shiro认证过程

最新推荐文章于 2024-10-16 10:00:24 发布
原创 最新推荐文章于 2024-10-16 10:00:24 发布 · 685 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何正确配置Apache Shiro的拦截链以实现登录表单的拦截。通过具体配置示例,展示了如何设置不同的URL路径权限,确保只有经过验证的用户才能访问受保护的资源。 



<p>很多第一次使用shiro做demo的同学经常问我 为什么我提交的登录表单为什么没有拦截到,其实是因为他们没有对login拦截</p><p>将拦击链设置如下即可:</p>

<!-- Shiro Filter -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<property name="loginUrl" value="/login" />
		<property name="successUrl" value="/" />
		<property name="filterChainDefinitions">
			<value>
				/login = authc
				/logout = logout
				/static/** = anon
				/api/** = anon
				/register/** = anon
				/admin/** = roles[admin]
				/** = user
			</value>
		</property>
	</bean>
	
/login = authc 当这个拦截器错用的时候就会进入shiro的框架系统。

authc对应的反射类为 org.apache.shiro.web.filter.authc.FormAuthenticationFilter

即表单拦截器, 它的父类中有一个executeLogin方法里面有subject.login(token)方法。这样程序 就进入了下图流程。




此图的过程如下,subject.login(token)后,shiro的主要管理者 Security Manager接管,它委托给Authenticater进行认证,Authenticater会将token传给realm,realm会将token信息与数据库中的信息进行对比,如果有对不上的 就是认证成功。


Shiro源码分析之认证过程
波波烤鸭的博客
03-09 2995
  在前面分析的基础上我们来继续看下认证过程 Shiro源码分析之SecurityManager对象获取 Shiro认证过程的源码 认证过程的时序图 源码跟踪 1.DelegatingSubject类中的login 方法 public void login(AuthenticationToken token) throws AuthenticationException { clear...
Shiro认证和授权过程
weixin_43833993的博客
03-01 1804
Shiro认证过程 - 认证执行流程 1、通过ini配置文件创建securityManager 2、调用subject.login方法主体提交认证,提交的token 3、securityManager进行认证,securityManager最终由ModularRealmAuthenticator进行认证。 4、ModularRealmAuthenticator调用IniRealm(给r...
shiro认证授权的过程
05-01
NULL 博文链接:https://yuhuiblog695685688425687986842568269.iteye.com/blog/2405483
Shiro认证流程篇
qq_43654581的博客
10-29 521
了解Shiro认证流程
Shiro认证流程
轻松qinsong
07-05 1108
Shiro认证流程 一.shiro认证思路分析 获取当前的 Subject. 调用 SecurityUtils.getSubject(); 测试当前的用户是否已经被认证. 即是否已经登录. 调用 Subject 的 isAuthenticated() 若没有被认证, 则把用户名和密码封装为 UsernamePasswordToken 对象 1). 创建一个表单页面 2). 把请求提交到...
01-shiro认证流程.md
07-31
### Shiro 认证流程详解 #### 一、权限管理概览 权限管理是指在信息系统中,为了确保数据的安全性和完整性,对用户访问系统资源的行为进行控制的一种机制。权限管理通常涉及两个主要方面:用户认证(User ...
javaSE环境下Shiro认证过程以及部分API
11-18
本篇文章将深入探讨Shiro认证过程,并介绍一些常用的API,帮助你更好地理解和应用Shiro。 首先,我们来了解Shiro认证过程。在Shiro中,认证是指验证用户身份的过程。它通常包括以下步骤: 1. **凭证匹配器...
Shiro认证(Authentication)
gghfzs1的博客
10-16 1117
Shiro 是一个强大而灵活的 Java 安全框架,主要用于解决认证(Authentication)、授权(Authorization)、加密和会话管理等问题。认证()、授权()、会话管理()、加密()被Shiro框架的开发团队称之为应用安全的四大基石,详细功能如下身份认证/登录,验证用户是不是拥有相应的身份确定用户是否有权执行特定的操作,通过定义角色和权限,Shiro 可以控制用户对系统资源的访问。例如,某些用户可能被允许访问特定的页面或执行特定的操作,而其他用户则不可以。
计算机后端-Java-java高手加薪课视频教程16 shiro认证流程.mp4
05-21
计算机后端-Java-java高手加薪课视频教程16 shiro认证流程.mp4
Apache Shiro 使用手册(二) Shiro 认证
09-15
Shiro认证过程中,用户需要提供实体信息(Principals)和凭据信息(Credentials)。Principals 是用来唯一标识用户的身份,比如用户名、身份证号等;Credentials 则是用来验证这些身份的证据,常见的如密码。...
shiro认证流程
nnnnnnnnnnii的博客
07-29 431
1.什么是权限管理? ** 只要用户参与的系统一般都要有权限管理,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源.** ** 対权限的管理分为两大类别:** 用户认证 用户授权 1.用户认证: 用户认证,用户去访问系统,系统要验证用户身份的合法性 最常用得到用户身份验证得到方法, 1, 用户密码方式, 2,指纹打卡机, 3,基于验证书验证方法 系统验证用户身份之后,用户可以访问系统的资源 用户认证的流程: 判断该资源是否能不认证就能访问[
shiro的具体认证流程
拉格朗日的学习笔记
09-22 1964
以后一般继承 AuthorizingRealm(授权)即可;其继承了 AuthenticatingRealm(即身份验证),而且也间接继承了 CachingRealm(带有缓存实现) package com.baizhi.springboot_shiro.shiro.realms; import com.baizhi.springboot_shiro.entity.Perms; import com.baizhi.springboot_shiro.entity.Role; import com.bai.
Shiro 认证过程
weixin_43145065的博客
10-19 293
Shiro 认证过程
详解Shiro认证流程
jiey0407的博客
08-31 1736
通过前面对shiro源码的解读,我们知道,只要我们在拦截器里面配置了所有请求都经过FormAuthenticationFilter,那么我们就不用自己写login方法shiro会自己帮我们处理登录逻辑。
源码分析shiro认证授权流程
04-17 249
1. shiro介绍 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户“登录”; 授权 - 访问控制; 密码加密 - 保护或隐藏数据防止被偷窥; 会话管理 - 每用户相关的时间敏感的状态。 对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架,Sh...
shiro认证流程图
最新发布
02-27
### Apache Shiro 认证流程图解析 #### 流程概述 Shiro认证过程涉及多个组件之间的交互,这些组件共同协作完成用户的验证工作。当用户尝试登录时,提交的身份信息会被传递给 `Subject` 对象,该对象代表当前正在执行操作的主体(即用户)。随后,`SecurityManager` 接收到来自 `Subject` 的请求并将其转发至相应的 `Authenticator` 实现类中[^4]。 #### 主要参与角色 - **Subject**: 表示正在进行安全操作的对象,通常对应于一个具体的应用程序用户。 - **SecurityManager**: 负责协调整个框架内的各种安全管理活动的核心控制器。 - **Authenticator**: 执行实际的身份验证逻辑,默认情况下由 `ModularRealmAuthenticator` 提供支持。 - **Realms**: 数据源接口,定义了如何从外部存储位置加载必要的凭证和其他属性来验证用户身份的信息。 #### 步骤说明 1. 用户通过界面输入用户名和密码等必要参数; 2. 应用层调用 `subject.login(token)` 方法发起一次新的认证请求; 3. 请求被转交给 `DefaultWebSecurityManager` 或其他类型的 `SecurityManager` 处理; 4. SecurityManager 将令牌传递给 Authenticator 组件继续处理; 5. 如果启用了多 Realm 支持,则 ModularRealmAuthenticator 会依次遍历所有已注册的 Realms 来寻找匹配项; 6. 每个 Realm 都有机会检查传入的身份证明材料是否有效; 7. 成功后返回包含用户详情的结果集;失败则抛出异常终止流程。 ```mermaid graph TD; A[用户提交表单] --> B(创建AuthenticationToken); B --> C{调用login方法}; C -- true --> D[触发认证]; D --> E((SecurityManager)); E --> F(Authenticator); F -.-> G1[第一个Realm?]; G1 -->|否| H2[下一个Realm...]; G1 -->|是| I1[(验证)]; H2 --> J2[(验证)]; I1 & J2 --> K[成功/失败]; K -- 成功 --> L[建立Session]; K -- 失败 --> M[抛出异常]; ``` 此 Mermaid 图展示了 Shiro 认证过程中各个阶段的关键节点以及它们之间的关系。请注意,在真实环境中可能会有更多的细节需要考虑,比如错误重试策略、并发控制等方面的内容。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值