【Shiro】三、Apache Shiro认证

配置好并获取到SecurityManager,代表Shiro正常运行起来了,可以使用Shiro的其它功能。

1、认证流程(API的使用流程)

认证的数据:

  Principals:标识

  ·识别Subject的数据

  ·如:用户名、身份证号等

  ·Primary Principal:Subject唯一主编号

  Credentials:凭证

  ·Subject私密数据

  ·如:密码、指纹、视网膜等

认证的步骤:

  收集数据→提交验证→结果处理

  收集数据方式:

    1、自行实现Shiro的AuthenticationToken接口

    2、使用Shiro提供的一些默认AuthenticationToken接口实现,如UsernamePasswordToken实现

  提交验证:

    Subject代表当前用户,调用Subject的登录方法Subject.login()

  结果处理

    成功:使用Subject的isAuthenticated()方法查看

    失败:抛出异常,可以捕获异常进行处理。

  认证的代码示例:

//收集数据
UsernamePasswordToken token =
    new UsernamePasswordToken(username,password);
token.setRememberMe(true);//默认实现提供的一些辅助功能

//提交验证
Subject currentUser = SecutiryUtils.getSubject();
currentUser.login(token);

//验证是否成功
Subject loginUser = SecutiryUtils.getSubject();
loginUser.isAuthenticated() == true;

//登录失败时处理异常
try{
    currentUser.login(token);
} catch ( ExType1 ex1){
} catch ( ExType2 ex2){
} catch ( ExType3 ex3){
}....

Remember Me

Remembered

  ·认证信息非空

  ·认证信息来自上一个Session的认证结果

  ·subject.isRememebered() = true 判断上次是否使用RememberMe

Authenticated

  ·认证信息来自当前Session的认证结果

  ·subject.isAuthenticated() = true 判断本次认证是否通过

使用场景:

  商城购物车

  1、上次登录了,这次开启浏览器未登录,想把一个货品加入到购物车(如果此时要求先登录,用户体验不好,现在的网站都是可以先加入购物车,然后付款时再登录付款的)

  这时候,使用isRememebered(),获取上次的认证信息,把购物车数据直接存到上次认证的用户中。

  2、需要下单付款了

  此时再要求登录,然后使用isAuthenticated(),确定本次登录的用户是否正确。

Loggin out

//使Session无效,清空所有认证信息
currentUser.logout();

2、认证架构(框架的内部运作)

1、调用Subject.login(token)发放

2、找Security Manager(门面模式)

3、调用Authenticator组件

4、组件中有很多策略,这些策略会调用Realm获取数据,最终用来判断是否通过验证

5、通过Realm访问数据库等获取数据,用于判断是否通过认证

Authenticator

单个Realm

  ModularRealmAuthenticator:仅有一个Realm,仅通过这个Realm就可以知道是否通过认证

多个Realm

  AuthenticationStrategy:当有多个Realm时,通过某种策略去判断怎样才算认证通过

自定义Authenticator

  当上面都无法满足的时候,我们可以自定义实现一个Authenticator

  然后如下面代码一样,把这个Authenticator赋值给Security Manager即可

[main]
...
authenticator = com.foo.bar.CustomAuthenticator

securityManager.authenticator = $authenticator

AuthenticationStrategy

AtLeastOneSuccessfulStrategy[默认值]

  只要有一个Realm验证成功即可,返回所有Realm身份验证成功的认证信息。

FirstSuccessfulStrategy

  只要有一个Reaml验证成功即可,只返回第一个Reaml身份验证成功的认证信息,其它忽略。

AllSuccessfulStrategy

  所有Realm验证成功才算成功,切返回所有Realm身份验证成功的认证信息,如果有一个失败就失败。

[main]
...
authcStrategy = org.apache.shiro.authc.pam.FirstSuccessfulStrategy

securityManager.authenticator.authenticationStrategy = $authcStrategy

Realm认证顺序

多个Realm认证顺序

  迭代认证

隐式顺序

  按照配置书写代码的顺序来认证

blahRealm = com.company.blah.Realm
fooRealm = com.company.foo.Realm
barRealm = com.company.another.Realm

显式顺序

  使用securityManager.realms

blahRealm = com.company.blah.Realm
fooRealm = com.company.foo.Realm
barRealm = com.company.another.Realm
securityManager.realms = $fooRealm,$barRealm,$blahRealm

原文地址:https://www.cnblogs.com/LiveYourLife/p/9092587.html

时间: 2024-10-04 16:11:58

【Shiro】三、Apache Shiro认证的相关文章

【Shiro】Apache Shiro架构之身份认证(Authentication)

Apache Shiro是一个强大易用的Java安全框架,提供了认证.授权.加密和会话管理功能,可为任何应用提供安全保障.本文主要介绍一下Shiro中的身份认证功能,如下: 本文参考自Apache Shiro的官方文档:http://shiro.apache.org/authentication.html. 本文遵循以下流程:先介绍Shiro中的身份认证,再通过一个实例来具体说明一下(基于maven). 1. 认证主体(Authenticating Subjects) Subject 认证主体包

【Shiro】Apache Shiro架构之权限认证(Authorization)

上一篇博文总结了一下Shiro中的身份认证,本文主要来总结一下Shiro中的权限认证(Authorization)功能,即授权.如下: 本文参考自Apache Shiro的官方文档:http://shiro.apache.org/authorization.html. 本文遵循以下流程:先介绍Shiro中的权限认证,再通过一个简单的实例来具体说明一下API的使用(基于maven). 1. 权限认证的核心要素 权限认证,也就是访问控制,即在应用中控制谁能访问哪些资源.在权限认证中,最核心的三个要素

【Shiro】Apache Shiro架构之集成web

前面两节内容介绍了Shiro中是如何进行身份和权限的认证,但是只是单纯的进行Shiro的验证,简单一点的话,用的是.ini配置文件,也举了个使用jdbc realm的例子,这篇博文主要来总结一下Shiro是如何集成web的,即如何用在web工程中. 写在前面:本文没有使用web框架,比如springmvc或者struts2,用的是原始的servlet,使用的是.ini配置文件,旨在简单粗暴,说明问题.后面会写一些和框架整合的博文. 本文部分参考Apache Shiro的官方文档,文档地址:htt

【Shiro】Apache Shiro架构之自定义realm

之前写的博客里都是使用.ini文件来获取信息的,包括用户信息,角色信息,权限信息等.进入系统时,都是从.ini文件这读取进入的.实际中除非这个系统特别特别简单,否则一般都不是这样干的,这些信息都是需要在数据库中进行维护的,所以就需要用到自定义realm了. 写在前面:这篇博文是基于上一篇Shiro集成web基础之上修改的. 1. 数据库建表 首先在数据库中新建三个表:t_user,t_role和t_permission,分别存储用户信息,角色信息和权限信息,建表语句如下: CREATE TABL

Apache Shiro 使用手册 链接目录整理

1.Apache Shiro 使用手册(一)Shiro架构介绍 2.Apache Shiro 使用手册(二)Shiro 认证 3.Apache Shiro 使用手册(三)Shiro 授权 4.Apache Shiro 使用手册(四)Realm 实现 5.Apache Shiro 使用手册(五)Shiro 配置说明 Apache Shiro 使用手册 链接目录整理

让Apache Shiro保护你的应用

在尝试保护你的应用时,你是否有过挫败感?是否觉得现有的Java安全解决方案难以使用,只会让你更糊涂?本文介绍的Apache Shiro,是一个不同寻常的Java安全框架,为保护应用提供了简单而强大的方法.本文还解释了Apache Shiro的项目目标.架构理念以及如何使用Shiro为应用安全保驾护航. 什么是Apache Shiro? Apache Shiro(发音为“shee-roh”,日语“堡垒(Castle)”的意思)是一个强大易用的Java安全框架,提供了认证.授权.加密和会话管理功能,

Apache Shiro 快速入门教程,shiro 基础教程 (这篇文章非常好)

第一部分 什么是Apache Shiro     1.什么是 apache shiro :   Apache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理 如同 Spring security 一样都是是一个权限安全框架,但是与Spring Security相比,在于他使用了和比较简洁易懂的认证和授权方式. 2.Apache Shiro 的三大核心组件:   1.Subject :当前用户的操作 2.SecurityManager:用于管理所有的Sub

Shiro学习总结(2)——Apache Shiro快速入门教程

第一部分 什么是Apache Shiro 1.什么是 apache shiro : Apache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理 如同 spring security 一样都是是一个权限安全框架,但是与Spring Security相比,在于他使用了和比较简洁易懂的认证和授权方式. 2.Apache Shiro 的三大核心组件: 1.Subject :当前用户的操作 2.SecurityManager:用于管理所有的Subject 3.R

apache shiro 实战

因为公司用到了shiro,所以自己抽空写了个小例子,方便下次查阅: 1.这是项目大致构架图(至于类的实际内容会在后面有贴出): 2.数据结构说明: User:用户,包含 userName,password Role:角色,包含roleName Permission:权限,包含premissionName SecurityService 是数据访问接口,实现类内容如下: package org.pan.service.impl; import org.pan.bean.Permission; im

Apache shiro集群实现 (三)shiro身份认证(Shiro Authentication)

一.术语介绍 Authentication:身份认证,即用户提供一些信息来证明自己的身份.如用户名和密码,licence等. Principals :主体的"标识属性",可以是任意标识,例如用户名,身份证号码,手机号码等.Principals 可以有多个,但是必须有一个主要的Principal(Primary Principal),这个标识,必须是唯一的. Credentials:凭据,即只有主体知道或具有的秘密值,例如密码或数字证书,或者某些生物特征,例如指纹,视网膜等. Princ