2. 程式人生 > >Shiro 筆記 身份驗證

Shiro 筆記 身份驗證

阿新 發佈:2018-11-13

https://www.w3cschool.cn/shiro/xgj31if4.html

shiro筆記。

package com.dudu.course1;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.junit.Assert;
import org.junit.Test;

/**
 * 身份驗證
 * 身份驗證,即在應用中誰能證明他就是他本人。一般提供如他們的身份 ID 一些標識資訊來表明他就是他本人,如提供身份證,使用者名稱 / 密碼來證明。
 * 在 shiro 中,使用者需要提供 principals (身份)和 credentials(證明)給 shiro,從而應用能驗證使用者身份:
 * principals:身份,即主體的標識屬性,可以是任何東西,如使用者名稱、郵箱等,唯一即可。一個主體可以有多個 principals,但只有一個 Primary principals,一般是使用者名稱 / 密碼 / 手機號。	
 * credentials:證明 / 憑證,即只有主體知道的安全值,如密碼 / 數字證書等。
 * 最常見的 principals 和 credentials 組合就是使用者名稱 / 密碼了。接下來先進行一個基本的身份認證。	
 * 另外兩個相關的概念是之前提到的 Subject 及 Realm,分別是主體及驗證主體的資料來源。
 * @author xl
 * 首先通過 new IniSecurityManagerFactory 並指定一個 ini 配置檔案來建立一個 SecurityManager 工廠;
 * 接著獲取 SecurityManager 並繫結到 SecurityUtils,這是一個全域性設定,設定一次即可;
 * 通過 SecurityUtils 得到 Subject,其會自動繫結到當前執行緒;如果在 web 環境在請求結束時需要解除繫結;然後獲取身份驗證的 Token,如使用者名稱 / 密碼;
 * 呼叫 subject.login 方法進行登入,其會自動委託給 SecurityManager.login 方法進行登入;
 * 如果身份驗證失敗請捕獲 AuthenticationException 或其子類,常見的如: DisabledAccountException(禁用的帳號)、LockedAccountException(鎖定的帳號)、UnknownAccountException(錯誤的帳號)、ExcessiveAttemptsException(登入失敗次數過多)、IncorrectCredentialsException (錯誤的憑證)、ExpiredCredentialsException(過期的憑證)等,具體請檢視其繼承關係;對於頁面的錯誤訊息展示,最好使用如 “使用者名稱 / 密碼錯誤” 而不是 “使用者名稱錯誤”/“密碼錯誤”,防止一些惡意使用者非法掃描帳號庫;
 * 最後可以呼叫 subject.logout 退出,其會自動委託給 SecurityManager.logout 方法退出。
 * 從如上程式碼可總結出身份驗證的步驟:
 * 收集使用者身份 / 憑證,即如使用者名稱 / 密碼;
 * 呼叫 Subject.login 進行登入,如果失敗將得到相應的 AuthenticationException 異常,根據異常提示使用者錯誤資訊;否則登入成功;
 * 最後呼叫 Subject.logout 進行退出操作。
 * 如上測試的幾個問題:
 * 使用者名稱 / 密碼硬編碼在 ini 配置檔案,以後需要改成如資料庫儲存,且密碼需要加密儲存;
 * 使用者身份 Token 可能不僅僅是使用者名稱 / 密碼,也可能還有其他的,如登入時允許使用者名稱 / 郵箱 / 手機號同時登入。
 * 
 */
public class ShiroTest1 {
	
	@Test
	public void helloWorld(){
		//1、獲取SecurityManager工廠,此處使用Ini配置檔案初始化SecurityManager
		IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
		//2、得到SecurityManager例項 並繫結給SecurityUtils 
		SecurityManager securityManager = factory.getInstance();
		SecurityUtils.setSecurityManager(securityManager);
		//3、得到Subject及建立使用者名稱/密碼身份驗證Token(即使用者身份/憑證)
		Subject subject = SecurityUtils.getSubject();
		UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");
		try {
			//4、登入,即身份驗證
	        subject.login(token);
		} catch (Exception e) {
			e.printStackTrace();
		}
		//斷言用於測試相當於if
		Assert.assertEquals(true, subject.isAuthenticated()); //斷言使用者已經登入
		    //6、退出
		subject.logout();
	}
}

 

相關推薦

Shiro 筆記 身份驗證

https://www.w3cschool.cn/shiro/xgj31if4.html shiro筆記。 package com.dudu.course1; import org.apache.shiro.SecurityUtils; import org.apache.shiro.au

Shiro:學習筆記(1)——身份驗證

wan param import println cal 類型 classname zhang ets Shiro——學習筆記(1) 1.核心概念 1.Shiro不會自己去維護用戶、維護權限;這些需要我們自己去設計/提供;然後通過相應的接口註入給Shiro。2.應用代碼直接

Shiro學習筆記(2)——身份驗證之Realm

環境準備 建立java工程 需要的jar包 大家也可以使用maven,參考官網 什麼是Realm 在我所看的學習資料中,關於Realm的定義,寫了整整一長串,但是對於初學者來說,看定義實在是太頭疼了。 對於什麼是Realm,我使用

Shiro學習之身份驗證

druid 進行 out 總結 文件 sele path iss .get 身份驗證,即在應用中誰能證明他就是他本人。一般提供如他們的身份ID一些標識信息來表明他就是他本人,如提供身份證,用戶名/密碼來證明。 在shiro中,用戶需要提供principals (身份)和cr

shiro多realm驗證之——shiro實現不同身份使用不同Realm進行驗證(轉)

manager 數據表 edi 用戶驗證 clas tails oauth false bject 轉自: http://blog.csdn.net/xiangwanpeng/article/details/54802509

Shiro安全框架簡介以及身份驗證

退出 ica 報錯 資源 帳戶 rac localhost file 手機號 一、Shiro簡介 官網 http://shiro.apache.org/download.html Apache Shiro是一個強大且易用的Java安全框架,執行身份驗證、授權、密碼學和會話

shiro身份驗證

hello nds 郵箱 使用 自己 ger logout 如果 art 身份驗證,即在應用中誰能證明他就是他本人。一般提供如他們的身份ID一些標識信息來表明他就是他本人,如提供身份證,用戶名/密碼來證明。 在shiro中,用戶需要提供principals (身份)和cre

shiro基於表單的攔截器身份驗證、基於 Basic 的攔截器身份驗證,普通身份驗證的區別

目錄 普通身份驗證與基於表單的攔截器、基於basic的攔截器身份驗證的區別? 普通身份驗證的一個缺點就是,永遠返回到同一個成功頁面(比如首頁),在實際專案中比如支付時如果沒有登入將跳轉到登入頁面,登入成功後再跳回到支付頁面;對於這種功能大家可以在登入時把

第二章 身份驗證——《跟我學Shiro》[張開濤]

身份驗證,即在應用中誰能證明他就是他本人。一般提供如他們的身份ID一些標識資訊來表明他就是他本人,如提供身份證,使用者名稱/密碼來證明。 在shiro中,使用者需要提供principals (身份)和credentials(證明)給shiro,從而應用能驗證使用者身份: p

Shiro中最簡單的一個身份驗證例子

Shiro作為一個Java安全框架,身份驗證是它最基本的功能。 首先給出shiro的Maven配置 <dependencies> <dependency>

OWASP top 10 (2017) 學習筆記--失效的身份驗證

A2:2017 - 失效的身份驗證 漏洞描述: 通過錯誤使用應用程式的身份認證和會話管理功能,攻擊者能夠破譯密碼、金鑰或會話令牌,或者利用其它開發缺陷來暫時性或永久性冒充其他使用者的身份。 漏洞影響: 攻擊者只需要訪問幾個帳戶,或者只需要一個管理員帳戶就可以破壞我們的系統。根據應用程式領域的不同,可能

Shiro處理簡單的身份驗證的分析及例項

在兩天在看Shiro,開濤兄的教程還是寫的比較易讀,差不多看了一天吧,就準備拿來用了。 可能是想的太簡單了,在用的時候確實碰到一些問題,就拿最簡單的身份驗證來說吧: 需要說明的是,這裡是整合在Spring中使用,身份驗證我直接使用了Shiro提供的

Django學習筆記4 使用者註冊和身份驗證、登入、登出、註冊

1. 使用者註冊和身份驗證 1.建立另一個應用程式users 在專案中新建users python manage.py startapp users 新增應用到settings.py中的INSTALLED_APPS列表中 INSTALLED_APP

菜鳥學習shiro之實現自定義的Realm,從而實現登入驗證身份驗證和許可權驗證4

講了那麼多使用的內建的類從而實現四郎,現在講自定義的境界 首先行家的依賴依然是第一篇的那個依賴 下邊是自定義的境界: import org.apache.shiro.authc.AuthenticationException; import org.apache.shi

shiro身份驗證授權入門

一、 介紹: shiro是apache提供的強大而靈活的開源安全框架,它主要用來處理身份認證,授權,企業會話管理和加密。 shiro功能:使用者驗證、使用者執行訪問許可權控制、在任何環境下使用session API,如cs程式。可以使用多資料來源如同時使用o

Shiro連載-----2.Shiro身份驗證

身份驗證,即在應用中誰能證明他就是他本人。一般提供如他們的身份ID一些標識資訊來表明他就是他本人,如提供身份證,使用者名稱/密碼來證明。 在shiro中,使用者需要提供principals (身份)和credentials(證明)給shiro,從而應用能驗證使用者身份:

shiro學習一 (開濤的跟我學系列 ) 身份驗證

1.簡介 Apache Shiro是Java的一個安全框架。可以幫助我們完成:認證、授權、加密、會話管理、與Web整合、快取等。 其基本功能點如下圖所示: 四大核心(Primary Concerns) Authentication:身份認證/

shiro學習筆記 過濾器 shiro 表單 驗證碼 登入

自己自定義實現了一個驗證碼錶單過濾器,基於FormAuthenticationFilter 程式碼如下: package cn.ddsxy.ddlx.shiro; import cn.ddsxy.ddlx.util.CaptchaUtil; import org.apac

Token:服務端身份驗證的流行方案

rst 服務 方案 app 過程 組件圖 wav hit margin 01- 身份認證 服務端提供資源給客戶端,但是某些資源是有條件的。所以服務端要能夠識別請求者的身份,然後再判斷所請求的資源是否可以給請求者。 token是一種身份驗證的機制,初始時用戶提交賬號數據

(一)Shiro筆記——簡介、 架構分析

isp 網絡爬蟲 png struts web subject nts 決定 img 1. Shiro是什麽   Apache Shiro是一個強大靈活的開源安全框架,可以完全處理身份驗證,授權,企業會話管理和加密。  Apache Shiro的首要目標是易於使用和理解。