本文介绍了Shiro框架中的身份验证过程。用户需要提供principals(身份标识,如用户名)和credentials(凭证,如密码)进行身份验证。验证流程从securiyManager开始,由Realm进行数据源验证。在 Realm 支持提交的 AuthenticationToken 类型后,通过 getAuthenticationInfo(token) 获取信息,接着在doGetAuthenticationInfo方法中进行凭证匹配,通常使用CredentialMatcher如SimpleCredentialsMatcher或HashedCredentialsMatcher增强安全性。
验证身份的对象元素
在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份:
principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有一个Primary principals,一般是用户名/密码/手机号。
credentials:证明/凭证,即只有主体知道的安全值,如密码/数字证书等。
认证流程
securiyManager是验证开始的地方,但从数据源取数据并作比较的工作是由Realm来进行的
ModularRealmAuthenticator:
protected AuthenticationInfo doMultiRealmAuthentication(Collection<Realm> realms, AuthenticationToken token) {
//获取认证策略
AuthenticationStrategy strategy = getAuthenticationStrategy();
AuthenticationInfo aggregate = strategy.beforeAllAttempts(realms, token);
if (log.isTraceEnabled()) {
log.trace("Iterating through {} realms for PAM authentication", realms.size());
}
//循环realm
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
