Shiro框架——shiro的认证

最新推荐文章于 2025-04-18 21:14:02 发布
最新推荐文章于 2025-04-18 21:14:02 发布
阅读量1.8k 收藏 23
点赞数 16
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_79438104/article/details/142989071
版权

 基本使用

1.环境搭建

引入pom依赖

说明:Shiro获取权限相关信息可以通过数据库获取,也可以通过ini配置文件获取

这里演示从ini文件中获取。

  • 在resources目录下创建ini文件
  • 注:这里等号左边的(如:zhangsan),就代表用户名。等号右边的(123456)就代表对应的密码。

  • 2.登录认证
    2.1登录认证概念
    ① 身份验证:就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。

    ② 在shiro中,用户需要提供principals(身份)和credentials(证明)给shiro,从而应用能验证用户身份;

    ③ principals:身份,即主体的标识属性,可以是任何属性,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有一个主身份 ( Primary principals ),一般是用户名/邮箱/手机号。

    ④ credentials:证明/凭证,即只有主体知道的安全值,如密码/数字证书等。

    最常见的principals和credentials组合就是用户名/密码

    2.2登录认证基本流程

  • ① 收集用户身份/凭证,即如用户名/密码

    ② 调用 Subject.login 进行登录,如果失败将得到相应 的 AuthenticationException异常,根据异常提示用户 错误信息;否则登录成功

    ③ 创建自定义的 Realm 类,继承 org.apache.shiro.realm.AuthenticatingRealm类,实现 doGetAuthenticationInfo() 方法

  • 2.3demo样例

    四步走:

  • 初始化获取SecurityManager
  • 获取subject对象
  • 创建token对象,web应用用户名密码从页面传递
  • 完成登录
  •     public static void main(String[] args) {
        //1.创建安全管理器对象
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        //2.给安全管理器设置realm
        securityManager.setRealm(new IniRealm("classpath:shiro.ini"));
        //3.SecurityUtils给全局安全工具类设置安全管理器
        SecurityUtils.setSecurityManager(securityManager);
        //4.关键对象subject主体
        Subject subject = SecurityUtils.getSubject();
        //5.创建令牌
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan","123456");
        try {
            System.out.println("认证状态"+subject.isAuthenticated());//false
            //用户认证
            subject.login(token);
            System.out.println("登陆成功");
            System.out.println("认证状态"+subject.isAuthenticated());
        }catch (UnknownAccountException e){
            e.printStackTrace();
            System.out.println("认证失败,用户名不存在");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("认证失败,密码错误");
        }
    }

    常见的异常类型

    DisabledAccountException(帐号被禁用)
    LockedAccountException(帐号被锁定)
    ExcessiveAttemptsException(登录失败次数过多)
    ExpiredCredentialsException(凭证过期)等

  • 2.4自定义Realm

    通过分析源码可得:

  • 自定义Realm的作用:放弃使用.ini文件,使用数据库查询

    上边的程序使用的是Shiro自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义realm。

    1.shiro提供的Realm

  • 2.根据认证源码认证使用的是SimpleAccountRealm

  • SimpleAccountRealm的部分源码中有两个方法一个是认证一个是授权

  • 源码部分:

  • public class SimpleAccountRealm extends AuthorizingRealm {
		//.......省略
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken upToken = (UsernamePasswordToken) token;
        SimpleAccount account = getUser(upToken.getUsername());
 
        if (account != null) {
 
            if (account.isLocked()) {
                throw new LockedAccountException("Account [" + account + "] is locked.");
            }
            if (account.isCredentialsExpired()) {
                String msg = "The credentials for account [" + account + "] are expired";
                throw new ExpiredCredentialsException(msg);
            }
 
        }
 
        return account;
    }
 
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = getUsername(principals);
        USERS_LOCK.readLock().lock();
        try {
            return this.users.get(username);
        } finally {
            USERS_LOCK.readLock().unlock();
        }
    }
}

    3.自定义realm

  • package com.lut.realm;
 
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
 
/**
 * 自定义Realm 将认证/授权的数据的来源转为数据库的实现
 */
public class CustomerRealm extends AuthorizingRealm {
    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        System.out.println("==================");
        return null;
    }
 
    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //在token中获取 用户名
        String principal = (String) token.getPrincipal();
        System.out.println(principal);
 
        //实际开发中应当 根据身份信息使用jdbc mybatis查询相关数据库
        //在这里只做简单的演示
        //假设username,password是从数据库获得的信息
        String username="zhangsan";
        String password="123456";
        if(username.equals(principal)){
            //参数1:返回数据库中正确的用户名
            //参数2:返回数据库中正确密码
            //参数3:提供当前realm的名字 this.getName();
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(principal,password,this.getName());
            return simpleAuthenticationInfo;
        }
        return null;
    }
}

    注意:真正项目中,这里重写的认证方法应该要根据token中传入的用户名到数据库中查询对应的密码。然后通过SimpleAuthenticationInfo 的构造器放入SimpleAuthenticationInfo 对象中,返回给安全管理器,安全管理器会帮我们把用户输入的密码和数据库中的密码进行对比验证。

  • 4.使用自定义Realm认证

    使用我们刚刚自定义Realm完成从数据库中获取认证数据源

  • package com.lut.test;
 
import com.lut.realm.CustomerRealm;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;
 
/**
 * 测试自定义的Realm
 */
public class TestAuthenticatorCusttomerRealm {
 
    public static void main(String[] args) {
        //1.创建安全管理对象 securityManager
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
 
        //2.给安全管理器设置realm(设置为自定义realm获取认证数据)
        defaultSecurityManager.setRealm(new CustomerRealm());
        //IniRealm realm = new IniRealm("classpath:shiro.ini");
 
        //3.给安装工具类中设置默认安全管理器
        SecurityUtils.setSecurityManager(defaultSecurityManager);
 
        //4.获取主体对象subject
        Subject subject = SecurityUtils.getSubject();
 
        //5.创建token令牌
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123");
        try {
            subject.login(token);//用户登录
            System.out.println("登录成功~~");
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户名错误!!");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("密码错误!!!");
        }
 
    }
}

    2.5使用MD5+Salt+Hash
    补充:MD5算法

    作用:一般用来加密或者签名(校验和)
    特点:MD5算法不可逆如何内容相同无论执行多少次md5生成结果始终是一致
    生成结果:始终是一个16进制32位长度字符串
    使用场景:比较两个文件内容是否相同。可以对两个文件进行校验,如果校验之后两个生成的值是一样的,说明两个文件内容完全一致。

注意:

这里为了保证用户的安全,用户注册时:不能直接把密码明文存储在数据库中。要在密码上先拼接上salt,再使用MD5对整个字符串进行校验。最后把结果存储在数据库中。
用户登录时:也要在密码相同的位置(比如说注册和登录时都是在密码最后拼接salt)拼接salt。然后再进行MD5校验。
注册时和登录时使用的salt必须要是同一个。可以写在后端的配置文件中,也可以随机生成一个,然后跟注册时一起存到数据库中。总之必须保证注册时和登陆时拼接的salt是同一个。

MD5的基本使用

package com.lut.test;
 
import org.apache.shiro.crypto.hash.Md5Hash;
 
public class TestShiroMD5 {
    
    public static void main(String[] args) {
 
        //使用md5
        Md5Hash md5Hash = new Md5Hash("123");
        System.out.println(md5Hash.toHex());
 
        //使用MD5 + salt处理
        Md5Hash md5Hash1 = new Md5Hash("123", "X0*7ps");
        System.out.println(md5Hash1.toHex());
 
        //使用md5 + salt + hash散列(参数代表要散列多少次,一般是 1024或2048)
        Md5Hash md5Hash2 = new Md5Hash("123", "X0*7ps", 1024);
        System.out.println(md5Hash2.toHex());
 
    }
}
 
输出结果:
202cb962ac59075b964b07152d234b70
bad42e603db5b50a78d600917c2b9821
7268f6d32ec8d6f4c305ae92395b00e8

 自定义md5+salt的realm
 

package com.lut.realm;
 
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
 
/**
 * 使用自定义realm 加入md5 + salt +hash
 */
public class CustomerMd5Realm extends AuthorizingRealm {
 
    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }
 
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //获取 token中的 用户名
        String principal = (String) token.getPrincipal();
 
        //假设这是从数据库查询到的信息
        String username="zhangsan";
        String password="7268f6d32ec8d6f4c305ae92395b00e8";//加密后
 
        //根据用户名查询数据库
        if (username.equals(principal)) {
            //参数1:数据库用户名
            //参数2:数据库md5+salt之后的密码
            //参数3:注册时的盐
            //参数4:realm的名字
            return new SimpleAuthenticationInfo(principal,
                    password,
                    ByteSource.Util.bytes("@#$*&QU7O0!"),
                    this.getName());
        }
        return null;
    }
}

使用md5+salt 认证

package com.lut.test;
 
import com.lut.realm.CustomerMd5Realm;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;
 
import java.util.Arrays;
 
public class TestCustomerMd5RealmAuthenicator {
 
    public static void main(String[] args) {
 
        //1.创建安全管理器
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
 
        //2.注入realm
        CustomerMd5Realm realm = new CustomerMd5Realm();
 
        //3.设置realm使用hash凭证匹配器
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        //声明:使用的算法
        credentialsMatcher.setHashAlgorithmName("md5");
        //声明:散列次数
        credentialsMatcher.setHashIterations(1024);
        realm.setCredentialsMatcher(credentialsMatcher);
        defaultSecurityManager.setRealm(realm);
 
        //4.将安全管理器注入安全工具
        SecurityUtils.setSecurityManager(defaultSecurityManager);
 
        //5.通过安全工具类获取subject
        Subject subject = SecurityUtils.getSubject();
 
        //6.认证
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "123");
 
        try {
            subject.login(token);
            System.out.println("登录成功");
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户名错误");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("密码错误");
        }
    }
}

涛粒子
关注
shiro(权限开元轻量级框架
anhldd的博客
12-23 912
什么是shiro shiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权。 shiro不依赖于spring,shiro不仅可以实现 web应用的权限管理,还可以实现c/s系统, 分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro。 在应用程序角度来观察如何使用Shiro完成工作(图01) ini文件 Subject:主体,代表了当...
springboot整合shiro之——拦截路径
qq_58341172的博客
04-12 906
身份认证、授权、加密、会话管理Web支持、缓存、多线程、测试、允许一个用户假装为另一个用户的身份进行访问、记住我。
Shiro框架Shiro用户登录认证流程源码解析
博客园
01-14 2413
Shiro作为一款比较流行的登录认证、访问控制安全框架,被广泛应用在程序员社区;Shiro登录认证、访问控制、Session管理等流程内部都是委托给SecurityManager安全管理器来完成的,SecurityManager安全管理器上篇文章已经进行了详细解析,详见:Shiro框架Shiro SecurityManager安全管理器解析-优快云博客,在此基础上,本篇文章继续对Shiro关联链路处理流程之一---登录认证流程进行解析;
shiro使用
最新发布
qq_51621767的博客
04-18 408
shiro是apache提供的一种安全框架。他可以将登录,权限这一方面简单化。使用shiro需要引入</</</</</</</</下图是他所提供的功能。下图是使用层面的三个角色,通过subject也就是用户,将判断交给securityManager,而securityManger会将他交给Realm,也就是判断层。我们可以用shiro为我们提供的realm,也可以重写realm。因为,在实际中,我们的数据都是从数据库中来的,所以我们都是重写realm。继承,他会让我们重写两个方法,分别是,和。
Shiro安全框架入门篇(登录验证实例详解与源码)
weixin_30838873的博客
02-03 4045
一、Shiro框架简单介绍 Apache ShiroJava的一个安全框架,旨在简化身份验证和授权。ShiroJavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下: (1)身份认证/登录验证用户是不是拥有相应的身份; (2)授权,即权限验证验证某个已认证的用户是否拥有某个权限;即判断用户是否能做...
Shiro认证
weixin_66202611的博客
08-25 370
的,这样使得没办法使用Spring里面的@Autowired注解,同时也没办法直接交给Spring进行管理,所以我们需要通过实现类里的@Service里面添加标记(biz中的属性名)首先在方法中随机生成盐 ,拿到用户和密码,然后拿到密码进行盐加密,得到的是一个加密过后的盐,再获取长度,最后拿到加密后的密码和盐以及最初的密码进行比较,返回的是true则加密成功。(1)shiro在加载的时候,Spring上下文还没有记载完毕,所以Component与@autowised是不能使用的。4.对应mapper编写。.
Shiro权限框架认证和授权原理介绍
热门推荐
IT飞岳的博客
06-12 1万+
1、简介shiro是一个安全框架,是Apache的一个子项目。shiro提供了:认证、授权、加密、会话管理、与web集成、缓存等模块。   1.1、模块介绍Authentication:用户身份识别,可以认为是登录;Authorization:授权,即权限验证验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是...
shiro-登录验证
segegefe的博客
08-24 1503
从上可以看出,具体的登录账号和密码从request中取出来,并创建了token对象,调用subject的login方法,login方法实现大致流程是用token去realm中取AuthenticationInfo对象,AuthenticationInfo对象存放的是正确的登录账号和密码,并和token中数据进行匹配,然后根据匹配情况返回相应的结果。shiro实现登录验证,可以用它自身的方法来实现,也可以自定义方法来实现登录验证,了解了shiro登录逻辑,实现自定义的验证逻辑就很简单。
Shiro 认证(Authentication)
2401_82806976的博客
10-15 1156
自定义Realm需要继承AuthorizingRealm类,该类封了很多方法,且继承自Realm类。继承AuthorizingRealm类后,我们需要重写以下两个方法:doGetAuthenticationlnfo() 方法:获取身份信息doGetAuthorizationlnfo() 方法:获取权限信息(角色和权限)@Resource@Override。
shiro——认证
08-05
Apache Shiro 是一个强大且易用的Java安全框架,提供了身份验证、授权、加密和会话管理功能,可以简化开发人员的安全实现。在本主题中,我们将深入探讨Shiro认证过程,即验证用户身份的过程。 认证是任何安全系统...
spring cloud与shiro集成——微服务框架改造指南
Shiro(发音为“shee-roe”)是一个开源的Java安全框架,它提供了认证、授权、加密、会话管理等功能,其目的是通过简单易用的方式提供一个强大、灵活的安全解决方案。 ### 知识点一:Spring Cloud与Shiro集成的目的...
shiro实现授权登陆验证
12-18
实现shiro的搭建,实现登陆授权以及增删改查的权限验证功能
shiro登录验证实例
02-03
shiro登录验证实例,下载包虽然是web_exception_project.zip,但是确实是shiro登录验证实例,请放心下载,另外,实例详情请访问博主博客:http://blog.youkuaiyun.com/u013142781
Shiro框架详解
qq_39756007的博客
02-21 905
Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。记住一点,Shiro 不会去维护用户、维护权限;这些需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可。
springboot—— Shiro实现认证和授权功能
daralisdan的博客
04-03 1093
springboot—— Shiro实现认证和授权功能,解决安测时的水平越权和垂直越权
Shiro认证(Authentication)
gghfzs1的博客
10-16 1066
Shiro 是一个强大而灵活的 Java 安全框架,主要用于解决认证(Authentication)、授权(Authorization)、加密和会话管理等问题。认证()、授权()、会话管理()、加密()被Shiro框架开发团队称之为应用安全的四大基石,详细功能如下身份认证/登录验证用户是不是拥有相应的身份确定用户是否有权执行特定的操作,通过定义角色和权限,Shiro 可以控制用户对系统资源的访问。例如,某些用户可能被允许访问特定的页面或执行特定的操作,而其他用户则不可以。
shiro认证
菜鸡的博客
11-15 956
认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。 shiro认证的关键对象 Subject:主体 访问系统的用户,主体可以是用户、程序等,进行认证的都称为主体; Principal:身份信息 是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等,一个主体可以有多个身份,但是必须有一个主身份(Primary Princ
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值