【Shiro】三、Apache Shiro认证
配置好并获取到SecurityManager,代表Shiro正常运行起来了,可以使用Shiro的其它功能。
1、认证流程(API的使用流程)
认证的数据:
Principals:标识
·识别Subject的数据
·如:用户名、身份证号等
·Primary Principal:Subject唯一主编号
Credentials:凭证
·Subject私密数据
·如:密码、指纹、视网膜等
认证的步骤:
收集数据→提交验证→结果处理
收集数据方式:
1、自行实现Shiro的AuthenticationToken接口
2、使用Shiro提供的一些默认AuthenticationToken接口实现,如UsernamePasswordToken实现
提交验证:
Subject代表当前用户,调用Subject的登录方法Subject.login()
结果处理
成功:使用Subject的isAuthenticated()方法查看
失败:抛出异常,可以捕获异常进行处理。
认证的代码示例:
//收集数据
UsernamePasswordToken token =
new UsernamePasswordToken(username,password);
token.setRememberMe(true);//默认实现提供的一些辅助功能 //提交验证
Subject currentUser = SecurityUtils.getSubject();
currentUser.login(token); //验证是否成功
Subject loginUser = SecutiryUtils.getSubject();
loginUser.isAuthenticated() == true; //登录失败时处理异常
try{
currentUser.login(token);
} catch ( ExType1 ex1){
} catch ( ExType2 ex2){
} catch ( ExType3 ex3){
}....
Remember Me
Remembered
·认证信息非空
·认证信息来自上一个Session的认证结果
·subject.isRememebered() = true 判断上次是否使用RememberMe
Authenticated
·认证信息来自当前Session的认证结果
·subject.isAuthenticated() = true 判断本次认证是否通过
使用场景:
商城购物车
1、上次登录了,这次开启浏览器未登录,想把一个货品加入到购物车(如果此时要求先登录,用户体验不好,现在的网站都是可以先加入购物车,然后付款时再登录付款的)
这时候,使用isRememebered(),获取上次的认证信息,把购物车数据直接存到上次认证的用户中。
2、需要下单付款了
此时再要求登录,然后使用isAuthenticated(),确定本次登录的用户是否正确。
Loggin out
//使Session无效,清空所有认证信息
currentUser.logout();
2、认证架构(框架的内部运作)
1、调用Subject.login(token)方法
2、找Security Manager(门面模式)
3、调用Authenticator组件
4、组件中有很多策略,这些策略会调用Realm获取数据,最终用来判断是否通过验证
5、通过Realm访问数据库等获取数据,用于判断是否通过认证
Authenticator
单个Realm
ModularRealmAuthenticator:仅有一个Realm,仅通过这个Realm就可以知道是否通过认证
多个Realm
AuthenticationStrategy:当有多个Realm时,通过某种策略去判断怎样才算认证通过
自定义Authenticator
当上面都无法满足的时候,我们可以自定义实现一个Authenticator
然后如下面代码一样,把这个Authenticator赋值给Security Manager即可
[main]
...
authenticator = com.foo.bar.CustomAuthenticator securityManager.authenticator = $authenticator
AuthenticationStrategy
AtLeastOneSuccessfulStrategy[默认值]
只要有一个Realm验证成功即可,返回所有Realm身份验证成功的认证信息。
FirstSuccessfulStrategy
只要有一个Reaml验证成功即可,只返回第一个Reaml身份验证成功的认证信息,其它忽略。
AllSuccessfulStrategy
所有Realm验证成功才算成功,切返回所有Realm身份验证成功的认证信息,如果有一个失败就失败。
[main]
...
authcStrategy = org.apache.shiro.authc.pam.FirstSuccessfulStrategy securityManager.authenticator.authenticationStrategy = $authcStrategy
Realm认证顺序
多个Realm认证顺序
迭代认证
隐式顺序
按照配置书写代码的顺序来认证
blahRealm = com.company.blah.Realm
fooRealm = com.company.foo.Realm
barRealm = com.company.another.Realm
显式顺序
使用securityManager.realms
blahRealm = com.company.blah.Realm
fooRealm = com.company.foo.Realm
barRealm = com.company.another.Realm
securityManager.realms = $fooRealm,$barRealm,$blahRealm
【Shiro】三、Apache Shiro认证的更多相关文章
- 【Shiro】Apache Shiro架构之权限认证(Authorization)
Shiro系列文章: [Shiro]Apache Shiro架构之身份认证(Authentication) [Shiro]Apache Shiro架构之集成web [Shiro]Apache Shir ...
- 【Shiro】Apache Shiro架构之身份认证(Authentication)
Shiro系列文章: [Shiro]Apache Shiro架构之权限认证(Authorization) [Shiro]Apache Shiro架构之集成web [Shiro]Apache Shiro ...
- 【Shiro】Apache Shiro架构之自定义realm
[Shiro]Apache Shiro架构之身份认证(Authentication) [Shiro]Apache Shiro架构之权限认证(Authorization) [Shiro]Apache S ...
- 【Shiro】Apache Shiro架构之集成web
Shiro系列文章: [Shiro]Apache Shiro架构之身份认证(Authentication) [Shiro]Apache Shiro架构之权限认证(Authorization) [Shi ...
- [转载] 【Shiro】Apache Shiro架构之实际运用(整合到Spring中)
写在前面:前面陆陆续续对Shiro的使用做了一些总结,如题,这篇博文主要是总结一下如何将Shiro运用到实际项目中,也就是将Shiro整到Spring中进行开发.后来想想既然要整,就索性把Spring ...
- 让Apache Shiro保护你的应用
在尝试保护你的应用时,你是否有过挫败感?是否觉得现有的Java安全解决方案难以使用,只会让你更糊涂?本文介绍的Apache Shiro,是一个不同寻常的Java安全框架,为保护应用提供了简单而强大的方 ...
- Apache Shiro 手册
(一)Shiro架构介绍 一.什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证.授权.加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户"登录 ...
- Apache Shiro 使用手册---转载
原文地址:http://www.360doc.com/content/12/0104/13/834950_177177202.shtml (一)Shiro架构介绍 一.什么是Shiro Apache ...
- Apache Shiro 使用手册
http://kdboy.iteye.com/blog/1154644 (一)Shiro架构介绍 一.什么是Shiro Apache Shiro是一个强大易用的Java安全框架,提供了认证.授权.加 ...
- Apache Shiro 快速入门教程,shiro 基础教程 (这篇文章非常好)
第一部分 什么是Apache Shiro 1.什么是 apache shiro : Apache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理 ...
随机推荐
- react教程 — 性能优化
参考:https://segmentfault.com/a/1190000007811296?utm_medium=referral&utm_source=tuicool 或 https: ...
- [CSP-S模拟测试]:weight(Kruskal+树链剖分)
题目描述 给你一个$n$个点$m$条边的带边权的无向图(无重边,无自环),现在对于每条边,问你这条边的权值最大可以是多大,使得这条边在无向图的所有最小生成树中?(边权都是整数). 输入格式 第一行包含 ...
- linux执行时间段内日志关键字搜索
sed -n '/起始时间/,/结束时间/p' 日志文件 | grep '关键字' 查询文件debug.log在2019-11-18 08:00:00~2019-11-18 08:21:00时间段内e ...
- nginx 配置代理 session 丢失
最开始一直用的ip访问的项目是没问题的 , 后来改成用了域名访问就发现一直获取不了session ,最开始以为是跨域问题 , 但项目中已经配置了跨域 , 因为第一次用 nginx ,果断入坑了 , ...
- Nginx的作用详解
Nginx的产生 没有听过Nginx?那么一定听过它的"同行"Apache吧!Nginx同Apache一样都是一种WEB服务器.基于REST架构风格,以统一资源描述符(Unifor ...
- 科普:std::sort干了什么
std::sort算是STL中对OIer比较友好的函数了,但你有想过sort是如何保证它的高速且稳定吗? 正文 我们首先来到第一层:sort函数 template<typename _Rando ...
- 面试题40:最小(大)的K个数
剑指offer40题,同时这也是面试高发题目 2019.4 蚂蚁金服问道:求1000万个数据中的前K个数. 思路: 1.直接上排序算法,然后我们就取排好顺序的前K个即可.但是单考虑快排,时间复杂度也要 ...
- 【读书笔记】:MIT线性代数(3):Special Solution, Rank and RREF
Special Solutions: Notice what is special about s 1 and S2. They have ones and zeros in the last two ...
- 转 : jconsole 和jvisualVM 监控远程 spring boot程序
监控java 程序 增加启动参数 java \ -Djava.rmi.server.hostname=192.168.2.39 \ -Dcom.sun.management.jmxremote \- ...
- python基础--快速排序
1.快速排序 快速排序是一种交换排序. 快速排序由C. A. R. Hoare在1962年提出. 它的基本思想是:通过一趟排序将要排序的数据分割成独立的两部分:分割点左边都是比它小的数,右边都是比它大 ...