身份认证流程及原理

最新推荐文章于 2025-06-29 14:34:59 发布
原创 最新推荐文章于 2025-06-29 14:34:59 发布 · 1.8k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #java

本文介绍了Shiro框架中的身份验证过程。用户需要提供principals(身份标识,如用户名)和credentials(凭证,如密码)进行身份验证。验证流程从securiyManager开始,由Realm进行数据源验证。在 Realm 支持提交的 AuthenticationToken 类型后,通过 getAuthenticationInfo(token) 获取信息,接着在doGetAuthenticationInfo方法中进行凭证匹配,通常使用CredentialMatcher如SimpleCredentialsMatcher或HashedCredentialsMatcher增强安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

验证身份的对象元素

在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份:
principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有一个Primary principals,一般是用户名/密码/手机号。
credentials:证明/凭证,即只有主体知道的安全值,如密码/数字证书等。

认证流程

securiyManager是验证开始的地方,但从数据源取数据并作比较的工作是由Realm来进行的

ModularRealmAuthenticator:

protected AuthenticationInfo doMultiRealmAuthentication(Collection<Realm> realms, AuthenticationToken token) {
    //获取认证策略
    AuthenticationStrategy strategy = getAuthenticationStrategy();
    AuthenticationInfo aggregate = strategy.beforeAllAttempts(realms, token);
    if (log.isTraceEnabled()) {
      log.trace("Iterating through {} realms for PAM authentication", realms.size());
    }
    //循环realm
最低0.47元/天 解锁文章

200万优质内容无限畅学
SSL 身份认证原理
iCode_girl的博客
09-01 1703
传统的http协议不具备安全机制:明文传输数据,不能验证通信双方的身份,无法防止传输数据被篡改。 SSL协议实现的完整机制: (1)对称密钥算法加密传输数据 (2)基于证书利用数字签名方法验证服务器客户端身份 (3)消息传输过程中,使用MAC算法验证消息完整性 数据传输的机密性: (1)加解密算法分为:对称密钥算法非对称密钥算法 (2)对称密钥算法计算速度快,通常用于对大量信息加密。非对称密钥算法,一般用于数字签名对较少的信息进行加密。 身份验证机制: 非对称密钥算法可以用来实现数字签名,由于通过私.
浅淡shiro的工作流程原理身份认证(一)
weixin_50235024的博客
09-08 444
目录 前言 身份认证工作流程 1. 项目结构 2. 工作流程 身份认证原理 总结 前言 这篇文章是记录我学习springboot整合shiro的学习感悟,因此,这篇文章的主要读者对象是了解springboot整合shiro。如果有错误的地方,还请各位谅解,与纠正小编的错误。 身份认证工作流程 1. 项目结构 项目结构如下图所示: 2. 工作流程 我将以我的项目为模板,讲解shiro的工作流程。 1. 项目启动,创建ShiroConfig配置的...
Form身份验证基本原理
11-16 1688
先说说Form身份验证思路: 假设用户要浏览需要权限的页面,此时,安全机制先启动,检查当前用户请求是否持有用户票据的Cookie 如此Cookie存在:解析Cookie中的票据信息,获得用户角色,创建用户标识 否则:认为用户无权浏览该页面,跳转至登入页面,登入成功后重定向到所请求页面^-^   解释下我的文件目录: -> Admin文件(该文件目录下内容用户必登
什么是DID(Decentralized Identifier,去中心化身份)
最新发布
keyboard专栏
06-29 1276
DID 是一种由用户自行生成的、全球唯一的标识符,不依赖任何中心化注册机构,存储在去中心网络上(如区块链、IPFS),用于标识个体、组织、设备、内容等数字主体的身份。DID 是“身份的地址”,而不是“身份的内容”。它与传统的身份证、账号、微信号、手机号等中心式身份体系不同。优点描述用户完全掌控用户是自己身份的唯一所有者可跨平台一个 DID 可在多个平台中通用支持隐私保护用户只披露必要最少信息(如使用 ZKP)抗审查、抗封号不依赖平台,可部署在任何链上自动验证。
银行身份认证基本原理
walkingmanc的专栏
01-20 6003
<br />身份认证都是通过在某个时刻询问用户某个此时只有合法用户自己才能够提供而非法用户无法提供的证据(包括只有你知道的东西或只有你唯一拥有的东西,如:U盾,虹膜,指纹等)以证明合法用户身份。<br />普通帐号/密码认证方式(用户身份仅仅是通过匹配的2个字符串),一旦被黑客盗取后,在某个时刻,非法用户也能提供该证据,所以是不安全的。<br />   动态口令(动态密码):认证服务器以当前日期时间用户登录次数为基础数据,采用一种算法,生成一个唯一字符串,作为用户身份凭证,客户端设备的时钟频率严格与服务器
身份验证实现原理
08-02 569
现在在想办法把自己的应用程序开源的论坛程序整合在一起,这牵涉到很多问题,首当其冲是身份验证问题,大家知道作为一个论坛系统它肯定有自己的身份验证系统,但是我们自己的应用程序也需要身份验证以控制用户的访问权限,怎么办?如果只简单使用ASP.NET2.0提供的验证功能肯定是会出问题的,所以必须自定义提供程序.那么这就需要知道身份验证的一些原理以及如何具体实现,昨天在论坛群里发问,在网络上找了一些资源
身份认证的概念原理(转载电子书)数字签名防止篡改摘要技术的使用
zy103118的博客
09-30 1655
什么是保护域 数字证书的概念 认证中心 就是CA   这里的票据指得是tocken,这里指得是tocken认证机制       1加密技术确保了数据的私密性 2 md5或SHA 等散列函数可对数字签名+已加密的消息进行摘要性编码计算,以获取hashcode值  ...
Microsoft authenticator 等身份验证器的原理是什么
wecode666
02-08 1337
基于时间的一次性密码(TOTP)算法。
网络安全——身份认证与PKI原理
Yushiba972的博客
10-17 6262
文章总结了网络安全中PKI系统的组成以及特点、运作机制,并介绍了RADIUS协议、Kerberos协议、SSL协议三大身份认证协议。
【安全】简单解析统一身份认证:介绍、原理实现方法
橘足轻重的博客
06-28 6792
导语统一身份认证是什么统一身份认证原理统一身份认证的实现统一身份认证技术可以帮助用户在多个应用平台上简化登录过程,提高用户体验。本文介绍了统一身份认证的概念、原理实现方法,希望读者能够更好地理解应用该技术。随着技术的不断发展,统一身份认证将在互联网应用中发挥越来越重要的作用,为用户提供更便捷安全的登录体验。
Forms身份验证的基本原理
weixin_34088838的博客
04-24 181
&lt; DOCTYPE html PUBLIC -WCDTD XHTML StrictEN httpwwwworgTRxhtmlDTDxhtml-strictdtd&gt; 一 身份验证 要采用Forms身份验证,先要在应用程序根目录中的Web.config中做相应的设置: &lt;authentication mode="forms"&gt;      &lt;fo...
统一身份认证,构建数字时代的安全壁垒——统一身份认证介绍、原理实现方法
鳄鱼儿
12-27 2886
随着数字化时代的来临,个人机构在互联网上的活动越来越频繁,对于身份认证的需求也愈发迫切。为了有效应对身份欺诈、数据泄露等问题,统一身份认证(Unified Identity Authentication)应运而生。在本文博主将介绍统一身份认证的概念、原理以及其具体的实现方案。
身份认证授权技术的实现原理
欢迎来到《技术探索》,这是一个专注于游戏开发技术的博客。在这里,我们将深入探讨游戏引擎、图形渲染、人工智能、物理模拟等领域的最新技术和最佳实践。无论您是初学者还是经验丰富的开发者,我们都希望为您提供有价值的见解和实用的技巧。
09-24 1807
身份认证授权技术是网络安全的重要组成部分,它们确保只有合法的用户能够访问特定的资源。
Forms身份验证基本原理
朝圣的魔鬼
02-21 4712
要采用Forms身份验证,先要在应用程序根目录中的Web.config中做相应的设置:              标签中的name表示指定要用于身份验证的HTTP Cookie(即指定Cookie名字),默认值是.ASPXAUTH .ASPXAUTH这个使用来决定用户是否被认证了,即验证用户 采用此种方式验证用户后,以此用户的信息建立一个FormsAuthentic
身份验证系统简述1
jeffen2006的专栏
12-14 376
身份验证系统 所谓的系统在庞大的企业信息化平台上也就是一个模块,而这个系统(模块)也可以认为是由2个单独的子系统(模块)组成的:权限系统组织结构系统。权限负责管理整个企业资源的使用,组织结构则描述了整个企业的职能架构。两相结合将企业的商业活动合理高效的调动起来。 权限系统的设计原则一般是:不提供全方位的权限解决方案,仅提供一个实现对通用的、粗粒度的权限逻辑的处理,对于一些定制性比较强的、细粒度的...
【网络安全】身份认证
衍生星球的博客
09-29 3595
身份认证(Authentication)是确认用户身份的过程,确保只有授权的用户才能访问系统或资源。它通常涉及验证用户提供的凭证,如密码、生物特征或其他识别标志。
Shiro中principalcredential的区别
与其临渊羡鱼,不如进而结网。
11-29 1655
principal:能唯一标识用户身份的属性,一个主题(用户)可以有多个principal; 举个例子:你去登录一些网站时可以用用户名,也可以用手机或邮箱,这些principal是别人可以知道的; credential:凭证,主题(用户)才知道的; 举个例子:你给手机开锁,可以使用屏幕密码也可以使用人脸识别,屏幕密码人脸是你个人(用户)才拥有的; 最常见的 principals credentials 组合就是用户名 / 密码了。 ...
玩转SpringBoot安全管理:SpringSecurity介绍及入门、自定义用户认证及授权管理、MVC Security安全配置介绍(内存JDBC身份认证实现)
Xmumu_的博客
08-02 2645
进来玩转spring安全管理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值