓝牙BLE 4.0开发课程
08-01
蓝牙BLE 4.0课程
每日销售情况统计表.xls
08-01
销售统计,调查问卷,库存明细,跟进表,业绩统计表,差异分析 ,产品清单 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
TI官网cc2530资料.zip
08-01
TI官网cc2530资料.zip
Shiro权限管理深度解析:身份认证与授权流程
Shiro权限管理框架详解深入探讨了在现代软件开发中至关重要的用户权限管理权限管理是确保系统安全的核心组成部分,它负责控制用户能够访问的系统资源,根据预设的安全策略执行访问控制。权限管理主要由两个核心...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

真香号

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值