第五讲 shiro的验证策略(金庭波)

最新推荐文章于 2022-08-28 09:34:07 发布
原创 最新推荐文章于 2022-08-28 09:34:07 发布 · 465 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了Apache Shiro框架中多Realm验证的配置方法及不同验证策略的效果对比。通过示例代码展示了如何设置验证策略来控制多个Realm的身份验证流程。

shiro的验证策略

        shiro提供了多个Realm的验证。那么,究竟是只要有一个Realm验证成功就算成功呢?还是所有的Realm验证成功才算成功呢? 还有就是,身份验证信息,究竟是只返回第一个Realm验证成功的身份信息呢?还是返回所有Realm验证成功的信息?

        再有一个问题是:对于多个Realm身份验证的ini配置文件,应该按什么样的原则进行书写呢?请看下面的实例:

第一步:新建一个mevan工程,是java工程还是web工程远所谓;

第二步:改工程的编码为UTF-8; 

第三步:pom.xml内容为:
<dependencies>
<dependency>
<groupId>junit</groupId>
<artifactId>junit</artifactId>
<version>4.9</version>
</dependency>
<dependency>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
<version>1.1.3</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.2.2</version>
</dependency>

</dependencies>
----------------------------------------------------------------------------------------------------

第三步:在src/main/resources下新建一个shiro.ini文件,内容如下:
[main]
#验证对象由多个验证的ModularRealmAuthenticator去生成。
authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator 
#验证策略:FirstSuccessfulStrategy表示只要有一个成功就是验证成功
authenticationStrategy=org.apache.shiro.authc.pam.FirstSuccessfulStrategy 
#验证对象的策略
authenticator.authenticationStrategy=$authenticationStrategy 
#shiro验证api的入口
securityManager.authenticator=$authenticator

myRealm1=com.jintingbo.www.MyRealm1 
myRealm2=com.jintingbo.www.MyRealm2

securityManager.realms=$myRealm1,$myRealm2
----------------------------------------------------------------------------------------------------

第四步:在src/main/java下新建一个com.jintingbo.www包,在此包下新建两个Realm类和一个测试类

public class MyRealm1 implements Realm {
public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token)
throws AuthenticationException {
String username = (String)token.getPrincipal();  //得到用户名
String password = new String((char[])token.getCredentials()); //得到密码
if(!"zhang".equals(username)) { 
throw new UnknownAccountException(); //如果用户名错误

if(!"123".equals(password)) { 
throw new IncorrectCredentialsException(); //如果密码错误

//如果身份认证验证成功,返回一个 AuthenticationInfo 实现;
return new SimpleAuthenticationInfo(username, password, getName()); 
}
public String getName() {
return "aaa"; //这是aaa就当是本Realm的名字了
}
public boolean supports(AuthenticationToken arg0) {
return arg0 instanceof UsernamePasswordToken;
}

}

//---------------------------------------------------------------------

public class MyRealm2 implements Realm {
public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token)
throws AuthenticationException {
String username = (String)token.getPrincipal();  //得到用户名
String password = new String((char[])token.getCredentials()); //得到密码
if(!"li".equals(username)) { 
throw new UnknownAccountException(); //如果用户名错误

if(!"123".equals(password)) { 
throw new IncorrectCredentialsException(); //如果密码错误

//如果身份认证验证成功,返回一个 AuthenticationInfo 实现;
return new SimpleAuthenticationInfo(username, password, getName()); 
}
public String getName() {
return "bbb";
}
public boolean supports(AuthenticationToken arg0) {
return arg0 instanceof UsernamePasswordToken;
}

}

//---------------------------------------------------------------------

public class MyTest {
private static void login(String configFile) { 
//1、获取 SecurityManager 工厂,此处使用 Ini 配置文件初始化 SecurityManager 
Factory<org.apache.shiro.mgt.SecurityManager> factory = new IniSecurityManagerFactory(configFile); 
//2、得到 SecurityManager 实例  并绑定给 SecurityUtils 
org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance(); 
SecurityUtils.setSecurityManager(securityManager); 
//3、得到 Subject 及创建用户名/密码身份验证 Token(即用户身份/凭证)
Subject subject = SecurityUtils.getSubject(); 
UsernamePasswordToken token = new UsernamePasswordToken("zhang","123"); 
subject.login(token); 


public static void main(String[] args) {
login("classpath:shiro.ini"); 
Subject subject = SecurityUtils.getSubject(); 
//得到一个身份集合,其包含了 Realm 验证成功的身份信息
PrincipalCollection principalCollection = subject.getPrincipals(); 
int n=principalCollection.asList().size();
System.out.println("有"+n+"个Realm验证成功了!");
if(principalCollection.asList().size()==1){
System.out.println("成功!");
}else{
System.out.println("失败!");
}
}

}

----------------------------------------------------------------------------------------------------

第五步:运行

第六步:知识扩展

在ini文件中,修改authenticationStrategy=org.apache.shiro.authc.pam.FirstSuccessfulStrategy 为

authenticationStrategy=org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy就是只要有一个成功就是成功,但返回的是所有Realm身份验证成功的信息;

如果修改为:authenticationStrategy=org.apache.shiro.authc.pam.AllSuccessfulStrategy,就是必须所有的Realm验证成功后才算成功

完毕!


Shiro验证策略-shiro自定义实现Realm来实现身份验证-shiro散列加密算法-shiro授权-shiro自定义Realm实现授权
pshdhx的博客
08-09 4353
Shiro验证策略 Authentication Strategy:认证策略,在shiro中有三种认证策略; AtleastOneSuccessfulStrategy【默认】 如果一个或多个Realm验证成功,则整体的尝试被认为是成功的。如果没有一个验证成功,则整体尝试失败; FirstSuccessfulStrategy 只有第一个成功地验证的Realm返回的信息将被使用。所有进一步的Realm将被忽略。如果没有一个验证成功,则整
Shiro(四):Shiro 多Realm验证认证策略
12程序猿的博客
10-19 733
Shiro(三)介绍Shiro 密码的比对与MD5盐值加密,接下来对 多Realm验证认证策略进行简单的介绍。 存在这样一种场景,我们可能会把安全数据放到不同的数据库,比方说 mysql里有,oracle里也有,mysql里面的加密算法是MD5,oracle里面的加密算法是SHA1。这个时候我们进行用户认证时,就需要同时访问这两个数据库,就需要多个Realm。如果有多个Realm的话,还需要涉及到认证策略的问题。 目录一、多Realm验证配置流程:1.添加第二个Realm SecondRealm.jav
Shiro-----认证策略
qq_48788523的博客
01-09 2449
睡前小文章,学完睡更香
Apache Shiro 认证过程
王浩的技术博客
10-11 406
3.1.1 示例 Shiro验证Subjects 的过程中,可以分解成三个不同的步骤: 1. 收集Subjects 提交的Principals(身份)和Credentials(凭证); 2. 提交Principals(身份)和Credentials(凭证)进行身份验证; 3. 如果提交成功,则允许访问,否则重新进行身份验证或者阻止访问。 收集身份/凭据信息 //Example...
Shiro——认证策略
Ascend2015的博客
11-19 745
在上一篇中介绍了一下关于多个realm的配置,那么随之而来的疑问是,当我们配置好多个realm之后,当用户进行登录操作时,是同时满足所有realm才算认证成功还是说,只要有一个或者部分realm即可?这就涉及到了认证策略的问题。所以这里也说一下。 关于AuthenticationStategy: FirstSuccessfulStrategy:只要第一个realm验证成功即可,只返回第一个real
shiro登录验证实例
02-03
shiro登录验证实例,下载包虽然是web_exception_project.zip,但是确实是shiro登录验证实例,请放心下载,另外,实例详情请访问博主博客:http://blog.youkuaiyun.com/u013142781
shiro验证demo
11-27
在"shiro验证demo"中,我们将探讨如何使用Shiro来实现用户身份验证和权限控制。 **Shiro的基本组件** 1. **认证(Authentication)**:确认用户身份的过程,即用户提供的身份凭证是否有效。在Shiro中,通常涉及...
Jeesite 登录login涉及到shiro验证和授权的流程分析
05-29
Shiro 是一个强大的 Java 安全框架,用于处理身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)。在 Jeesite 框架中,Shiro 被用来实现用户登录验证和权限控制。以下是 Jeesite...
Java shiro登录验证实例
04-29
Java shiro登录验证实例。 shiro登录验证实例,下载包虽然是web_exception_project.zip,但是确实是shiro登录验证实例,请放心下载,另外,实例详情请访问博主博客:http://blog.youkuaiyun.com/u013142781 shiro
3. shiro认证策略
weixin_46009658的博客
12-24 196
1.AuthenticationStrategy 认证策略shiro中有三种认证策略 **a. AtLeastOneSuccessfulStrategy :**如果一个(或更多)Realm 验证成功,则整体的 尝试被认为是成功的。如果没有一个验证成功则整体尝试失败。 **b.FirstSuccessfulStrategy :** 只有第一个成功地验证的 Rea...
shiro学习笔记(2)--认证策略
cccp_2009的博客
09-19 288
一:shiro认证策略 1、三种认证策略的实现,可根据需要选择 2、认证策略配置在ModularRealmAuthenticator中;我画了一个简单的流程图,粗浅理解一下 说明: (1)subject通过实现类DelegatingSubject调用login()方法; (2)委托SecurityManager处理,安全管理器调用底层实现DefaultSecurityManage...
Shiro学习第一篇(Shiro概述与使用ini完成认证
菜园子丶For丨丶Tomorrow的博客
05-22 593
1.1什么是权限管理权限管理包括用户身份认证和授权两部分,简称认证授权身份认证Subject:主体访问系统的用户,主体可以是用户、程序等,进行认证的都称为主体Principal:身份信息(username)是主体(Subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号,邮箱地址等,一个主体可以有多个身份,但是必须有一个主身份(Primary Principal)Credentia...
Shiro三多relam ,认证策略,密码加密
qq_41921914的博客
12-05 418
Shiro三多relam ,认证策略,密码加密 1.多Relam实现: 与单个Relam实现方式差不错,只不过在编写一个Realm,多relam组成一个集合,然后放到securityManager中。 2.代码 public class CustomRealm extends AuthenticatingRealm { .... } public class CustomRealm2...
Shiro在Realm下允许用户指定匹配策略
u014268482的博客
07-05 507
查看源代码得出: Shiro中默认已经有以下匹配策略: AllSuccessfulStrategy AtLeastOneSuccessfulStrategy FirstSuccessfulStrategy Shiro与spring整合后在多Realm下修改匹配策略如下: &lt;bean id="authenticator" class="org.apache.shiro.authc....
第六 学习shiro ini文件配置的体会(金庭波)
jintingbo的专栏
03-14 378
        学了一段时间的shiro后,有点明白shiro的思路了,shiro你要把它看成一个权限服务器,你用subject.login(身份)去登录它,这样就进入了securityManager,进入securityManager就意味着进入了shiro服务器;        但你要使用这个服务器提供的一些API,你必须进入API的入口,  authenticator就相当于是认证API的入...
8086汇编语言座-金庭波-专题视频课程
jintingbo的专栏
03-20 369
关于8086汇编语言,是与计算机原理相结合的,通过汇编语言可以加深对计算机原理的掌握和理解。 另外汇编语言还是可以干成事的,比如破解,外挂等都会用到它。...
第八 shiro位操作算法实现权限匹配(金庭波 QQ:14280784)
jintingbo的专栏
03-15 492
     《跟我学shiro》的第28页到30页,写得是使用位操作算法实现权限匹配,但是在验验过程中初学者会做得不太顺利,原因是教材中的代码不全。为了通俗易懂,我把这个实验过程全部笔录一遍,并说明原理。先来认识几个单词:authorizer        【奥得ruai热】  [经] 核准人,授权人,       在shiro中它是授权API的入口。permission       【拍米生】  ...
验证策略/plan
oldmoney
02-03 652
day3---验证策略
weixin_44773716的博客
08-28 716
面对一个新的芯片验证需求,应该采用哪些验证方法、各子系统验证如何分工和配合、业务特性的软硬件如何验证覆盖等,验证策略就是用来回答这些问题。验证策略可以划分为两个维度:广度(按照层次)、深度(按照透明度)。...
Java Shiro登录验证实操指南
- **整合步骤**:整合过程涉及配置Shiro的`ShiroFilterFactoryBean`,设置认证和授权策略,并将这些策略关联到相应的URL模式。还需要定义Realm实现,以便Shiro与后端数据源交互。 ### 四、压缩包子文件的文件名称...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

庭博

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值