五. Shiro - 认证

最新推荐文章于 2022-10-31 15:34:23 发布
最新推荐文章于 2022-10-31 15:34:23 发布
阅读量160 收藏 1
点赞数 1
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/luke199257/article/details/86580771
本文详细介绍了使用Apache Shiro框架进行用户身份认证的过程,包括获取Subject、检查登录状态、创建UsernamePasswordToken、执行登录操作及自定义Realm的实现。通过具体代码示例,展示了如何在Realm中验证用户名和密码,以及如何处理各种异常情况。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 获取当前的Subject,调用SecurityUtils.getSubject();

Subject currentUser = SecurityUtils.getSubject();

2. 测试当前用户是否已经被认证,即是否已经登录,调用

Subject.isAuthenticated();

3. 若没有被认证,把用户名和密码封装为UsernamePasswordToken对象

UsernamePasswordToken token = new UsernamePasswordToken(username, password);

4. 调用方法执行登陆,Subject.login(AuthenticationToken)方法

currentUser.login(token);

5. 自定义Realm的方法,从数据库中获取对应的记录,返回给Shiro

5.1 实际上需要继承 org.apache.shiro.realm.AuthenticatingRealm 类

  • 其中有一个抽象方法

5.2 实现 doGetAuthenticationInfo(AuthenticationToken) 方法.

  1. 把AutenticationToken转换为UsernamePasswordToken
UsernamePasswordToken upToken = (UsernamePasswordToken) token;
  1. 从UsernamePasswordToken中来获取Username
String username = upToken.getUsername();
  1. 调用数据库的方法,从数据库中查询username对应的用户记录
  2. 若用户不存在,则可以抛出异常UnknownAccountException
if("unknown".equals(username)){
    throw new UnknownAccountException("用户不存在!");
}
  1. 根据用户信息的情况决定是否要抛出其他的异常
if("monster".equals(username)){
    throw new LockedAccountException("用户被锁定");
}
  1. 根据用户的情况,来构建AuthenticationInfo对象并返回
  2. 由 shiro 完成对密码的比对.
public class SecondRealm extends AuthenticatingRealm {
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("[SecondReaml] doGetAuthenticationInfo");    
/***********************验证登陆名*******************************************************/
        //1. 把 AuthenticationToken 转换为 UsernamePasswordToken 
        UsernamePasswordToken upToken = (UsernamePasswordToken) token;  
        //2. 从 UsernamePasswordToken 中来获取 username
        String username = upToken.getUsername();    
        //3. 调用数据库的方法, 从数据库中查询 username 对应的用户记录
        System.out.println("从数据库中获取 username: " + username + " 所对应的用户信息.");
        //4. 若用户不存在, 则可以抛出 UnknownAccountException 异常
        if("unknown".equals(username)){
            throw new UnknownAccountException("用户不存在!");
        }
        //5. 根据用户信息的情况, 决定是否需要抛出其他的 AuthenticationException 异常. 
        if("monster".equals(username)){
            throw new LockedAccountException("用户被锁定");
        }
/***********************验证密码*******************************************************/
        //6. 根据用户的情况, 来构建 AuthenticationInfo 对象并返回. 通常使用的实现类为: SimpleAuthenticationInfo
        //以下信息是从数据库中获取的.
        //1). principal: 认证的实体信息. 可以是 username, 也可以是数据表对应的用户的实体类对象. 
        Object principal = username;
        //2). credentials: 密码. 
        Object credentials = null; //"fc1709d0a95a6be30bc5926fdb7f22f4";
        if("admin".equals(username)){
            credentials = "ce2f6417c7e1d32c1d81a797ee0b499f87c5de06";
        }else if("user".equals(username)){
            credentials = "073d4c3ae812935f23cb3f2a71943f49e082a718";
        }
        //3). realmName: 当前 realm 对象的 name. 调用父类的 getName() 方法即可
        String realmName = getName();
        //4). 盐值. 
        ByteSource credentialsSalt = ByteSource.Util.bytes(username);
        SimpleAuthenticationInfo info = null; //new SimpleAuthenticationInfo(principal, credentials, realmName);
        info = new SimpleAuthenticationInfo("secondRealmName", credentials, credentialsSalt, realmName);
        return info;
    }
}
  1. 此例子是先行查询了用户名,认证账号的状态
  2. 如果用户名可以存在,并且可以使用,则再去验证密码的正确性
Class雷
关注
shiro免密码登录
n009ww的博客
07-18 1443
传统的登录方式都是用户名和密码组合登录,但是现在辅助登录手段多样,比如短信验证码,邮箱验证码等其他手段。这样就无法获取密码进行验证。所以本文整理了不需要密码的认证方式。 传统的登录代码如下 UsernamePasswordToken token = new UsernamePasswordToken(userName, password); Su...
Springboot基础学习之(十七):通过Shiro实现用户得到登录认证和授权
m0_52479012的博客
04-13 3499
springboot项目:通过shiro实现用户的认证和授权服务 设置网页的访问权限,不同的网页是具有不同的权限的用户才能够访问的
shiro实现单个账户只能在一个地方登录(基于浏览器)
qq_37752382的博客
09-15 1527
前序:我认为这种不叫做单点登录(本文不做详细配置流程) 一、预览 二、实现步骤 1、登录LoginController UsernamePasswordToken token = new UsernamePasswordToken(username, password); Subject subject = SecurityUtils.getSubject(); try { subject.login(token); retu
关于 项目中用到shiro如何通过token鉴权登录,模拟登录,代码直接登录的问题!
m0_67390379的博客
08-28 1281
由于自己的项目中登录时还要判断用户角色所以,用了UsernamePasswordUsertypeToken.java,代码如下。1.今天遇到了一个棘手的问题,在此写下博客记录下来,用于提醒自己,以及帮助以后会遇到这样的问题的人。这里controller层里的代码差不多了,接下来要修改shiro里的配置以及Realm。这下可终于解决了用户直接通过token鉴权登录的问题了。shiro框架中如何通过用户名密码在代码中直接登录?...
shiro 整合 springBoot 实现基本的角色权限控制
CNZYYH的博客
12-29 1176
依赖包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.3.2</version> </dependency> 数据库表 CREAT
shiro-1.7.1.zip
02-07
通过这些组件,开发者可以轻松地在Web应用中集成安全控制,实现用户认证、权限分配、会话管理以及加密等操作,而无需深入理解底层复杂的安全机制。Shiro的易用性和灵活性使其成为Java开发者在构建安全应用时的首选...
shiro-root-1.4.1-source-release.zip
06-10
Apache Shiro 是一款强大且易用的 Java 安全框架,提供身份认证、授权、加密以及会话管理功能,简化了安全实现。标题中的 "shiro-root-1.4.1-source-release.zip" 指的是 Apache Shiro 的 1.4.1 版本源码包,适用于...
shiro源码(shiro-root-1.8.0-source-release.zip)
03-21
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用程序。它既适用于传统的Web应用,也适用于现代的Java EE和Android应用。现在我们来深入...
shiro项目基本运行架包以及全部的架包shiro-all.jar
04-17
- **Subject**:Shiro中的核心概念,代表当前操作的用户,可以是已认证的或未认证的。 - **Realms**:负责与特定的安全存储(如数据库)交互,获取和验证凭证,以及授权信息。 - **Cryptography**:理解和使用Shiro...
shiro-redisson基于Redis的ShiroCache和Session实现
08-06
Shiro 的缓存机制主要用于存储认证和授权信息,避免频繁地访问数据库或其它数据源。在 `shiro-redisson` 中,通过 Redisson 将这些信息存储在 Redis 中,使得在分布式系统中,不同节点可以共享相同的缓存数据,提升...
Shiro 作为应用的权限基础 二:shiro 认证
445822357
10-31 201
认证就是验证用户身份的过程。在认证过程中,用户需要提交实体信息(Principals)和凭据信息(Credentials)以检验用户是否合法。最常见的“实体/凭证”组合便是“用户名/密码”组合。 一、认证过程 1、收集实体/凭据信息 Java代码 UsernamePasswordToken token = new UsernamePasswordToken(userna...
shiroshiro 登陆Subject().login()与SecurityManager().login()
mfkarj的博客
01-07 2075
今天踩坑,写一跨域登陆, 开始如下: UsernamePasswordToken token = new UsernamePasswordToken(username, password); SecurityUtils.getSecurityManager().login(SecurityUtils.getSubject(), token); 登陆是登陆成功了,但是后续获取Security...
shiro控制用户登录的验证原理
十一的博客
06-05 4634
在前端输入用户名和密码,shiro是如何校验用户的信息完成登录的呢。 UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(), user.getUserPwd()); Subject subject = SecurityUtils.getSubject(); subject.login(token); u...
Shiro安全框架集合(二)
Orion的博客
10-31 385
Data}@component将MyRealm类实例化放入Spring容器中管理,相当于//自定义Realm类@Component@Resource//自定义认证方法@Override// 1、获取用户输入的用户名// 2、根据用户名查询用户// 3、将查询到的用户封装成认证信息System.out.println("用户名不存在");}/*** 参数一: 用户。
Shiro 实现免密码登录策略 微信扫码登录 第三方登录问题
HaHa_Sir的博客
12-09 2830
Shiro 实现免密码登录策略 微信扫码登录 第三方登录问题 一、情景描述 在做微信扫码登录时候,流程是,根据获取的 微信unionId,查找到用户,且用户状态为可用时,即可实现登录;由于使用shiro为安全控制中心,查询出来的用户密码为加密的,且不可逆;所以要做一个Shiro免密登录策略。 二、代码实现 1、Shiro 登录流程 Subject su...
Shiro重构:整合token和cookie实现登陆及验证
July_whj
10-16 5118
Shiro重构:整合token和cookie实现登陆及验证 认证服务开始只支持PC端的cookie认证方式,因业务需要,要对小程序、H5、App等移动端设备进行认证,这里复用认证服务。由于小程序不支持cookie认证方式,采用token认证方式,这里对认证服务进行重构。认证服务主要是有Shiro框架研发,我们简单熟悉下Cookie的认证流程。 Shiro的cookie认证流程我们简单说明下, shiro是在其默认的会话管理器DefaultWebSessionManager中获取请求携带过来的cooki
Shiro的身份验证流程的源码分析
huangjhai的博客
02-25 625
这篇文章将对上一篇文章:SSM项目整合Shiro进行身份验证中的身份验证流程进行分析。 这是项目中的具体使用,分为以下三个步骤: 创建Subject对象 封装UsernamePasswordToken 对象token 将token通过调用Subject对象的login方法进行登录认证 Subject currentUser = SecurityUtils.getSubject(); // 把用...
shiro框架的UsernamePasswordToken与对应Realm中的AuthenticationToken的一点比较
ywb201314的专栏
10-22 1531
这里以简单的登陆为例子 控制器对应的登陆方法: @RequestMapping(value = "/login", method = RequestMethod.GET) public String login(@RequestParam("username") String username, @RequestParam("password") String password){ // 获取当前的 Subject. 调用 SecurityUtils.getSubject(); Sub
org.apache.shiro.authc.IncorrectCredentialsException: Submitted credentials for token [org.apache.shiro.authc.UsernamePasswordToken - admin02, rememberMe=false] did not match the expected credentials.
最新发布
04-03
### Shiro 认证时密码不匹配问题解决方案 `org.apache.shiro.authc.IncorrectCredentialsException: Submitted credentials for token [...] did not match the expected credentials.` 是由于提交的凭据与预期的凭据不一致引起的异常[^1]。此问题通常发生在登录过程中,当用户的输入密码经过哈希处理后无法与数据库中存储的密码相匹配。 #### 密码验证流程解析 Shiro认证过程如下: 1. 用户通过前端界面提供用户名和密码。 2. Controller 接收请求并将数据封装到 `UsernamePasswordToken` 中。 3. 调用 `Subject.login(token)` 方法触发认证逻辑。 4. SecurityManager 将令牌传递至 Realm 层进行进一步校验。 5. 在 Realm 中,使用配置好的 `CredentialsMatcher` 对用户提供的密码与数据库中的密码进行比较[^3]。 如果上述任一环节出现问题,则可能导致 `IncorrectCredentialsException` 异常抛出。 #### 解决方案 以下是针对该问题的具体解决方法: ##### 1. 配置正确的 `CredentialsMatcher` 为了使 Shiro 正确匹配密码,需确保使用的 `CredentialsMatcher` 和实际存储密码的方式保持一致。例如,假设数据库中保存的是 MD5 哈希后的密码,那么需要在代码中定义相应的 `HashedCredentialsMatcher` 并将其绑定到自定义 Realm 上[^4]。 ```java @Bean public CredentialsMatcher credentialsMatcher() { HashedCredentialsMatcher matcher = new HashedCredentialsMatcher(); // 设置加密算法为MD5 matcher.setHashAlgorithmName("md5"); // 设定迭代次数(推荐至少两次以上) matcher.setHashIterations(6); return matcher; } @Bean public MyRealm createMyRealm(CredentialsMatcher credentialsMatcher) { MyRealm myRealm = new MyRealm(); // 绑定加密器到Realm上 myRealm.setCredentialsMatcher(credentialsMatcher); return myRealm; } ``` ##### 2. 确认密码存储方式一致性 确认数据库内的密码是否按照指定的散列函数进行了预处理。比如,如果你选择了 MD5 加密并设置了多次迭代操作,则入库前也应对原始字符串执行相同的变换规则[^5]。 ##### 3. 自定义 Realm 实现类 创建继承自 `AuthorizingRealm` 或其他基础 Realm 类型的新实例,并重写其中的方法来完成特定业务需求下的身份验证工作流设计。 ```java @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken upToken = (UsernamePasswordToken) token; String username = upToken.getUsername(); User user = userService.findUserByUsername(username); if(user != null){ byte[] saltBytes = Hex.decodeHex(user.getSalt().toCharArray()); SimpleAuthenticationInfo info = new SimpleAuthenticationInfo( user, user.getPassword(), ByteSource.Util.bytes(saltBytes), getName() ); return info; } throw new UnknownAccountException(String.format("No account found for [%s]",username)); } ``` 注意:这里仅作为示范用途,请依据实际情况调整具体实现细节! --- ### 总结 通过对 `CredentialsMatcher` 的合理配置以及保证前后端密码处理机制的一致性可以有效规避此类错误的发生。同时建议开发人员仔细阅读官方文档了解更深入的功能特性以便更好地运用框架解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值