java用户的授权及验证_Java环境下shiro的测试-认证与授权

最新推荐文章于 2024-07-23 14:43:33 发布
最新推荐文章于 2024-07-23 14:43:33 发布
阅读量574 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: java用户的授权及验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31081677/article/details/114788650
本文详细介绍了在Java环境下使用Shiro框架进行用户认证与授权的步骤。首先,通过导入Shiro核心库,配置users.ini文件进行认证测试。接着,解释了认证流程,包括token比对、SimpleAccountRealm的doGetAuthenticationInfo方法和CredentialsMatcher的doCredentialsMatch方法。文章还讲解了Shiro的关键对象,如AuthenticatingRealm和AuthorizationInfo接口。然后展示了如何自定义Realm以连接数据库获取用户信息,并使用HashedCredentialsMatcher进行加密认证。最后,文章探讨了基于角色和资源的授权,并给出了相应的API示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Java环境下shiro的测试

1.导入依赖的核心jar包

org.apache.shiro

shiro-core

1.3.2

2.认证程序

2.1 构建users配置文件 xxx.ini doGetAuthenticationInfo方法从该配置文件中获取数据与token中比对

[users]

test=123456

lisi=123456

测试程序

public class TestShiro {

public static void main(String[] args) {

//获取安全管理器工厂

IniSecurityManagerFactory iniSecurityManagerFactory = new IniSecurityManagerFactory("classpath:shiro.ini");

//获取安全管理器

SecurityManager securityManager = iniSecurityManagerFactory.getInstance();

//set认证器

SecurityUtils.setSecurityManager(securityManager);

//subject发起认证,获取subject

Subject subject = SecurityUtils.getSubject();

AuthenticationToken authenticationToken = new UsernamePasswordToken("test","123456");

//认证失败会抛出异常 密码:CredentialsException 账户:UnknownAccountException

try {

subject.login(authenticationToken);

} catch (AuthenticationException e) {

e.printStackTrace();

}

//当前subject是否认证通过

boolean authenticated = subject.isAuthenticated();

System.out.println(authenticated);

}

}

认证流程:

token携带身份和凭证信息--->subject发起认证--->SimpleAccountRealm(doGetAuthenticationInfo)获取配置文件中的用户信息---->CredentialsMatcher接口的实现类SimpleCredentialsMatcher:doCredentialsMatch方法对配置文件中的信息与token携带的信息进行比对--->认证成功或者失败。

3.Shiro框架中的关键对象:

AuthenticatingRealm //抽象类

//3.关键属性 该属性为凭证匹配器

CredentialsMatcher credentialsMatcher;

//1.该方法为抽象方法 其作用使用来获取数据

protected abstract AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken var1) throws AuthenticationException;

SimpleAccountRealm

//2.实现了AuthenticatingRealm抽象方法,用来获取配置文件中的用户信息,该类不做数据比对

SimpleCredentialsMatcher

//4.shiro中默认的凭证匹配器

public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {

Object tokenCredentials = this.getCredentials(token);

Object accountCredentials = this.getCredentials(info);

return this.equals(tokenCredentials, accountCredentials);

}

必须要知道的类与接口,不然很难理解自定义Realm时属性为什么设置,使用哪种实现类方法等等:

以下代码或者截图贴出最重要的地方.

类继承关系

7302dc12553c35439b565d09c4aa65a3.png

3688038

AuthenticatingRealm类

abstract class AuthenticatingRealm{

//凭证匹配器 接口,其实现类做数据比对

private CredentialsMatcher credentialsMatcher;

//获取配置文件中的用户信息

protected abstract AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken var1) throws AuthenticationException;

}

该抽象方法返回类型AuthenticationInfo接口:

3354c26afc61719a0a7d2ba9e6d75b79.png

3688038

AuthorizingRealm类 抽象方法后面测试授权时使用

abstract class AuthorizingRealm{

//

//该抽象方法 获取数据 获取授权的数据

protected abstract AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection var1);

}

该抽象方法返回类型AuthorizationInfo接口:

f571b8ab769d58359eb6ca8b4911e370.png

3688038

CredentialsMatcher凭证匹配器接口:

其中:SimpleCredentialsMatcher是shiro中默认的凭证匹配器,其子类Hashxxx等都是做加密认证时使用

0f19ad89bea1f8a535dfbecbe613b00f.png

3688038

4.开发自定义Realm

public class MyRealm extends AuthenticatingRealm {

//实现抽象方法doGetAuthenticationInfo

@Override

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)

throws AuthenticationException {

String principal =(String) authenticationToken.getPrincipal();

//查库取回User对象

SqlSession sqlSession = null;

try {

sqlSession = MySqlSession.getSqlSession();

} catch (IOException e) {

e.printStackTrace();

}

UserMapper mapper = sqlSession.getMapper(UserMapper.class);

User user = mapper.queryUserByUserName(principal);

AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(principal,user.getPassword(),this.getName());

return authenticationInfo;

}

}

4.1通知shiro使用自定义realm

[main]

#自定义 realm

customRealm=com.nyist.test.MyRealm

#将realm设置到securityManager

securityManager.realms=$customRealm

注意:需要导入一个jar

commons-logging

commons-logging

1.2

5.shiro的加密认证方式

5.1.使用shiro提供的Md5Hash类为一个字符串加密进行测试

public class TestMD5 {

public static void main(String[] args) {

Md5Hash hash = new Md5Hash("123456","salt",1024);

String s = hash.toHex();

System.out.println(s);

//a18d2133f593d7b0e3ed488560404083

}

}

5.2.修改配置文件,加入凭证匹配器的相关配置

[main]

#自定义凭证匹配器

hashedCredentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher

#凭证匹配器通知AuthenticatingRealm,由于自定义realm继承了AuthenticatingRealm,直接设置已有的MyRealm属性即可

#自定义 realm

customRealm=com.nyist.test.MyRealm

customRealm.credentialsMatcher=$hashedCredentialsMatcher

hashedCredentialsMatcher.hashAlgorithmName=MD5

hashedCredentialsMatcher.hashIterations=1024

#将realm设置到securityManager .realms使用set方式赋值

securityManager.realms=$customRealm

坑:Caused by: java.lang.IllegalStateException: Required 'hashAlgorithmName' property has not been set. This is required to execute the hashing algorithm.

HashedCredentialsMatcher类中set方法非常规,set方法为:setHashAlgorithmName

为什么这么设置凭证匹配器?

89de7b8f0b580b182f39a92a30208dd1.png

3688038

自定义MyRealm extends AuthorizingRealm,实现两个抽象方法

AuthenticationInfo doGetAuthenticationInfo()来自于AuthenticatingRealm类,获取认证数据

AuthorizationInfo doGetAuthorizationInfo()来自于AuthorizingRealm类,获取授权数据

public class MyRealm extends AuthorizingRealm {

@Override

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)

throws AuthenticationException {

String principal =(String) authenticationToken.getPrincipal();

//userDao.queryUserByUserName

SqlSession sqlSession = null;

try {

sqlSession = MySqlSession.getSqlSession();

} catch (IOException e) {

e.printStackTrace();

}

UserMapper mapper = sqlSession.getMapper(UserMapper.class);

User user = mapper.queryUserByUserName(principal);

/*

* ByteSource.Util.bytes("salt") 盐字段来自数据库,凭证匹配器不能写死盐值

* 安全管理器可以获取到AuthenticationInfo中的盐值 对用户界面的凭证加密

* */

AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(principal,user.getPassword(),ByteSource.Util.bytes("salt"),this.getName());

return authenticationInfo;

}

@Override

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

//获取身份信息 Principal用户名、手机号、邮箱地址等 一个主体可以有多个身份,但是必须有一个主身份(Primary Principal)

String primaryPrincipal = (String) principalCollection.getPrimaryPrincipal();

/*

* 用户----角色----权限

* 中间表 中间表

* */

//由primaryPrincipal查库--->获得角色info ---->获取权限info

SqlSession sqlSession = null;

try {

sqlSession = MySqlSession.getSqlSession();

} catch (IOException e) {

e.printStackTrace();

}

UserMapper mapper = sqlSession.getMapper(UserMapper.class);

User user = mapper.queryUserByUserName(primaryPrincipal);

//测试基于角色的授权

/*if (primaryPrincipal.equals(user.getUsername())){

// class SimpleAuthorizationInfo implements AuthorizationInfo

SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();

authorizationInfo.addRole("super");

return authorizationInfo;

}*/

//测试基于资源的授权

if(primaryPrincipal.equals(user.getUsername())){

SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();

authorizationInfo.addStringPermission("user:delete");

authorizationInfo.addStringPermissions(Arrays.asList("admin:delete","admin:add"));

return authorizationInfo;

}

return null;

}

}

一张图看懂认证授权关系:

124532.png

64e96a7794e1d45d5d66a6e43e6ec896.png

3688038

授权的api

基于角色 //判断当前主体是否包含此角色

boolean b = subject.hasRole("super");

List list = Arrays.asList("super", "admin");

//判断当前主体是否包含某个角色

boolean[] booleans = subject.hasRoles(list);

//判断当前主体是否包含全部的角色

boolean b = subject.hasAllRoles(list);

基于资源 boolean b = subject.isPermitted("admin:delete");

String[] strs={"admin:delete", "admin:add"};

boolean[] permitted = subject.isPermitted(strs);

boolean permittedAll = subject.isPermittedAll(strs);

资源权限的标识符

权限字符串的规则是:“资源标识符:操作:资源实例标识符”,意思是对哪个资源的哪个实例具有什么操作,“:”是资源/操作/实例的分割符,权限字符串也可以使用*通配符。

例子:

用户创建权限:user:create,或user:create:*

用户修改实例001的权限:user:update:001

用户实例001的所有权限:user:*:001

Java-SpringBoot:用户认证(Authentication)和用户授权(Authorization)
embelfe_segge的博客
05-14 7799
Java-SpringBoot-2 学习视频:B站 狂神说Java – https://www.bilibili.com/video/BV1PE411i7CV 学习文档: 微信公众号 狂神说 –https://mp.weixin.qq.com/mp/homepage?__biz=Mzg2NTAzMTExNg==&hid=1&sn=3247dca1433a891523d9e4176c90c499&scene=18&uin=&key=&devicetype=Win
java使用token实现认证_Java,SpringBoot采用token方式实现登录认证
weixin_31869579的博客
03-02 1539
Token,令牌,访问资源的凭证,每次访问带上这个令牌,就可识别出用户身份。JWT (JsonWebToken),是实现token技术的一种解决方案,由三部分组成: header(头)、payload(载体)、signature(签名)。1、头:HS384 HS512 RS256 RS384 RS512 ES256 ES384 ES512 PS256 PS3842、载体:iss:Issuer,发行...
java用户角色权限框架_springBoot+springSecurity 数据库动态管理用户、角色、权限
weixin_39632397的博客
02-25 755
使用spring Security3的四种方法概述那么在Spring Security3的使用中,有4种方法:一种是全部利用配置文件,将用户、权限、资源(url)硬编码在xml文件中,已经实现过,并经过验证;二种是用户和权限用数据库存储,而资源(url)和权限的对应采用硬编码配置,目前这种方式已经实现,并经过验证。三种是细分角色和权限,并将用户、角色、权限和资源均采用数据库存储,并且自定义过滤器,...
java token身份认证_java – 基于Spring Security Token的身份验证
weixin_34194499的博客
02-13 385
以下是我能够实现基于令牌的身份验证和基本身份验证的方法SpringSecurityConfig.java@Configuration@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter{@Overridepublic void configure(final Authentication...
shiro-attack-4.7.0-SNAPSHOT-all.zip
10-24
Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能,广泛应用于各种类型的Java应用程序中。标题提到的"shiro-attack-...
liu_guo_feng-shiro-demo-master_java_源码.zip
10-18
通过分析这个源码示例,我们可以学习到如何在实际项目中配置和使用Shiro,实现用户认证授权、会话管理等核心功能,为我们的Java应用构建一套安全可靠的防护体系。同时,对于Shiro的扩展和自定义,例如自定义Realm...
基于Java和SpringBoot的Shiro权限认证授权整合实践源码
09-28
通常,认证过程涉及用户登录,需要对用户提交的凭证进行验证,而授权过程则是在用户认证通过之后,基于角色或权限控制用户对系统资源的访问。在Shiro框架中,可以通过配置Realm来实现用户身份验证和权限检查。开发者...
权限管理_Java_Spring_MyBatis_Shiro_1744311687.zip
最新发布
04-12
在软件开发领域,权限管理是一个至关重要的环节,它涉及到用户身份验证、访问控制以及安全策略的实施,确保系统的资源只能被授权用户访问。Java作为广泛使用的编程语言,其生态系统中有一套成熟的框架可以帮助开发者...
FEBS-Shiro-mysql.zip_FEBS-Shiro-mysql_FebsProperties_W9AP_shiro
09-20
《FEBS-Shiro-mysql:基于Spring BootShiro的权限管理系统详解》 在现代Web应用开发中,权限管理是一个至关重要的环节,它涉及到用户的身份验证授权以及会话管理等多个方面。本文将深入探讨“FEBS-Shiro-mysql...
Java实现Token登录验证(基于JWT的token认证实现)
shuux666的博客
03-12 3万+
文章目录 一、JWT是什么? 二、使用步骤 1.项目结构 2.相关依赖 3.数据库 4.相关代码 三、测试结果 一、JWT是什么? 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 1、客户端使用用户名和密码请求登录 2、服务端收到请求,验证用户名和密码 3、验证成功后,服务端会签发一个token,再把这个token返回给客户端 4、客户端收到token后可以把它存储起来,比如放到cookie中 5、客户端每次向服务端请求资源时需要携带服务端签发的token,可以在co
Java Spring Security OAuth2.0 通过token 获取用户信息(ID)
xiaobai_notexc的博客
05-25 5248
解密token获取用户信息
java session缓存_java - 如何将AuthenticatedWebSession存储在分布式内存缓存中 - 堆栈内存溢出...
weixin_31040629的博客
03-06 205
我正在尝试将wicket-6应用程序部署到kubernetes集群中,以便提高可用性并更好地分配Web应用程序的负载。这是一个有状态的Web应用程序,因为我正在扩展AuthenticatedWebSession。 这个会话对象我想存储在像Apache Ignite这样的分布式缓存中,这样我就不需要在我的负载均衡器上使用粘性会话了。问题是我的实现已将AuthenticationManager注入A...
Java中的认证授权机制
微赚淘客系统开发者博客
07-23 1136
使用Spring Security,可以有效地配置基于表单登录的认证、OAuth2授权以及OpenID Connect身份验证。无论是实现基础的认证机制,还是集成复杂的OAuth2和OpenID Connect协议,Spring Security都提供了丰富的支持,帮助开发者构建安全的应用程序。认证验证用户身份的过程,而授权是确定用户是否有权限访问特定资源的过程。Spring Security是一个功能强大的安全框架,提供了认证授权的全面支持。以下是一个简单的基于表单登录的认证配置示例。
dogetauthenticationinfo抛出的错误无法捕获_OOM不可捕获?
weixin_39640414的博客
12-30 367
一、前言相信了解过java异常机制的就知道,异常都是继承自Throwable,主要分为Error和Exception。Error一般代表虚拟机错误,即用户无法处理的异常,而Exception分为受检异常和非受检异常,这里就不详细描述了。Exception的继承关系Error的继承关系二、场景领导喊我写完一个图片处理的工具,领导觉得可能性能堪忧,然后让我进行压测,我在压测过程中发现有些请求报了OOM...
在A系统中自动登录B系统,通过内嵌iframe进行B系统的免密自动登录进行实现
xcdsdf14545的博客
07-02 7420
下面的为A系统登录后跳转的首个页面,在A系统的页面中内嵌iframe,对B系统进行免密自动登录 !<!DOCTYPE html> <html> <head> <title></title> </head> <body> <iframe src="http://localhost:9090/jeeplus_war/a/unifiedAuthentication/zzz?cid=admin"><...
Java-中软-12 springboot——用shiro实现认证&授权
weixin_43296415的博客
08-04 264
导入jar包 pom.xml: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.3.2</version> </dependency> 认证 创建reaml包,然
Shiro登录身份认证(从SecurityUtils.getSubject().login(token))到Realm的doGetAuthenticationInfo
热门推荐
╃緣分天空╃
06-23 4万+
ssm框架下,controller接收到登录请求交给Service并开始处理流程:1.Service的login方法:@Service public class SysUserServiceImpl implements SysUserService { @Autowired SysUserMapper mapper; @Override public Login...
shiro dogetauthenticationinfo 不执行_Shiro—强大且易用的Java安全框架
weixin_39673704的博客
12-18 700
配套视频:shiro安全框架课程教程_java进阶之Apache Shiro权限验证框架视频讲解_Shiro从入门到实践_哔哩哔哩 (゜-゜)つロ 干杯~-bilibili​www.bilibili.com百度网盘链接:https://pan.baidu.com/s/1TT6_odMoC5eAuWdmMETjVg 提取码:v4y2 本文主要内容1. Shiro简介2. Shiro架构原理3. IN...
深入解析liu_guo_feng-shiro-demo-master的Java源码
结合以上知识点,我们可以推理出,此压缩文件可能包含一个基于Apache Shiro框架的Java Web项目演示代码,用于演示如何集成Shiro进行用户认证授权以及会话管理等功能。开发者可以使用这个演示项目来学习Shiro框架的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值