Shiro 实战(二)-身份认证1 认证原理

1 认证原理

1.1 Principals与Credentials

认证就是进行身份确认的过程,也就是用户(对应Shiro中的Subject)需要提供证明来证实自己的身份 就像到自动取款机取款,持有银行卡的人就可以理解为此处的用户,银行卡的取款密码就是证明材料,如果输入正确的密码,就可以进行取款 在这个过程中,有两个概念,用户和证明材料,对应Shiro中的就分别是Principals与Credentials

1.2 认证步骤

要进行认证,我们需要先收集用户的Principals与Credentials 比如用户通过页面上的表单提交用户名和密码,APP用户通过提交手机号与短信验证码,然后交由服务端进行处理。

①服务端首先收集Principals与Credentials,对应Shiro的代码

UsernamePasswordToken token = new UsernamePasswordToken("username", "passwd");

这里我们使用Shiro中通过的用户名/密码认证方式,或者你可以实现AuthenticationToken接口来自定义

②接下来进行提交,对应代码

Subject currentUser = SecurityUtils.getSubject();
currentUser.login(token);

③认证结果

if (currentUser.isAuthenticated()) {
    // success do something
} else {
    // fail throw exception
}

1.3 认证原理

在了解了Shiro认证过程的基本代码操作后,我们来看下底层是到底如何实现 首先我们先通过Shiro官方给出的一张认证流程图来作全局的了解,看看底层认证都涉及到了哪些东西

① 获取Subject对象

然后收集用户的认证资料,调用Subject对象的login(token)方法

② 将方法的调用传递给底层的SecurityManager

DelegatingSubject作为Subject的实现,本身并不负责处理认证与授权的逻辑 本质上,DelegatingSubject只是SecurityManager的代理类,①中login(token)方法的调用,本质上调用的是SecurityManager接口的login(token)方法,而DefaultSecurityManager作为SecurityManager的默认实现,将调用Authenticator进行认证逻辑处理

③ Authenticator接口是Shiro API中的主要入口之一,就是用来负责应用中的认证操作的

该类作为顶级接口,只有一个authenticate(AuthenticationToken token)方法 而ModularRealmAuthenticator作为Shiro默认的认证处理实现类将会接过认证处理的枪,通过doAuthenticate(AuthenticationToken token)进行认证 源码如下

Collection<Realm> realms = getRealms();
if (realms.size() == 1) {
    return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);
} else {
    return doMultiRealmAuthentication(realms, authenticationToken);
}

④ 通常情况下应用中会使用单个的Realm来进行认证授权处理,但是强大的Shiro却支持配置多个Realm,在多个Realm对象存在的情况下,就需要指定认证策略AuthenticationStrategy ,Shiro提供了三种具体的认证策略实现

  • AtLeastOneSuccessfulStrategy:ModularRealmAuthenticator的默认实现,多个Realm中,如果有一个或以上认证通过,就表示认证成功
  • FirstSuccessfulStrategy:只使用第一个认证通过的Realm返回的信息,后面的Realm将会被忽略
  • AllSuccessfulStrategy:所有Realm认证通过才算认证成功,否则认证失败 ⑤ 通过Realm进行认证最终的逻辑判断,我们此处以应用只存在单个Realm来进行介绍。Realm首先会通过realm.supports(token)进行验证,验证Realm是否支持对应的token进行认证操作,如果返回true,将会进行认证逻辑处理,否则直接忽略认证逻辑,如果我们的应用只想处理授权,可以自定义Realm,并将supports方法返回false即可。

Realm会通过token与INI配置文件中的配置项进行对比,或者与我们数据库存储的数据进行对比,如果相同则认证通过。

1.4 IniRealm认证实现

Shiro默认使用IniRealm

但是前提是我们在INI配置中指定了[users]或[roles]有效配置数据,否则就会用配置中指定的securityManager的realms,如果两者都没有指定那么就会抛出错误,因为Shiro应用,至少要配置一个Realm

IniRealm在初始化onInit()时,会将已经加载的INI文件中的[users]、[roles]配置进行处理,分别转换为SimpleRole、SimpleAccount,再将SimpleAccount与SimpleRole进行绑定,至此,IniRealm对INI配置文件处理已经完毕。

但是认证的操作并没有完成,IniRealm仍需要与传递过来的token进行对比,判断是否相同,具体的判断逻辑交由AuthenticatingRealm来进行。

1.5 AuthenticatingRealm

AuthenticatingRealm是Realm的顶级抽象实现类

主要用于处理认证操作,至于授权等操作则交由该类的子类去处理。

AuthenticatingRealm拿到token后,会先去缓存中查找是否存在对应的认证信息,如果存在直接使用缓存中的认证信息与token进行比对,如果缓存中不存在,则直接获取IniRealm中的认证信息进行比对,比对通过后,返回认证成功的Subject对象。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏我叫刘半仙

原荐记一次服务器被植入挖矿木马cpu飙升200%解决过程

线上服务器用的是某讯云的,欢快的完美运行着Tomcat,MySQL,MongoDB,ActiveMQ等程序。突然一则噩耗从前线传来:网站不能访问了。 此项目是我...

51140
来自专栏移动端周边技术扩展

Cocoapods生成静态库(完整)

39850
来自专栏Seebug漏洞平台

使用 XML 内部实体绕过 Chrome 和 IE 的 XSS 过滤器

来源:BypassingXSSFiltersusingXMLInternalEntities 原作者:DavidLitchfield (david@davidl...

422100
来自专栏网络

代理工具shadowProxy之神出鬼没的切换IP地址

前言 在渗透测试过程中,往往会遇到特别“小气”的目标,稍微碰一下就封IP。这种情况下,我们很自然的想到通过网上大量的免费代理进行IP隐匿。 那么问题来了,难道拿...

40280
来自专栏赵俊的Java专栏

Shiro 集成 Spring

本章我们来学习 Shiro 集成 Spring,即在 Web 环境下如何使用 Shiro 来进行权限控制。

15120
来自专栏Android常用基础

Tinker-使用教程与原理分析(上)

前面我们讲解了AndFix的使用,这篇我们来讲解下微信的Tinker热修复,相比AndFix,Tinker的功能更加全面,更主要的是他支持gradle。他不仅做...

18710
来自专栏Felix的技术分享

《一个操作系统的实现》笔记(2)--保护模式

41080
来自专栏程序猿

SQL Server基础SQL脚本之分区表、分区方案

代码120行左右 本系列,几乎都是代码,记得当时写的时候用的是微软的官方实例数据库AdventureWorks_Data.mdf、AdventureWork...

44960
来自专栏NetCore

Identity Service - 解析微软微服务架构eShopOnContainers(二)

接上一篇,众所周知一个网站的用户登录是非常重要,一站式的登录(SSO)也成了大家讨论的热点。微软在这个Demo中,把登录单独拉了出来,形成了一个Service,...

27950
来自专栏互联网杂技

SpringBoot ( 十二 ) :SpringBoot 如何测试打包部署

有很多网友会时不时的问我,spring boot项目如何测试,如何部署,在生产中有什么好的部署方案吗?这篇文章就来介绍一下spring boot 如何开发、调试...

10620

扫码关注云+社区

领取腾讯云代金券