关于身份认证中的Authenticator及AuthenticationStrategy

最新推荐文章于 2025-06-25 11:46:31 发布
原创 最新推荐文章于 2025-06-25 11:46:31 发布 · 3.9k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。


在流程图3中,有Authenticator和AuthenticationStrategy2个接口。

Authenticator的职责是验证用户帐号,是Shiro API中身份验证核心的入口点: 

        它只有一个方法:

public AuthenticationInfo authenticate(AuthenticationToken authenticationToken)
            throws AuthenticationException;

        如果验证成功,将返回 AuthenticationInfo 验证信息;此信息中包含了身份及凭证;如果验证失败将抛出相应的 AuthenticationException 实现。
                  

选中AuthenticationInfo,按住Ctrl+t,可以看到它的继承体系。

SecurityManager接口继承了Authenticator,另外还有一个ModularRealmAuthenticator实现,其委托给多个Realm进行验证,验证规则通过AuthenticationStrategy接口指定,默认提供的实现:

FirstSuccessfulStrategy:只要有一个Realm验证成功即可,只返回第一个Realm身份验证成功的认证信息,其他的忽略;

AtLeastOneSuccessfulStrategy:只要有一个Realm验证成功即可,和FirstSuccessfulStrategy不同,返回所有Realm身份验证成功的认证信息;

AllSuccessfulStrategy:所有Realm验证成功才算成功,且返回所有Realm身份验证成功的认证信息,如果有一个失败就失败了。

 

ModularRealmAuthenticator默认使用AtLeastOneSuccessfulStrategy策略。


一个例子:

假设我们有三个realm:

myRealm1: 用户名/密码为zhang/123时成功,且返回身份/凭据为zhang/123;

myRealm2: 用户名/密码为wang/123时成功,且返回身份/凭据为wang/123;

myRealm3: 用户名/密码为zhang/123时成功,且返回身份/凭据为zhang@163.com/123,和myRealm1不同的是返回时的身份变了;


三个reaml文件如下:

package com.lgy.shiro;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCr
最低0.47元/天 解锁文章

200万优质内容无限畅学
Authentication—身份验证流程
微服务技术栈
01-21 7074
本篇是对Shiro体系架构的介绍,本栏目大部分内容来自于Shiro官网。翻译过程中已经尽量保证用词的准确性和易懂性,如有不准确或者不确切的地方,请联系作者加以修改。本篇内容翻译自Authentication特征与Authentication官方指南。 Authentication是身份验证的过程,即证明该用户是否合法,对于证明一个用户是否合法,用户需要提供一些身份识别信息,以及系统能信任的身份证...
Shiro Authenticator认证器简介说明
qq_25073223的博客
07-27 397
Shiro Authenticator认证器简介说明
Shiro第二章二-验证者Authenticator、验证策略AuthenticationStrategy
海恩的博客
04-30 503
AuthenticatorAuthenticationStrategy Authenticator的职责是验证用户,被subject的login()调用。 public AuthenticationInfo authenticate(AuthenticationToken authenticationToken) throws AuthenticationExc...
AuthenticatorAuthenticationStrategy
weixin_30466421的博客
03-28 119
Authenticator的职责是验证用户帐号,是Shiro API中身份验证核心的入口点: 如果验证成功,将返回AuthenticationInfo 验证信息;此信息中包含了身份及凭证;如果验证失败将抛出相应的AuthenticationException实现。 SecurityManager接口继承了Authenticator,另外还有一个ModularRealmAuthenticator...
浅谈身份认证Token类型
最新发布
Shan1205的博客
06-25 128
身份认证Token(Authentication Token) 身份认证Token是最常见的一种Token类型,主要用于用户身份验证。例如,我们在使用微信扫码登录或GitHub OAuth授权时,系统会生成一个Token来识别用户,而无需直接传递密码。2. 目标网站使用该Token确认用户身份,无需保存用户密码。就像现实世界的钥匙、通行证或票据,它能够让系统识别身份、授予权限,或者标记数据。1. 用户在PC端扫描二维码,微信服务器返回一个加密的Token。不得不说,这种方式大幅降低了密码泄露的风险。
Shiro系列-AuthenticatorAuthenticationStrategy是什么
初学者
10-29 2137
导语   之前的博客中分享了关于身份认证以及Realm的内容其中提到了一个比较关键的类,AuthenticationInfo也就是认证信息的类。怎么样去获取到这个身份 认证的信息类呢? 文章目录Authenticator(认证器)AuthenticationStrategy(认证策略)自定义认证策略总结 Authenticator(认证器)   之前的内容中提到过如果用户通过login方法认证...
第二章 身份验证 (二) Realm + AuthenticatorAuthenticationStrategy
yifanSJ的博客
08-16 1764
Realm:域,Shiro 从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource , 即安全数据源。如我们之前的ini 配置方式将使用org.apache.shiro.re
Authentication Methods
彦祖的小号的博客
07-13 664
(一)Dictionary Authentication 用于普通用户的认证方式 Password encryption 尽量认证时的密码是加密的,但通过create|alter user创建或修改用户密码的SQL不加密,只能通过SSL连接保证加密 Oracle Database automatically and transparently encrypts passwords during network (client-to-server and server-to-server) conn..
Shiro教程详解:身份验证、授权与Web集成
2. **第二章:身份验证** - 讲述了如何设置和管理用户登录过程,包括环境准备、登录/退出操作以及身份认证的流程。这部分会深入解析REALM(安全领域)和相关的AUTHENTICATOR(认证器)和AUTHENTICATIONSTRATEGY...
shiro身份认证流程
WeiZhihui优快云的博客
09-22 583
身份验证 身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份 ID 一些标识信息来表明他就是他本人,如提供身份证,用户名 / 密码来证明。 在 shiro 中,用户需要提供 principals (身份)和 credentials(证明)给 shiro,从而应用能验证用户身份: principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以...
CAS 单点登录的实现原理(一)
jj3697871的博客
06-01 9053
一,会话和CookieHTTP是无状态协议,客户端与服务端之间的每次通信都是独立的,而会话机制可以让服务端鉴别每次通讯过程中的客户端是否是同一个,从而保证业务的关联性。 Session是服务器使用一种类似于散列表的结构,用来保存用户会话所需要的信息.Cookie作为浏览器缓存,存储Session ID以达到会话跟踪的目的。由于Cookie的跨域策略限制,Cookie携带的会话标识无法在域名不同的服...
Shiro身份验证/授权源码学习小结
ShangHai0123的博客
12-17 2715
shiro身份验证流程 token委托 通过Subject调用login(token) 方法,将用户产生的token委托给SecurityManager 然后SecurityManager将token委托给Authenticator 最后Authenticator将token委托给ModularRealmAuthenticator进行身份验证的处理 ModularRealmAuthenticator会根据注入Realm的个数决定验证流程 单Realm情况 ModularRealmAuthen.
spring security Ⅲ—— authenticationManager.authenticate()验证流程
qq_45947664的博客
10-14 1万+
进入provider.authenticate(authentication)方法后发现我们到了AbstractUserDetailsAuthenticationProvider类,而这个方法的返回值需要需要依赖user,要获取这个user,咱又不得不进入retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication) 这个方法。在得到这个user之后才能进行下一步。
Cas 自定义重定向策略,并注入属性值
sn5diphone6的博客
09-18 541
cas 往自定义重定向类中注入值
浅浅记录一下springSecurity的学习
qq_59036996的博客
07-20 1866
浅浅记录以下近期学习的springSecurity的登录认证过程
shiro中自定义多realm,并指定realm实现验证
qq_37941840的博客
06-13 2857
我们平常的系统建设中大多数都涉及到两种及以上的登陆方式,例如:手机号码登陆、用户名及密码登陆等,而此时我们是不是就得需要两个realm才能实现?
shiro学习-用户认证器authenticator源码实现解析
键盘の旋律
11-22 545
用户认证器authenticator源码实现1、shiro整体架构 1、shiro整体架构 shiro中,认证器authenticator、授权器authorizer和关联数据库的
Shiro:核心组件、配置类、多Realm场景、自定义拦截器、实战场景
周里奥的博客
01-18 1293
Shiro:核心组件、配置类、多Realm场景、自定义拦截器、实战场景
AuthenticationManager 的 authentication 过程
热门推荐
余生愿你常欢笑
07-26 1万+
1. 结论 // 调用链 AuthenticationManager.authenticate() --> ProviderManager.authenticate() --> DaoAuthenticationProvider(AbstractUserDetailsAuthenticationProvider).authenticate() // 处理 在最后的 authenticate() 方法中,调用了 UserDetailsService.loadUserByUsername() 并进
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值