五. Shiro - 认证

本文详细介绍了使用Apache Shiro框架进行用户身份认证的过程,包括获取Subject、检查登录状态、创建UsernamePasswordToken、执行登录操作及自定义Realm的实现。通过具体代码示例,展示了如何在Realm中验证用户名和密码,以及如何处理各种异常情况。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 获取当前的Subject,调用SecurityUtils.getSubject();

Subject currentUser = SecurityUtils.getSubject();

2. 测试当前用户是否已经被认证,即是否已经登录,调用

Subject.isAuthenticated();

3. 若没有被认证,把用户名和密码封装为UsernamePasswordToken对象

UsernamePasswordToken token = new UsernamePasswordToken(username, password);

4. 调用方法执行登陆,Subject.login(AuthenticationToken)方法

currentUser.login(token);

5. 自定义Realm的方法,从数据库中获取对应的记录,返回给Shiro

5.1 实际上需要继承 org.apache.shiro.realm.AuthenticatingRealm 类

  • 其中有一个抽象方法

5.2 实现 doGetAuthenticationInfo(AuthenticationToken) 方法.

  1. 把AutenticationToken转换为UsernamePasswordToken
UsernamePasswordToken upToken = (UsernamePasswordToken) token;  
  1. 从UsernamePasswordToken中来获取Username
String username = upToken.getUsername();    
  1. 调用数据库的方法,从数据库中查询username对应的用户记录
  2. 若用户不存在,则可以抛出异常UnknownAccountException
if("unknown".equals(username)){
    throw new UnknownAccountException("用户不存在!");
}
  1. 根据用户信息的情况决定是否要抛出其他的异常
if("monster".equals(username)){
    throw new LockedAccountException("用户被锁定");
}
  1. 根据用户的情况,来构建AuthenticationInfo对象并返回
  2. 由 shiro 完成对密码的比对.
public class SecondRealm extends AuthenticatingRealm {
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("[SecondReaml] doGetAuthenticationInfo");    
/***********************验证登陆名*******************************************************/
        //1. 把 AuthenticationToken 转换为 UsernamePasswordToken 
        UsernamePasswordToken upToken = (UsernamePasswordToken) token;  
        //2. 从 UsernamePasswordToken 中来获取 username
        String username = upToken.getUsername();    
        //3. 调用数据库的方法, 从数据库中查询 username 对应的用户记录
        System.out.println("从数据库中获取 username: " + username + " 所对应的用户信息.");
        //4. 若用户不存在, 则可以抛出 UnknownAccountException 异常
        if("unknown".equals(username)){
            throw new UnknownAccountException("用户不存在!");
        }
        //5. 根据用户信息的情况, 决定是否需要抛出其他的 AuthenticationException 异常. 
        if("monster".equals(username)){
            throw new LockedAccountException("用户被锁定");
        }
/***********************验证密码*******************************************************/
        //6. 根据用户的情况, 来构建 AuthenticationInfo 对象并返回. 通常使用的实现类为: SimpleAuthenticationInfo
        //以下信息是从数据库中获取的.
        //1). principal: 认证的实体信息. 可以是 username, 也可以是数据表对应的用户的实体类对象. 
        Object principal = username;
        //2). credentials: 密码. 
        Object credentials = null; //"fc1709d0a95a6be30bc5926fdb7f22f4";
        if("admin".equals(username)){
            credentials = "ce2f6417c7e1d32c1d81a797ee0b499f87c5de06";
        }else if("user".equals(username)){
            credentials = "073d4c3ae812935f23cb3f2a71943f49e082a718";
        }
        //3). realmName: 当前 realm 对象的 name. 调用父类的 getName() 方法即可
        String realmName = getName();
        //4). 盐值. 
        ByteSource credentialsSalt = ByteSource.Util.bytes(username);
        SimpleAuthenticationInfo info = null; //new SimpleAuthenticationInfo(principal, credentials, realmName);
        info = new SimpleAuthenticationInfo("secondRealmName", credentials, credentialsSalt, realmName);
        return info;
    }
}
  1. 此例子是先行查询了用户名,认证账号的状态
  2. 如果用户名可以存在,并且可以使用,则再去验证密码的正确性
### Shiro 认证时密码不匹配问题解决方案 `org.apache.shiro.authc.IncorrectCredentialsException: Submitted credentials for token [...] did not match the expected credentials.` 是由于提交的凭据与预期的凭据不一致引起的异常[^1]。此问题通常发生在登录过程中,当用户的输入密码经过哈希处理后无法与数据库中存储的密码相匹配。 #### 密码验证流程解析 Shiro认证过程如下: 1. 用户通过前端界面提供用户名和密码。 2. Controller 接收请求并将数据封装到 `UsernamePasswordToken` 中。 3. 调用 `Subject.login(token)` 方法触发认证逻辑。 4. SecurityManager 将令牌传递至 Realm 层进行进一步校验。 5. 在 Realm 中,使用配置好的 `CredentialsMatcher` 对用户提供的密码与数据库中的密码进行比较[^3]。 如果上述任一环节出现问题,则可能导致 `IncorrectCredentialsException` 异常抛出。 #### 解决方案 以下是针对该问题的具体解决方法: ##### 1. 配置正确的 `CredentialsMatcher` 为了使 Shiro 正确匹配密码,需确保使用的 `CredentialsMatcher` 和实际存储密码的方式保持一致。例如,假设数据库中保存的是 MD5 哈希后的密码,那么需要在代码中定义相应的 `HashedCredentialsMatcher` 并将其绑定到自定义 Realm 上[^4]。 ```java @Bean public CredentialsMatcher credentialsMatcher() { HashedCredentialsMatcher matcher = new HashedCredentialsMatcher(); // 设置加密算法为MD5 matcher.setHashAlgorithmName("md5"); // 设定迭代次数(推荐至少两次以上) matcher.setHashIterations(6); return matcher; } @Bean public MyRealm createMyRealm(CredentialsMatcher credentialsMatcher) { MyRealm myRealm = new MyRealm(); // 绑定加密器到Realm上 myRealm.setCredentialsMatcher(credentialsMatcher); return myRealm; } ``` ##### 2. 确认密码存储方式一致性 确认数据库内的密码是否按照指定的散列函数进行了预处理。比如,如果你选择了 MD5 加密并设置了多次迭代操作,则入库前也应对原始字符串执行相同的变换规则[^5]。 ##### 3. 自定义 Realm 实现类 创建继承自 `AuthorizingRealm` 或其他基础 Realm 类型的新实例,并重写其中的方法来完成特定业务需求下的身份验证工作流设计。 ```java @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken upToken = (UsernamePasswordToken) token; String username = upToken.getUsername(); User user = userService.findUserByUsername(username); if(user != null){ byte[] saltBytes = Hex.decodeHex(user.getSalt().toCharArray()); SimpleAuthenticationInfo info = new SimpleAuthenticationInfo( user, user.getPassword(), ByteSource.Util.bytes(saltBytes), getName() ); return info; } throw new UnknownAccountException(String.format("No account found for [%s]",username)); } ``` 注意:这里仅作为示范用途,请依据实际情况调整具体实现细节! --- ### 总结 通过对 `CredentialsMatcher` 的合理配置以及保证前后端密码处理机制的一致性可以有效规避此类错误的发生。同时建议开发人员仔细阅读官方文档了解更深入的功能特性以便更好地运用框架解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值