五. Shiro - 认证

最新推荐文章于 2022-10-31 15:34:23 发布
原创 最新推荐文章于 2022-10-31 15:34:23 发布 · 160 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了使用Apache Shiro框架进行用户身份认证的过程,包括获取Subject、检查登录状态、创建UsernamePasswordToken、执行登录操作及自定义Realm的实现。通过具体代码示例,展示了如何在Realm中验证用户名和密码,以及如何处理各种异常情况。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 获取当前的Subject,调用SecurityUtils.getSubject();

Subject currentUser = SecurityUtils.getSubject();

2. 测试当前用户是否已经被认证,即是否已经登录,调用

Subject.isAuthenticated();

3. 若没有被认证,把用户名和密码封装为UsernamePasswordToken对象

UsernamePasswordToken token = new UsernamePasswordToken(username, password);

4. 调用方法执行登陆,Subject.login(AuthenticationToken)方法

currentUser.login(token);

5. 自定义Realm的方法,从数据库中获取对应的记录,返回给Shiro

5.1 实际上需要继承 org.apache.shiro.realm.AuthenticatingRealm 类

  • 其中有一个抽象方法

5.2 实现 doGetAuthenticationInfo(AuthenticationToken) 方法.

  1. 把AutenticationToken转换为UsernamePasswordToken
UsernamePasswordToken upToken = (UsernamePasswordToken) token;
  1. 从UsernamePasswordToken中来获取Username
String username = upToken.getUsername();
  1. 调用数据库的方法,从数据库中查询username对应的用户记录
  2. 若用户不存在,则可以抛出异常UnknownAccountException
if("unknown".equals(username)){
    throw new UnknownAccountException("用户不存在!");
}
  1. 根据用户信息的情况决定是否要抛出其他的异常
if("monster".equals(username)){
    throw new LockedAccountException("用户被锁定");
}
  1. 根据用户的情况,来构建AuthenticationInfo对象并返回
  2. 由 shiro 完成对密码的比对.
public class SecondRealm extends AuthenticatingRealm {
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("[SecondReaml] doGetAuthenticationInfo");    
/***********************验证登陆名*******************************************************/
        //1. 把 AuthenticationToken 转换为 UsernamePasswordToken 
        UsernamePasswordToken upToken = (UsernamePasswordToken) token;  
        //2. 从 UsernamePasswordToken 中来获取 username
        String username = upToken.getUsername();    
        //3. 调用数据库的方法, 从数据库中查询 username 对应的用户记录
        System.out.println("从数据库中获取 username: " + username + " 所对应的用户信息.");
        //4. 若用户不存在, 则可以抛出 UnknownAccountException 异常
        if("unknown".equals(username)){
            throw new UnknownAccountException("用户不存在!");
        }
        //5. 根据用户信息的情况, 决定是否需要抛出其他的 AuthenticationException 异常. 
        if("monster".equals(username)){
            throw new LockedAccountException("用户被锁定");
        }
/***********************验证密码*******************************************************/
        //6. 根据用户的情况, 来构建 AuthenticationInfo 对象并返回. 通常使用的实现类为: SimpleAuthenticationInfo
        //以下信息是从数据库中获取的.
        //1). principal: 认证的实体信息. 可以是 username, 也可以是数据表对应的用户的实体类对象. 
        Object principal = username;
        //2). credentials: 密码. 
        Object credentials = null; //"fc1709d0a95a6be30bc5926fdb7f22f4";
        if("admin".equals(username)){
            credentials = "ce2f6417c7e1d32c1d81a797ee0b499f87c5de06";
        }else if("user".equals(username)){
            credentials = "073d4c3ae812935f23cb3f2a71943f49e082a718";
        }
        //3). realmName: 当前 realm 对象的 name. 调用父类的 getName() 方法即可
        String realmName = getName();
        //4). 盐值. 
        ByteSource credentialsSalt = ByteSource.Util.bytes(username);
        SimpleAuthenticationInfo info = null; //new SimpleAuthenticationInfo(principal, credentials, realmName);
        info = new SimpleAuthenticationInfo("secondRealmName", credentials, credentialsSalt, realmName);
        return info;
    }
}
  1. 此例子是先行查询了用户名,认证账号的状态
  2. 如果用户名可以存在,并且可以使用,则再去验证密码的正确性
Class雷
关注
shiro免密码登录
n009ww的博客
07-18 1443
传统的登录方式都是用户名和密码组合登录,但是现在辅助登录手段多样,比如短信验证码,邮箱验证码等其他手段。这样就无法获取密码进行验证。所以本文整理了不需要密码的认证方式。 传统的登录代码如下 UsernamePasswordToken token = new UsernamePasswordToken(userName, password); Su...
Springboot基础学习之(十七):通过Shiro实现用户得到登录认证和授权
m0_52479012的博客
04-13 3499
springboot项目:通过shiro实现用户的认证和授权服务 设置网页的访问权限,不同的网页是具有不同的权限的用户才能够访问的
shiro实现单个账户只能在一个地方登录(基于浏览器)
qq_37752382的博客
09-15 1527
前序:我认为这种不叫做单点登录(本文不做详细配置流程) 一、预览 二、实现步骤 1、登录LoginController UsernamePasswordToken token = new UsernamePasswordToken(username, password); Subject subject = SecurityUtils.getSubject(); try { subject.login(token); retu
关于 项目中用到shiro如何通过token鉴权登录,模拟登录,代码直接登录的问题!
m0_67390379的博客
08-28 1281
由于自己的项目中登录时还要判断用户角色所以,用了UsernamePasswordUsertypeToken.java,代码如下。1.今天遇到了一个棘手的问题,在此写下博客记录下来,用于提醒自己,以及帮助以后会遇到这样的问题的人。这里controller层里的代码差不多了,接下来要修改shiro里的配置以及Realm。这下可终于解决了用户直接通过token鉴权登录的问题了。shiro框架中如何通过用户名密码在代码中直接登录?...
shiro 整合 springBoot 实现基本的角色权限控制
CNZYYH的博客
12-29 1176
依赖包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.3.2</version> </dependency> 数据库表 CREAT
shiro-1.7.1.zip
02-07
通过这些组件,开发者可以轻松地在Web应用中集成安全控制,实现用户认证、权限分配、会话管理以及加密等操作,而无需深入理解底层复杂的安全机制。Shiro的易用性和灵活性使其成为Java开发者在构建安全应用时的首选...
shiro-root-1.4.1-source-release.zip
06-10
Apache Shiro 是一款强大且易用的 Java 安全框架,提供身份认证、授权、加密以及会话管理功能,简化了安全实现。标题中的 "shiro-root-1.4.1-source-release.zip" 指的是 Apache Shiro 的 1.4.1 版本源码包,适用于...
shiro源码(shiro-root-1.8.0-source-release.zip)
03-21
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用程序。它既适用于传统的Web应用,也适用于现代的Java EE和Android应用。现在我们来深入...
shiro项目基本运行架包以及全部的架包shiro-all.jar
04-17
- **Subject**:Shiro中的核心概念,代表当前操作的用户,可以是已认证的或未认证的。 - **Realms**:负责与特定的安全存储(如数据库)交互,获取和验证凭证,以及授权信息。 - **Cryptography**:理解和使用Shiro...
shiro-redisson基于Redis的ShiroCache和Session实现
08-06
Shiro 的缓存机制主要用于存储认证和授权信息,避免频繁地访问数据库或其它数据源。在 `shiro-redisson` 中,通过 Redisson 将这些信息存储在 Redis 中,使得在分布式系统中,不同节点可以共享相同的缓存数据,提升...
Shiro 作为应用的权限基础 二:shiro 认证
445822357
10-31 201
认证就是验证用户身份的过程。在认证过程中,用户需要提交实体信息(Principals)和凭据信息(Credentials)以检验用户是否合法。最常见的“实体/凭证”组合便是“用户名/密码”组合。 一、认证过程 1、收集实体/凭据信息 Java代码 UsernamePasswordToken token = new UsernamePasswordToken(userna...
shiroshiro 登陆Subject().login()与SecurityManager().login()
mfkarj的博客
01-07 2075
今天踩坑,写一跨域登陆, 开始如下: UsernamePasswordToken token = new UsernamePasswordToken(username, password); SecurityUtils.getSecurityManager().login(SecurityUtils.getSubject(), token); 登陆是登陆成功了,但是后续获取Security...
shiro控制用户登录的验证原理
十一的博客
06-05 4634
在前端输入用户名和密码,shiro是如何校验用户的信息完成登录的呢。 UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(), user.getUserPwd()); Subject subject = SecurityUtils.getSubject(); subject.login(token); u...
Shiro安全框架集合(二)
Orion的博客
10-31 385
Data}@component将MyRealm类实例化放入Spring容器中管理,相当于//自定义Realm类@Component@Resource//自定义认证方法@Override// 1、获取用户输入的用户名// 2、根据用户名查询用户// 3、将查询到的用户封装成认证信息System.out.println("用户名不存在");}/*** 参数一: 用户。
Shiro 实现免密码登录策略 微信扫码登录 第三方登录问题
HaHa_Sir的博客
12-09 2830
Shiro 实现免密码登录策略 微信扫码登录 第三方登录问题 一、情景描述 在做微信扫码登录时候,流程是,根据获取的 微信unionId,查找到用户,且用户状态为可用时,即可实现登录;由于使用shiro为安全控制中心,查询出来的用户密码为加密的,且不可逆;所以要做一个Shiro免密登录策略。 二、代码实现 1、Shiro 登录流程 Subject su...
Shiro重构:整合token和cookie实现登陆及验证
July_whj
10-16 5118
Shiro重构:整合token和cookie实现登陆及验证 认证服务开始只支持PC端的cookie认证方式,因业务需要,要对小程序、H5、App等移动端设备进行认证,这里复用认证服务。由于小程序不支持cookie认证方式,采用token认证方式,这里对认证服务进行重构。认证服务主要是有Shiro框架研发,我们简单熟悉下Cookie的认证流程。 Shiro的cookie认证流程我们简单说明下, shiro是在其默认的会话管理器DefaultWebSessionManager中获取请求携带过来的cooki
Shiro的身份验证流程的源码分析
huangjhai的博客
02-25 625
这篇文章将对上一篇文章:SSM项目整合Shiro进行身份验证中的身份验证流程进行分析。 这是项目中的具体使用,分为以下三个步骤: 创建Subject对象 封装UsernamePasswordToken 对象token 将token通过调用Subject对象的login方法进行登录认证 Subject currentUser = SecurityUtils.getSubject(); // 把用...
shiro框架的UsernamePasswordToken与对应Realm中的AuthenticationToken的一点比较
ywb201314的专栏
10-22 1531
这里以简单的登陆为例子 控制器对应的登陆方法: @RequestMapping(value = "/login", method = RequestMethod.GET) public String login(@RequestParam("username") String username, @RequestParam("password") String password){ // 获取当前的 Subject. 调用 SecurityUtils.getSubject(); Sub
org.apache.shiro.authc.IncorrectCredentialsException: Submitted credentials for token [org.apache.shiro.authc.UsernamePasswordToken - admin02, rememberMe=false] did not match the expected credentials.
最新发布
04-03
Shiro认证过程如下: 1. 用户通过前端界面提供用户名和密码。 2. Controller 接收请求并将数据封装到 `UsernamePasswordToken` 中。 3. 调用 `Subject.login(token)` 方法触发认证逻辑。 4. SecurityManager 将令...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值