Spring-shiro-Boot-3 AuthenticationToken体系

原创 已于 2022-03-11 11:43:54 修改 · 1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #后端

于 2022-03-11 11:18:11 首次发布
本文介绍了Shiro身份验证的基本概念,包括身份和证明的定义。详细讲解了AuthenticationToken接口及其在实际使用中的扩展,如RememberMeAuthenticationToken、HostAuthenticationToken、UsernamePasswordToken和BearerToken的用途。同时,讨论了在Spring Boot中如何在常规登录和前后端分离场景下利用这些令牌进行身份验证。

登陆认证时,必须要先构造登陆令牌。

在是shiro中,用AuthenticationToken接口来表达登陆令牌。

这里介绍shiro的AuthenticationToken体系,在实际使用中,很多时候需要继承原有令牌实现私有化功能。

一、shiro身份验证的基本概念:

(1)身份验证:

这就不多说了,给shiro传递【身份+证明】,就可以进行验证。

(2)身份

粗浅的说,相当于账户。比如手机号、邮箱、用户名这些。

准确的说,相当于身份。

shiro中把这个封装成了【principals】

(3)证明

证明其实就是密码。

shiro中把这个封装成了【credentials】

二、接口


public interface AuthenticationToken extends Serializable {

    /**
     * 返回身份信息,相当于用户的用户名
     */
    Object getPrincipal();

    /**
     * 返回用户凭证信息,相当于用户的用户密码
     */
    Object getCredentials();

三、shiro token体系

RememberMeAuthenticationToken:添加了记住我的功能

HostAuthenticationToken:添加了获取用户主机的功能

UsernamePasswordToken:shiro认证中最常用的一种,里面封装了用户的用户名,密码,用户主机,是否记住我的功能

BearerToken:里面封装了一个字符串token,该字符串token为用户的一些不敏感信息经过加密之后生成的,可以通过一定的规则解密来获取用户的信息,主要在web应用中结合自定义Realm使用,用于前后端分离,将字符串token放到header中传给系统进行验证。

四、实际使用

(1)常规登录,登录后分配session,并设置session过期时间。

@LogAnnotation
	@ApiOperation(value = "web端登陆")
	@PostMapping("/sys/login")
	public void login(String username, String password) {
		UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(username, password);
		SecurityUtils.getSubject().login(usernamePasswordToken);
		// 设置shiro的session过期时间
		SecurityUtils.getSubject().getSession().setTimeout(serverProperties.getServlet().getSession().getTimeout().toMillis());
	}

 (2)前后端分离登录,不用session,用token来控制这种无状态。

@LogAnnotation
	@ApiOperation(value = "Restful方式登陆,前后端分离时登录接口")
	@PostMapping("/sys/login/restful")
	public Token restfulLogin(String username, String password) {
		UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(username, password);
		SecurityUtils.getSubject().login(usernamePasswordToken);

		return tokenManager.saveToken(usernamePasswordToken);
	}

shiroAuthenticationToken(*)
weixin_42408447的博客
12-21 1849
public interface AuthenticationToken extends Serializable { Object getPrincipal(); Object getCredentials(); } 上面定义了接口源码,主要是两个接口,一个是获取委托人信息,一个是获取证明,常用的是用户名和密码的组合。 这里AuthenticationToken只提供接口,一般我们的实体类包含了get/set方法,但是这里抽出了get方法,方便用户自己扩展所需要的实现。 Authe
SpringBoot3 集成 Shiro
分享最新技术与行业经验,与友友们共同成长。
08-05 5485
是一个强大且易用的Java安全框架,提供了身份验证、授权、密码学和会话管理等功能。它被广泛用于保护各种类型的应用程序,包括Web应用、桌面应用、RESTful服务、移动应用和大型企业级应用。没有 Spring Security 那么多晦涩的概念和术语,其原理非常清晰易懂,也非常容易集成到自己的项目中。
Spring3.0 AOP 详解
leon1051625972的博客
04-26 266
转载自(个人在优快云上的文章):http://blog.youkuaiyun.com/a906998248/article/details/7514969   一、什么是 AOP。 AOP(Aspect Orient Programming),也就是面向切面编程。可以这样理解,面向对象编程(OOP)是从静态角度考虑程序结构,面向切面编程(AOP)是从动态角度考虑程序运行过程。   二、AOP ...
Apache Shiro(三)——Spring BootShiro的 整合
传臣、的博客
10-24 2641
在了解了Apache Shiro的架构、认证、授权之后,我们来看一下Shiro与Web的整合。下面以Spring Boot为例,介绍一下Spring BootShiro的 整合。
Spring Shiro基础组件 AuthenticationToken
我家有猫已长成的博客
02-04 729
Spring Shiro基础组件 AuthenticationToken 简介。
spring-shiro:springboot+shiro简单整合
05-14
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 实现用户登录认证逻辑 } @Override protected AuthorizationInfo ...
spring-boot集成shiro
ltx1143181624的博客
09-15 756
spring-boot集成shiro
Spring Boot整合Shiro:从零构建安全的分布式系统
最新发布
weixin_42593797的博客
04-26 892
在微服务架构下,系统安全面临着‌认证分散‌、‌权限动态管理‌、‌Session共享‌等挑战。相比Spring Security的复杂性,‌以其简洁的API设计、灵活的扩展性,成为众多开发者的首选安全框架。本文将基于‌与‌,深度解析其整合方案,并通过代码示例演示‌动态权限控制‌和‌分布式Session管理‌的实现。继承@Autowired// 授权逻辑:查询用户角色和权限@Override// 从数据库查询用户角色和权限// 认证逻辑:验证用户名密码@Override。
spring-boot-shiro-starter
12-27
### 如何在Spring Boot中使用shiro-spring-boot-web-starter进行权限管理 #### 添加依赖 为了使项目能够利用Shiro的功能,需先引入`shiro-spring-boot-web-starter`作为Maven项目的依赖项。具体来说,在`pom.xml`...
spring-boot实战:shiro
思与学的博客
10-02 1392
有很长一段时间都觉得自己添加个filter,基于RBAC模型,就能很轻松的实现权限控制,没必要引入shirospring-security这样的框架增加系统的复杂度。事实上也的确这样,如果你的需求仅仅是控制用户能否访问某个url,使用框架和自己实现filter效果基本一致,区别在于使用shirospring-security能够提供更多的扩展,集成了很多实用的功能,整体结构更加规范。 shir
Shiro之UsernamePasswordToken&RememberMeAuthenticationToken&AuthenticationToken
qq_43842093的博客
11-30 919
继承关系 先看一下三者的继承关系,会有一个比较清楚的认识 AuthenticationToken AuthenticationToken 用于收集用户提交的身份(如用户名)及凭据(如密码)。Shiro会调用CredentialsMatcher对象的doCredentialsMatch方法对AuthenticationInfo对象和AuthenticationToken进行匹配。匹配成功则表示主体(Subject)认证成功,否则表示认证失败。 RememberMeAuthenticationToke
Shiro 认证(Authentication)
weixin_45857926的博客
09-16 1016
Shiro 认证(Authentication)Shiro 简介 Shiro 简介
shiro_AuthenticationToken
maqingbin8888的专栏
09-18 3174
org.apache.shiro.authc.AuthenticationToken Object getPrincipal();    //登录提交的用户名   Object getCredentials(); //只被Subject 知道的秘密值,比如我们登录提供的密码 认证的基本步骤 1.收集Subjects 提交的Principals(身份)和Credentials(凭证); 2.提交...
SpringBootShiro整合(认证、授权和密码加密)
m0_67392182的博客
03-28 1200
SpringBootShiro整合(认证、授权和密码加密) 创建SpringBoot项目,选择以下工具包: Lombok Spring Web Thymeleaf MySQL Driver 添加MybatisPlus的依赖: com.baomidou mybatis-plus-boot-starter 3.3.1.tmp 添加Shiro的依赖: org.apache.shiro shiro-spring 1.5.3 添加Shiro控制ThymeLeaf界面按钮级权限的
狂神说JavaSpringboot整合Shiro
Q的博客
12-15 3693
Springboot整合Shiro 文章是观看狂神说的Springboot整合Shiro的视频时写的随笔,大家可以参考下过程,里面也有我写的一点注意事项。 完整代码我已经放在gitee上了,需要的可以自取。也可以参考我后面参考引用的博主的博客,里面也有完整的代码。加油!打工人! 1、实验准备 1.1 导入依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro
shiro自定义AuthenticationToken适应多认证条件
浪丶荡
03-06 8966
一般的登陆只需要校验账号和密码两个要素 Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken( user.getAccNum(), user.getPasswd()); ...
Springboot usernamePasswordAuthenticationToken
热门推荐
qq_307183846的博客
02-20 2万+
UsernamePasswordAuthenticationToken继承AbstractAuthenticationToken实现Authentication 所以当在页面中输入用户名和密码之后首先会进入到UsernamePasswordAuthenticationToken验证(Authentication), 然后生成的Authentication会被交由AuthenticationManager来进行管理 而AuthenticationManager管理一系列的AuthenticationProvi
第六章 Realm及相关对象(二) AuthenticationToken
yifanSJ的博客
08-23 7817
AuthenticationToken 用于收集用户提交的身份(如用户名)及凭据(如密码): public interface AuthenticationToken extends Serializable { Object getPrincipal(); //身份 Object getCredentials(); //凭据 } 扩展接口RememberMeAuthenticationT
Shiro-06-Authentication 身份验证
02-18 969
身份验证是身份验证的过程-也就是说,证明用户实际上就是他们所说的真实身份。为了使用户证明自己的身份,他们需要提供一些标识信息以及系统可以理解和信任的那种身份证明。这是通过向Shiro提交用户的主体和凭据来完成的,以查看它们是否与应用程序期望的匹配。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

良之才-小良

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值