Shiro官方快速入门10min例子源码解析框架3-Authentication(身份认证)

最新推荐文章于 2022-05-06 23:09:02 发布
最新推荐文章于 2022-05-06 23:09:02 发布
阅读量116 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/codflow/p/shiro_source_code_3.html
本文深入剖析Apache Shiro框架的身份认证过程,详细介绍了如何通过UsernamePasswordToken构建认证令牌,以及Shiro如何通过调用Realm进行用户身份验证。文章涵盖了认证流程、异常处理、RememberMe功能及认证监听器的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在作完预备的初始化和session测试后,到了作为一个权鉴别框架的核心功能部分,确认你是谁--身份认证(Authentication)。

通过提交给shiro身份信息来验证是否与储存的安全信息数据是否相符来判断用户身份的真实性

 本文涉及到token的构建,框架结构下认证行为的调用,realm中授权数据的获取、登录信息比较,login过程中对已有有subject、session的处理

 

 同样,本篇本文使用的是shiro 1.3.2版本,配合源码最佳~

 

官方例子代码流程如下

 

cahlwftt

if (!currentUser.isAuthenticated()) {
            UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");
            token.setRememberMe(true);
            try {
                currentUser.login(token);
            } catch (UnknownAccountException uae) {
                log.info("There is no user with username of " + token.getPrincipal());
            } catch (IncorrectCredentialsException ice) {
                log.info("Password for account " + token.getPrincipal() + " was incorrect!");
            } catch (LockedAccountException lae) {
                log.info("The account for username " + token.getPrincipal() + " is locked.  " +
                        "Please contact your administrator to unlock it.");
            }
            // ... catch more exceptions here (maybe custom ones specific to your application?
            catch (AuthenticationException ae) {
                //unexpected condition?  error?
            }
        }

 

 

 

 

3.1首先构造token,其中 UsernamePasswordToken 实现了HostAuthenticationToken和RememberMeAuthenticationToken接口,他们都继承自AuthenticationToken接口

HostAuthenticationToken接口指定了token的域,RememberMeAuthenticationToken接口指定了token是否实现RememberMe(认证跨session)

ps:shiro 认证状态区分Authenticated和Remembered,Authenticated指当前session(或流程)下已经过认证,Remembered指曾经获得认证,如果是web状态下RememberMe相关信息保存在cookie中

二者可以调用 subject.isAuthenticated() 及subject.isRemembered()区分

其中UsernamePasswordToken 的Principal(身份)概念即Username,Credentials(凭证)概念即Password

enf5zggw

在token 中设置用户名和密码

UsernamePasswordToken token = new UsernamePasswordToken("lonestarr", "vespa");

设置是否使用RememberMe(此案例中不具体起作用,只是作为示例在token中设置

token.setRememberMe(true);

案例中不对host进行设置

3.2完成对token的构建设置后,便进行认证(Authentication)操作

currentUser.login(token);

首先先借用官方的例图来了解一下整个的流程

1-调用subject的login入口传入token

2-subject实际调用SecurityManager的login

3-securityManager再调用authenticator实例的doAuthenticate方法,一般这个是ModularRealmAuthenticator的实例

4-判断realm的状况,如果是单realm则直接调用realm,如果是多realm则要判断认证策略(AuthenticationStrategy

5-调用对应realm中的getAuthenticationInfo实现进行认证

 

DelegatingSubject.login代码如下,下面对认证流程进行详细的解读

public void login(AuthenticationToken token) throws AuthenticationException {
        clearRunAsIdentitiesInternal();
        Subject subject = securityManager.login(this, token);

        PrincipalCollection principals;

        String host = null;

        if (subject instanceof DelegatingSubject) {
            DelegatingSubject delegating = (DelegatingSubject) subject;
            //we have to do this in case there are assumed identities - we don't want to lose the 'real' principals:
            principals = delegating.principals;
            host = delegating.host;
        } else {
            principals = subject.getPrincipals();
        }

        if (principals == null || principals.isEmpty()) {
            String msg = "Principals returned from securityManager.login( token ) returned a null or " +
                    "empty value.  This value must be non null and populated with one or more elements.";
            throw new IllegalStateException(msg);
        }
        this.principals = principals;
        this.authenticated = true;
        if (token instanceof HostAuthenticationToken) {
            host = ((HostAuthenticationToken) token).getHost();
        }
        if (host != null) {
            this.host = host;
        }
        Session session = subject.getSession(false);
        if (session != null) {
            this.session = decorate(session);
        } else {
            this.session = null;
        }
    }

3.2.1首先是初始化

clearRunAsIdentitiesInternal();

如果subject已含session则获取session并清除其中参数

3.2.2调用securityManager中的()login()开始认证

Subject subject = securityManager.login(this, token);

这里调用的是DefaultSecurityManager中的login

public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException {
        AuthenticationInfo info;
        try {
            info = authenticate(token);//调用AbstractAuthenticator.authenticate,
        } catch (AuthenticationException ae) {
            try {
                onFailedLogin(token, ae, subject);//认证失败,清除remenberMe的信息使之失效
            } catch (Exception e) {
                if (log.isInfoEnabled()) {
                    log.info("onFailedLogin method threw an " +
                            "exception.  Logging and propagating original AuthenticationException.", e);
                }
            }
            throw ae; //propagate
        }

        Subject loggedIn = createSubject(token, info, subject);

        onSuccessfulLogin(token, info, loggedIn);

        return loggedIn;
    }

3.2.2.1

调用AbstractAuthenticator.authenticate(),其中调用ModularRealmAuthenticator.doAuthenticate

protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
        assertRealmsConfigured();
        Collection<Realm> realms = getRealms();
        if (realms.size() == 1) {
            return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);
        } else {
            return doMultiRealmAuthentication(realms, authenticationToken);
        }
    }

判断realms可用由于是配置的是单realm

则调用ModularRealmAuthenticator.doSingleRealmAuthentication(),其中调用realm实现判断token类型是否支持,然后执行realm实现中的getAuthenticationInfo方法

protected AuthenticationInfo doSingleRealmAuthentication(Realm realm, AuthenticationToken token) {
        if (!realm.supports(token)) {
            String msg = "Realm [" + realm + "] does not support authentication token [" +
                    token + "].  Please ensure that the appropriate Realm implementation is " +
                    "configured correctly or that the realm accepts AuthenticationTokens of this type.";
            throw new UnsupportedTokenException(msg);
        }
        AuthenticationInfo info = realm.getAuthenticationInfo(token);
        if (info == null) {
            String msg = "Realm [" + realm + "] was unable to find account data for the " +
                    "submitted AuthenticationToken [" + token + "].";
            throw new UnknownAccountException(msg);
        }
        return info;
    }

从下图中看出这里的realm是配置后的iniRealm实例,其方法在AuthenticatingRealm中实现,由于inirealm直接在初始化onInit()时就在内存加载了所有授权数据信息,例子并没有使用cache。

dx2hm1ue

public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        AuthenticationInfo info = getCachedAuthenticationInfo(token);
        if (info == null) {
            //otherwise not cached, perform the lookup:
            info = doGetAuthenticationInfo(token);
            log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);
            if (token != null && info != null) {
                cacheAuthenticationInfoIfPossible(token, info);
            }
        } else {
            log.debug("Using cached authentication info [{}] to perform credentials matching.", info);
        }

        if (info != null) {
            assertCredentialsMatch(token, info);
        } else {
            log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);
        }

        return info;
    }

 

 

3.2.2.1.1调用SimpleAccountRealm.doGetAuthenticationInfo通过用户名从Map users 取出对应的SimpleAccount,并判断是否被锁,是否过期

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken upToken = (UsernamePasswordToken) token;
        SimpleAccount account = getUser(upToken.getUsername());

        if (account != null) {

            if (account.isLocked()) {
                throw new LockedAccountException("Account [" + account + "] is locked.");
            }
            if (account.isCredentialsExpired()) {
                String msg = "The credentials for account [" + account + "] are expired";
                throw new ExpiredCredentialsException(msg);
            }

        }

        return account;
    }

对应getUser方法使用了读锁保证了map读操作的原子性

protected SimpleAccount getUser(String username) {
        USERS_LOCK.readLock().lock();
        try {
            return this.users.get(username);
        } finally {
            USERS_LOCK.readLock().unlock();
        }
    }

3.2.2.1.2调用AuthenticatingRealm.assertCredentialsMatch,获取密码比较器(CredentialsMatcher),其中调用doCredentialsMatch获取对比token和info(上面从realm通过用户名获取的AuthenticationInfo实例)中的密码(核心的一步),并返回结果

public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        Object tokenCredentials = getCredentials(token);
        Object accountCredentials = getCredentials(info);
        return equals(tokenCredentials, accountCredentials);
    }

3.2.2.2随后通知认证监听器AuthenticationListener(本例未设置)层层返回info至DefaultSecurityManager创建新的有登录信息的subject

Subject loggedIn = createSubject(token, info, subject);

并将现有subject中的信息赋予新的subject

protected Subject createSubject(AuthenticationToken token, AuthenticationInfo info, Subject existing) {
        SubjectContext context = createSubjectContext();
        context.setAuthenticated(true);
        context.setAuthenticationToken(token);
        context.setAuthenticationInfo(info);
        if (existing != null) {
            context.setSubject(existing);
        }
        return createSubject(context);
    }

3.2.2.3设置rememberMe(本例未实现

onSuccessfulLogin(token, info, loggedIn);

3.2.3 继续获取信息principals,host(本例无),设置session到subject,

        if (subject instanceof DelegatingSubject) {
            DelegatingSubject delegating = (DelegatingSubject) subject;
            //we have to do this in case there are assumed identities - we don't want to lose the 'real' principals:
            principals = delegating.principals;
            host = delegating.host;
        } else {
            principals = subject.getPrincipals();
        }

        if (principals == null || principals.isEmpty()) {
            String msg = "Principals returned from securityManager.login( token ) returned a null or " +
                    "empty value.  This value must be non null and populated with one or more elements.";
            throw new IllegalStateException(msg);
        }
        this.principals = principals;
        this.authenticated = true;
        if (token instanceof HostAuthenticationToken) {
            host = ((HostAuthenticationToken) token).getHost();
        }
        if (host != null) {
            this.host = host;
        }
        Session session = subject.getSession(false);
        if (session != null) {
            this.session = decorate(session);
        } else {
            this.session = null;
        }

3.3完成认证后测试一下Principal(用户名)是否正确

log.info("User [" + currentUser.getPrincipal() + "] logged in successfully.");

k22pnc1t

可见用户信息正确

 

至此完成了一个简单的Authentication过程

 

参考:

http://shiro.apache.org/10-minute-tutorial.html

http://shiro.apache.org/authentication.html

 http://www.apache.org/dyn/closer.cgi/shiro/1.3.2/shiro-root-1.3.2-source-release.zip

 

转载请注明作者及来源:https://www.cnblogs.com/codflow/

转载于:https://www.cnblogs.com/codflow/p/shiro_source_code_3.html

Shiro安全框架快速入门
03-01
照例又去官网扒了扒介绍:ApacheShiroisapowerfulandeasy-to-useJavasecurityframeworkthatperformsauthentication,authorization,cryptography,andsessionmanagement.WithShiro’seasy-to-understandAPI,...
springboot-shiro认证系统框架--成型框架
09-17
总之,SpringBoot-Shiro认证系统框架是一个功能齐全、易于定制的安全框架,适合用于生产环境的快速开发,同时也为学习和研究提供了良好的平台。通过理解并掌握SpringBoot的自动配置和Shiro的安全管理机制,开发者...
Shiro入门
m0_46086429的博客
07-23 134
什么是shiro? shiro是一个功能强大且易于使用的Java安全框架,它的认证,授权,加密和会话管理可以用于保护任何应用程序——来自从命令行应用程序、移动应用程序到最大的web和企业应用程序。 shiro为以下几个方面提供应用程序的安全API(应用程序安全的4大基石): Authentication - 提供用户身份认证,俗称登录 Authorization - 访问权限控制 Cryptography - 使用加密算法保护或者隐藏数据 Session Management - 用户的会话管理 Login
shiro的登录 subject.login(token)中执行逻辑和流程
qq_41358574的博客
11-02 8786
今天登录的时候一直没有记录当前用户信息下来,执行security.getsubject()结果一直为空,遂看了下源码 使用subject.login的登录场景: (controller层) @GetMapping public Result userLogin(@ApiParam(name="userId",value="用户学号",required=true) @RequestParam(value = "userId",requir
Shiro doGetAuthenticationInfo方法登录后获取不到正确的权限
wjzhang5514的博客
06-25 1万+
前提: Shiro的认证依赖AuthenticatingRealm里的getAuthenticationInfo方法,该方法会调用我们自定义的认证方法doGetAuthenticationInfo获取本次认证的结果,如下: public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken ...
Shiro的认证原理(Subject#login的背后故事)
热门推荐
不忘初心,方能始终。
02-07 2万+
登录操作一般都是我们触发的: Subject subject = SecurityUtils.getSubject(); AuthenticationToken authenticationToken = new ... subject.login(authenticationToken); Subject的登录将委托给SecurityManager,SecurityManager的log
shiro学习笔记-Subject#login(token)实现过程
小黄
11-28 3719
在[若依]登录的接口调用了subject.login()方法, 如图 追踪Subject的login(AuthenticationToken token)方法,其调用的为DelegatingSubject类的login方法,DelegatingSubject实现了Subject接口,DelegatingSubject#login如下: 1 public void login(Authentica...
shiro源码shiro-root-1.8.0-source-release.zip)
03-21
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用程序。它既适用于传统的Web应用,也适用于现代的Java EE和Android应用。现在我们来深入...
基于Java和HTML的Shiro认证鉴权框架设计源码
10-02
本项目所包含的“基于Java和HTML的Shiro认证鉴权框架设计源码”是一个功能全面、易于使用、可扩展性强的安全框架。它不仅为Web应用提供了强大的安全防护,也为开发者提供了学习和实践认证与授权机制的良好平台。对于...
Shiro认证授权业务软件实现流程
Hadwin1991的博客
06-09 780
shiro认证授权业务软件实现流程
用debug思想去解释shiro登录原理
weixin_41027780的博客
05-23 339
上一篇Karley Blog:Karley的Java个人博客全纪录之SpringBoot整合Shiro实现登录注册但是只有怎么做,没有为什么,今天康康shiro是怎么做登录的。 首先在UserServiceImpl.java的封装用户登录数据 上面打个断点。然后登录。 然后断点获得了subject里面有principals,有securityManager: securityManager里面有authenticator,realms,sessionManager,rememberMeManager,还
Fusion360 画PCB导入库时,出现问题:主机需要身份验证Host requires authentication
何解然_K|user
03-13 1872
所遇到问题如图: 解决方法: 使用fusion360的邮箱账号登录两个网站 1:https://library.io/ 2:https://www.autodesk.com/products/eagl 登录之后,重新来到fusion360,再次尝试打开库,就能自动下载了 ...
Spring Security配置全局 AuthenticationManager
Leon_Jinhai_Sun的博客
05-06 6908
Topical Guide | Spring Security Architecture 默认的全局 AuthenticationManager @Configuration public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter { @Autowired public void initialize(AuthenticationManagerBuilder builder) { //buil
shiro使用自定义session和redis源码解析登录过程
m0_37045848的博客
12-10 264
跟着debug一起读shiro源码《二》一、登录1.二、写入缓存三、授权四、再次写入缓存功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 一、登录 1. 二、写入缓存 三、授权 四、再次写入缓存 我们对Markdown编辑器进行了一
security中配置多个AuthenticationManager
面朝大海,春暖花开
06-05 1万+
security中配置多个AuthenticationManager 基于spring-security4.2.x和security-oauth2.3.x 在使用Security配置Oauth2.0的时候需要多个authenticationManager来管理来自不同方向的认证管理,比如一个clientAuthenticationManager用来认证client_id和client_secr...
Shiro中使用AuthenticationListener监听登录登出操作
weixin_30808575的博客
01-18 1466
1 /* 2 * Licensed to the Apache Software Foundation (ASF) under one 3 * or more contributor license agreements. See the NOTICE file 4 * distributed with this work for additional in...
基于QT的调色板
08-15
【基于QT的调色板】是一个使用Qt框架开发的色彩选择工具,类似于Windows操作系统中常见的颜色选取器。Qt是一个跨平台的应用程序开发框架,广泛应用于桌面、移动和嵌入式设备,支持C++和QML语言。这个调色板功能提供了横竖两种渐变模式,用户可以方便地选取所需的颜色值。 在Qt中,调色板(QPalette)是一个关键的类,用于管理应用程序的视觉样式。QPalette包含了一系列的颜色角色,如背景色、前景色、文本色、高亮色等,这些颜色可以根据用户的系统设置或应用程序的需求进行定制。通过自定义QPalette,开发者可以创建具有独特视觉风格的应用程序。 该调色板功能可能使用了QColorDialog,这是一个标准的Qt对话框,允许用户选择颜色。QColorDialog提供了一种简单的方式来获取用户的颜色选择,通常包括一个调色板界面,用户可以通过滑动或点击来选择RGB、HSV或其他色彩模型中的颜色。 横渐变取色可能通过QGradient实现,QGradient允许开发者创建线性或径向的色彩渐变。线性渐变(QLinearGradient)沿直线从一个点到另一个点过渡颜色,而径向渐变(QRadialGradient)则以圆心为中心向外扩散颜色。在调色板中,用户可能可以通过滑动条或鼠标拖动来改变渐变的位置,从而选取不同位置的颜色。 竖渐变取色则可能是通过调整QGradient的方向来实现的,将原本水平的渐变方向改为垂直。这种设计可以提供另一种方式来探索颜色空间,使得选取颜色更为直观和便捷。 在【colorpanelhsb】这个文件名中,我们可以推测这是与HSB(色相、饱和度、亮度)色彩模型相关的代码或资源。HSB模型是另一种常见且直观的颜色表示方式,与RGB或CMYK模型不同,它以人的感知为基础,更容易理解。在这个调色板中,用户可能可以通过调整H、S、B三个参数来选取所需的颜色。 基于QT的调色板是一个利用Qt框架和其提供的色彩管理工具,如QPalette、QColorDialog、QGradient等,构建的交互式颜色选择组件。它不仅提供了横竖渐变的色彩选取方式,还可能支持HSB色彩模型,使得用户在开发图形用户界面时能更加灵活和精准地控制色彩。
基于springboot二手物品交易网站系统【附万字论文+PPT+包部署+录制讲解视频】.zip
最新发布
08-15
标题基于Spring Boot的二手物品交易网站系统研究AI更换标题第1章引言阐述基于Spring Boot开发二手物品交易网站的研究背景、意义、现状及本文方法与创新点。1.1研究背景与意义介绍二手物品交易的市场需求和Spring Boot技术的适用性。1.2国内外研究现状概述当前二手物品交易网站的发展现状和趋势。1.3论文方法与创新点说明本文采用的研究方法和在系统设计中的创新之处。第2章相关理论与技术介绍开发二手物品交易网站所涉及的相关理论和关键技术。2.1Spring Boot框架解释Spring Boot的核心概念和主要特性。2.2数据库技术讨论适用的数据库技术及其在系统中的角色。2.3前端技术阐述与后端配合的前端技术及其在系统中的应用。第3章系统需求分析详细分析二手物品交易网站系统的功能需求和性能需求。3.1功能需求列举系统应实现的主要功能模块。3.2性能需求明确系统应满足的性能指标和安全性要求。第4章系统设计与实现具体描述基于Spring Boot的二手物品交易网站系统的设计和实现过程。4.1系统架构设计给出系统的整体架构设计和各模块间的交互方式。4.2数据库设计详细阐述数据库的结构设计和数据操作流程。4.3界面设计与实现介绍系统的界面设计和用户交互的实现细节。第5章系统测试与优化说明对系统进行测试的方法和性能优化的措施。5.1测试方法与步骤测试环境的搭建、测试数据的准备及测试流程。5.2测试结果分析对测试结果进行详细分析,验证系统是否满足需求。5.3性能优化措施提出针对系统性能瓶颈的优化建议和实施方案。第6章结论与展望总结研究成果,并展望未来可能的研究方向和改进空间。6.1研究结论概括本文基于Spring Boot开发二手物品交易网站的主要发现和成果。6.2展望与改进讨论未来可能的系统改进方向和新的功能拓展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值