第二讲shiro异常及执行流程

最新推荐文章于 2024-07-20 16:42:13 发布
转载 最新推荐文章于 2024-07-20 16:42:13 发布 · 102 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/116970u/p/10948185.html

博客介绍了Shiro认证过程中的父异常AuthenticationException及其子类,如账户失效、尝试次数过多等异常情况。强调编写代码时给用户模糊异常信息有助于安全。还阐述了Shiro认证的执行流程,包括创建实例、封装token、进行认证及判断认证结果等。

在认证过程中,有一个父异常为:AuthenticationException

该异常有几个子类,分别对应不同的异常情况:

(1)DisabledAccountException:账户失效异常

(2)ExcessiveAttemptsException:尝试次数过多

(3)UnknownAccountException:用户不正确

(4)ExpiredCredentialsException:凭证过期异常

(5)IncorrectCredentialsException:凭证不正确

虽然shiro为每一种异常都提供了准确的异常类,但是在编写代码的过程中,应提示给用户的异常信息为模糊的,这样有助于安全。

常见的处理方式为:

UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "11121");
        try {
            // 6、进行用户身份验证
            subject.login(token);
            // 7、通过subject来判断用户是否通过验证
            if (subject.isAuthenticated()) {
                System.out.println("用户登录成功");
            }
        } catch (UnknownAccountException e) {// AuthenticationException为父异常 Ctrl+T看子异常
            System.out.println("用户名或密码不正确");
        } catch (IncorrectCredentialsException e) {
            System.out.println("用户名或密码不正确");
        }

执行流程:

(1)通过shiro的相关api,创建securityManager及获取Subject实例

        // 1、创建SecurityManager工厂,读取相应的配置文件
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        // 2、通过SecurityManager工厂获取SecurityManager的实例
        SecurityManager securityManager = factory.getInstance();
        // 3、将securityManager对象设置到运行环境中
        SecurityUtils.setSecurityManager(securityManager);
        // 4、通过SecurityUtils获取主体Subject
        Subject subject = SecurityUtils.getSubject();

(2)封装token信息

UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "1111");

(3)通过subject.login(token)进行用户认证

    Subject接收token,通过其实现类DelegatingSubject将token委托给SecurityManager来完成认证。SecurityManager通过是接口通过DefaultSecurityManager来完成相关的功能。由DefaultSecurityManager中login来完成认证过程。在login中调用了该类authenticae()来完成认证。该方法是由AuthenticatiingSecurityManager来完成的。在该类的authenticate()中,通过调用authenticator(认证器)来完成认证工作。Authenticator是由其默认实现类ModularRealmAuthenticatior来完成认证。通过ModularRealmAuthenticatior中的doAuthenticate来获取Realms信息。如果是单realm直接将token和realm中的数据进行比较,判断是否认证成功。如果是多realm,那么需要通过Authentication Strategy来完成对应的认证工作。

(4)通过subject.isAuthenticated()来判断是否认证成功。

转载于:https://www.cnblogs.com/116970u/p/10948185.html

shiro流程
qq_39158582的博客
04-19 256
金博文档Shiro几大核心功能.2.1Authentication:认证.用户的登录,退出属于认证.2.2Authorization:授权.菜单授权,元素可见性授权等.2.3Cryptography:加密.密码加密,md5加密等.2.4 SessionManagement: Session管理2.5 WebIntegration : Web集成.2.5.1 Shiro不依赖于容器的,可以运行在Ja...
Shiro的authc过滤器的执行流程
likunpeng6656201的博客
07-30 3366
1.先执行isAccessAllowed(),通过subject.isAuthenticated()判断当前session中的subject是否已经登陆过。如果在当前session即会话中已经登陆过,返回true,authc过滤器放行请求到loginUrl。 问题? 这里会有一个问题,如果我登陆成功后,再次访问loginUrl,会执行isAccessAllowed()并返回true放行,那么我访问...
shiro权限控制(shiro第二
wx优快云1997的博客
07-07 428
Shrio使用 1. shiro注解方式实现管理员权限控制1) 导入jar包 2) 使用注解权限控制A. 授权 使用自定义的UserRealm                    B. 配置     C. 授权  期间遇到如下错误,发现原因是没有导进上面的四个包。                    2. 使得管理员没有权限访问的功能被访问时,跳转到nopass.jsp界面     1)当没有...
springboot + shiro 权限注解、统一异常处理、请求乱码解决
qq_42345394的博客
06-27 3471
springboot + shiro 权限注解、统一异常处理、请求乱码解决前篇后台权限管理系统相关:  spring boot + mybatis + layui + shiro后台权限管理系统springboot + shiro之登录人数限制、登录判断重定向、session时间设置springboot + shiro 动态更新用户信息基于前篇,新增功能:新增shiro权限注解gaimor.cn请...
shiro自定义fileter
JackHarbor的博客
10-06 402
网上关于shiro的教程很多,很快就可以搭建出一个demo。 如果权限是固定在配置文件中,那么肯定会出现这样的写法 /shiro/p2=authc /shiro/p3=roles[admin] /shiro/p4=roles[user] 表示 /shiro/p2 需要登录权限,/shiro/p3 需要admin角色。还有其他的权限 Filter Na
shiro异常
魏晋风范
12-26 9567
org.apache.shiro.authc.pam.UnsupportedTokenException org.apache.shiro.authc.UnknownAccountException org.apache.shiro.authc.LockedAccountException org.apache.shiro.authc.DisabledAccountException o
浅淡shiro的工作流程及原理 之 身份认证(一)
weixin_50235024的博客
09-08 446
目录 前言 身份认证工作流程 1. 项目结构 2. 工作流程 身份认证的原理 总结 前言 这篇文章是记录我学习springboot整合shiro的学习感悟,因此,这篇文章的主要读者对象是了解springboot整合shiro。如果有错误的地方,还请各位谅解,与纠正小编的错误。 身份认证工作流程 1. 项目结构 项目结构如下图所示: 2. 工作流程 我将以我的项目为模板,shiro的工作流程。 1. 项目启动,创建ShiroConfig配置的...
Shiro角色权限认证流程示例代码解析
- **Subject**: 在 Shiro 中,Subject 代表当前的用户操作主体,可以是一个人、第三方服务、定时作业或者任何东西。 - **SecurityManager**: SecurityManager 是 Shiro 架构的核心,负责管理和协调 Shiro 中的组件,...
Shiro 入门教程 - Shiro OAuth2
最新发布
smart_an的专栏
07-20 924
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
Shiro框架详解
qq_39756007的博客
02-21 921
Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。记住一点,Shiro 不会去维护用户、维护权限;这些需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可。
shiroFilter权限验证
09-24
web.xml配置 因为我们是与spring进行集成的,而spring的基本就是web项目的xml文件。所以我们在web.xml中配置shiros的过滤拦截。正常情况下,我们需要将shiro的filter配置在所有的filter前面,当然和encodingFilter这个filter是不区分前后的。因为两者互相不影响的。spring-shiro.xml 这里我们将来看看spring-shiro.xml的配置,这里我采取倒叙的方式解,我觉的倒叙更加的有助于我们理解代码。首先我们还记得在web.xml中配置的那个filter吧,名字shiroFilter,对spring-shiro.xml配置文件就是通过这个filter展开的。首先我们在web.xml配置的过滤器实际上是配置ShiroFilterFactoryBean,所以在这里需要将ShiroFilterFactoryBean定义为shiroFilter <!-- Shiro的核心安全接口,这个属性是必须的 --> <!-- 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录下的"/login.html"页面 --> <!-- 登录成功后要跳转的连接 --> <!-- 用户访问未对其授权的资源时,所显示的连接 --> <!-- 若想更明显的测试此属性可以修改它的值,如unauthor.jsp,然后用[玄玉]登录后访问/admin/listUser.jsp就看见浏览器会显示unauthor.jsp --> <!-- Shiro连接约束配置,即过滤链的定义 --> <!-- 此处可配合我的这篇文章来理解各个过滤连的作用http://blog.youkuaiyun.com/jadyer/article/details/12172839 --> <!-- 下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 --> <!-- anon:它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 --> <!-- authc:该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter --> /statics/**=anon /login.html=anon /sys/schedule.html=perms[sys:schedule:save] /sys/login=anon /captcha.jpg=anon /**=authc
Shiro入门(三)Shiro异常和JdbcRealm
jwang的博客
05-09 474
前言 本章Shiro异常和JdbcRealm的相关知识 方法 1.回顾 在之前,我们完成了shiro的登陆验证,不知道大家有没有试过写错密码或者用户名会出现什么情况? 是会出现诸如“用户登陆失败!”的字眼吗?显然不是的!!他将会抛出异常。 还有,我们是通过在shiro配置文件中配置users来进行用户的认证,那么大多数情况下,我们都是在数据库中进行比对,验证登录。...
欢迎使用优快云-markdown编辑器
u013628442的博客
08-15 320
利用shiro实现密码错误锁定账户功能使用场景 用户多次输入密码错误,系统应给出密码错误提示和当前错误次数,并且提示密码剩余输入次数,当密码错误次数达到指定最大次数时,该账户将被锁定 shiro身份认证流程 如果简单了解过shiro身份认证的一些基本概念,都应该明白shiro的身份认证的流程,大致是这样的:当我们调用subject.login(token)的时候,首先这次身份认证会委托给Se
第十六节 Shiro限制密码重试次数限制
大宇的博客,欢迎访问
02-22 5015
一、基本思路 不管是单机还是集群,我们都得把用户的登录次数记录下来,放到缓存里面。 单机使用的是Ehcache缓存,集群使用的是Redis缓存。单机或集群对于缓存来说,只是CacheManager接口的实现方式不同。 我们可以按照如下的思路来限制登录次数: 先查看是否系统中是否已有登录次数缓存。缓存对象结构预期为:"用户名-...
shiro异常类型
梦想起飞的地方.........
01-22 7310
org.apache.shiro.authc.pam.UnsupportedTokenException      org.apache.shiro.authc.UnknownAccountException    org.apache.shiro.authc.LockedAccountException    org.apache.shiro.authc.DisabledAccountExcep
Shiro+SpringMVC 实现更安全的登录(加密匹配&登录失败超次数锁定帐号)
热门推荐
小灯光环
09-17 4万+
关于shiro实现登录中的安全加密匹配与登录失败超次数锁定账户的功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值