2. 程式人生 > >【Apache Shiro】學習筆記——Authentication基礎

【Apache Shiro】學習筆記——Authentication基礎

阿新 發佈:2019-01-08

從Authentication一步步學習。 j_0003.gif

wKioL1N8fCLgEZtQAABxbR1PGeM813.jpg

先從程式碼開始,執行後再慢慢研究。

以下是我新增的dependecies:

<!-- shiro -->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>${shiro.version}</version>
</dependency>
<dependency>
<groupId>
 
org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>${shiro.version}</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-web</artifactId>
<version>${shiro.version}</version
 
>
</dependency>

在資源目錄下建立shiro.ini,檔案內容為:

[users]
king=t;stmdtkg
package pac.testcase.shiro;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.ExcessiveAttemptsException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.LockedAccountException;
import
 
 org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;

public class TestAuthen {
    public static void main(String[] args) {

Factory<SecurityManager> factory = new IniSecurityManagerFactory();
SecurityManager manager = factory.getInstance();
SecurityUtils.setSecurityManager(manager);

UsernamePasswordToken token = new UsernamePasswordToken("king", "t;stmdtkg");
token.setRememberMe(true);

Subject currentUser = SecurityUtils.getSubject();
try {
    currentUser.login(token);
} catch ( UnknownAccountException e ) { 
    System.out.println("你是誰?");
} catch ( IncorrectCredentialsException e ) {
    System.out.println("密碼錯誤!!");
} catch ( LockedAccountException e ) {
    System.out.println("該賬戶不可用~");
} catch ( ExcessiveAttemptsException e ) {
    System.out.println("別再試了!!");
}

currentUser.logout();

    }
}

程式碼非常好懂。

如果 IniSecurityManagerFactory 沒有指定配置檔案,則DEFAULT_INI_RESOURCE_PATH = "classpath:shiro.ini" 。

另外, SecurityUtils.setSecurityManager(manager);

該方法是一個全域性設定,設定整個VM單例的SecurityManager,一般開發中很少用到該方法。

另外,Shiro提供了豐富的Exception,我們可以根據不同的catch響應不同的提示。

關於身份驗證,有兩個重要的概念需要解釋:

・ Principals :身份(暫且這樣翻譯吧),Subject的唯一標識,可以是任何東西,比如使用者名稱或者e-mail地址。

・ Credentials :憑證,用於證明身份的東西,可以簡單理解為密碼。

一些類和方法的命名中如果出現這些詞彙不至於太陌生。

記錄一下身份驗證的具體步驟,用5個步驟簡單概括一下:

Step 1.

將代表使用者身份和憑證的token物件作為引數呼叫login方法。

Step 2.

在上面的程式碼中Subject物件實際上是作為一個用於委派(delegate)任務的物件――DelegatingSubject,以呼叫 login(token) 將驗證的任務委託給SecurityManager。

SecurityManager呼叫

    Subject login (Subject subject, AuthenticationToken authenticationToken)

這裡是驗證真正開始的地方。

Step 3.

作為一個'umbrella'元件(這個比喻很流行嗎...),接收token並將任務委託給內部的Authenticator(ps: SecurityManager extends henticator, Authorizer, SessionManager )並呼叫 authenticate (token) 方法。

通常情況下,這個authenticator是 ModularRealmAuthenticator ,ModularRealmAuthenticator可以在驗證時與多個realm進行交流。

Step 4.

如果配置了多個Realm,ModularRealmAuthenticator會用配置的驗證策略(AuthenticationStrategy )去進行多Realm驗證。驗證策略與每一個Realm的結果互動。

如果只配置了一個Realm,驗證策略則沒有任何意義。

Step 5.

呼叫 Realm 的 boolean supports (AuthenticationToken token) 確認Realm是否支援提交過來的token。

如果Realm支援提交過來的token,token將作為引數並呼叫:

    AuthenticationInfo getAuthenticationInfo (AuthenticationToken token)throws AuthenticationException ;

根據不同的token響應特定的驗證資訊(AuthenticationInfo)。

當一個應用配置了多個Realm,ModularRealmAuthenticator通過其內部的AuthenticationStrategy去定義驗證策略(好像說了句廢話....命名確實很棒...)。

舉個例子:

如果一個Realm成功驗證了一個token,而其他的Realm全部失敗了,此時我們應該如何認定驗證是成功還是失敗?

是全部通過才算成功?還是說其中一個通過即可?或者說其中特定幾個通過後是否有必要繼續考慮其他?

接下來,試著用程式碼體驗multi-Realm與AuthenticationStrategy。

Step 1.

實現org.apache.shiro.realm.Realm來自定義幾個Realm。

在getAuthenticationInfo方法中直接返回驗證資訊根本看不出驗證策略是否生效,於是我在一個Realm裡丟擲一個異常。

package pac.testcase.shiro.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.realm.Realm;

public class MyRealm1 implements Realm {

public String getName() {
return this.getClass().getName();
}

public boolean supports(AuthenticationToken token) {
return true;
}

public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token)
throws AuthenticationException {
if(!new String((char[])token.getCredentials()).equals("t;stmdtkg"))
throw new IncorrectCredentialsException();

return new SimpleAuthenticationInfo(token.getPrincipal(),token.getCredentials(),this.getName());
}
}

Step 2.

繼續使用本文開始時的程式碼,將自定義的幾個Realm配置到shiro.ini中。

realm0=pac.testcase.shiro.realm.MyRealm0
realm1=pac.testcase.shiro.realm.MyRealm1

Step 3.

在shiro.ini中配置驗證策略。

realm0=pac.testcase.shiro.realm.MyRealm0
realm1=pac.testcase.shiro.realm.MyRealm1

authcStrategy = org.apache.shiro.authc.pam.AllSuccessfulStrategy
securityManager.authenticator.authenticationStrategy = $authcStrategy

Step 4.

執行程式,輸出"密碼錯誤!!"

AuthenticationStrategy 是無狀態的,處理一個驗證請求時AuthenticationStrategy會一共互動4次。

分別是:

・任何一個Realm執行之前。

・每個Realm的getAuthenticationInfo方法被呼叫之前。

・每個Realm的getAuthenticationInfo方法被呼叫之後。

・所有的Realm執行之後。

另外,從所有成功的Realm中聚集結果並將其繫結到一個AuthenticationInfo也是AuthenticationStrategy的工作。

這個最後聚集起來的驗證資訊則是Shiro用來表示Subject的標誌,也就是所謂Principal。

具體體現在 org.apache.shiro.authc.pam.ModularRealmAuthenticator 中:

protected AuthenticationInfo doMultiRealmAuthentication(Collection<Realm> realms, AuthenticationToken token) {

AuthenticationStrategy strategy = getAuthenticationStrategy();

AuthenticationInfo aggregate = strategy.beforeAllAttempts(realms, token);

if (log.isTraceEnabled()) {
log.trace("Iterating through {} realms for PAM authentication", realms.size());
}

for (Realm realm : realms) {

aggregate = strategy.beforeAttempt(realm, token, aggregate);

if (realm.supports(token)) {

log.trace("Attempting to authenticate token [{}] using realm [{}]", token, realm);

AuthenticationInfo info = null;
Throwable t = null;
try {
info = realm.getAuthenticationInfo(token);
} catch (Throwable throwable) {
t = throwable;
if (log.isDebugEnabled()) {
String msg = "Realm [" + realm + "] threw an exception during a multi-realm authentication attempt:";
log.debug(msg, t);
}
}

aggregate = strategy.afterAttempt(realm, token, info, aggregate, t);

} else {
log.debug("Realm [{}] does not support token {}.  Skipping realm.", realm, token);
}
}

aggregate = strategy.afterAllAttempts(token, aggregate);

return aggregate;
}

Shiro預設提供了三種 AuthenticationStrategy 實現:

・ AtLeastOneSuccessfulStrategy :其中一個通過則成功。

・ FirstSuccessfulStrategy :其中一個通過則成功,但只返回第一個通過的Realm提供的驗證資訊。

・ AllSuccessfulStrategy :凡是配置到應用中的Realm都必須全部通過。

ModularRealmAuthenticator預設採用AtLeastOneSuccessfulStrategy,如果想用其他的驗證策略則需要自行配置。


轉自:http://www.tuicool.com/articles/MVFRr2N

相關推薦

Apache Shiro學習筆記——Authentication基礎

從Authentication一步步學習。  先從程式碼開始,執行後再慢慢研究。 以下是我新增的dependecies: <!-- shiro --> <dependency> <groupId>org.apache.shir

Unity 3D學習筆記三十:遊戲元素——遊戲地形

nbsp 3d遊戲 strong 直觀 分辨率 == 摩擦力 fill 世界 遊戲地形 在遊戲的世界中,必然會有非常多豐富多彩的遊戲元素融合當中。它們種類繁多。作用也不大同樣。一般對於遊戲元素可分為兩種:經經常使用。不經經常使用。經常使用的元素是遊戲中比較重要的元素。一

Unity 3D學習筆記四十二:粒子特效

空間 獲得 material package 一個 log 創建 spa mpi 粒子特效 粒子特效的原理是將若幹粒子無規則的組合在一起。來模擬火焰,爆炸。水滴,霧氣等效果。要使用粒子特效首先要創建,在hierarchy視圖中點擊create——particle s

C語言學習筆記3——字符串

store 寫代碼 inf 變量類型 density scanf() 想要 限定符 tor 1. 字符串(charcacter string)是一個或多個字符的序列 2. C語言沒有專門用於存儲字符串的變量類型。字符串都被存儲在char類型的數組種。 3. 數組由連續的

C語言學習筆記7——指針與多維數組

一個 聲明 %d mage 分享圖片 技術分享 pan 最好 include 1. 聲明一個指向多維數組的指針 int (* pz) [2]; //pz指向一個內涵兩個int類型元素的數組 int * pax[2]; //pax 是一個內含兩個指針元素的

Unity 3D學習筆記四十三:布料

布料 布料是特殊的元件,它可以變化成任意形狀,比如說:隨風飄的旗子,窗簾等 建立布料的方法有兩種:建立布料物件,在遊戲物件中添加布料元件。前者通過hierarchy檢視中選擇create——cloth即可,建立後,系統會自動將互動布料元件(interactive clot

Unity 3D學習筆記三十四:遊戲元素——常用編輯器元件

常用編輯器元件 unity的特色之一就是編輯器視覺化,很多常用的功能都可以在編輯器中完成。常用的編輯器可分為兩種:原有元件和拓展元件。原有元件是編輯器原生的一些功能,拓展元件是編輯器智商通過指令碼拓展的新功能。 攝像機 攝像機是unity最為核心元件之一,遊戲介面中顯示的

TensorFlow-windows學習筆記六——變分自編碼器

前言 對理論沒興趣的直接看程式碼吧,理論一堆,而且還有點複雜,我自己的描述也不一定準確,但是程式碼就兩三句話搞定了。 國際慣例,參考博文 理論 基礎知識 似然函式(引自百度百科) 似然函式是關於統計模型中的引數的函式,

Unity 3D學習筆記四十四:路徑渲染

路徑渲染 路徑渲染屬於特效渲染元件,用於跟隨運動中的遊戲物件。首先在hierarchy檢視中,建立一個球體。然後在選單導航欄中選擇component——effects——trial renderer即可將路徑渲染元件新增至該球體物件中。 cast shadows:顯示陰

資料庫mysql篇學習筆記

      Windows服務 -- 啟動MySQL    net start mysql-- 建立Windows服務    sc create mysql binPath= mysqld_bin_path(注意:等號

theano-windows學習筆記十六——深度信念網路DBN

前言 前面學習了受限玻爾茲曼機(RBM)的理論和搭建方法, 如果稍微瞭解過的人, 肯定知道利用RBM可以堆疊構成深度信念網路(deep belief network, DBN)和深度玻爾茲曼機(deep Boltzmann machine), 這裡就先學習一下

設計模式學習筆記14:狀態模式(State)

public class GumballMachine { State soldOutState; State noQuarterState; State hasQuarterState; State soldState; State state = soldOutState; int c

4.14學習筆記

今天終於明白為什麼ret2libc 是覆蓋為:A*payload_lenth +system +exit()+/bin/sh 了因為當覆蓋後eip會擡高四個位元組:參考別人部落格裡的圖。所以/bin/sh是第一個引數,而exit()則是新的ret。

TensorFlow-windows學習筆記七——生成對抗網路

前言 既然學習了變分自編碼(VAE),那也必須來一波生成對抗網路(GAN)。 國際慣例,參考網址: 理論 粗略點的講法就說:一個生成器GG,一個判別器DD,前者用來將噪聲輸入轉換成圖片,後者判別當前輸入圖片是真實的還是生成的。 為了

Unity 3D學習筆記十:GUI Skin(圖形使用者介面面板)

Unity 學習筆記十 學習資料:《Unity 3D遊戲開發》 宣雨鬆 在這之前的學習的大部分控制元件用來開發遊戲還是太簡陋,為了讓遊戲更具娛樂性和美觀,所以我們就需要學習GUI Skin空間來為遊戲新增色彩。 首先在Project檢視中點選create---->

Apache-Shiroshiro配置詳解

Apache-Shiro旨在簡化身份驗證和授權,為企業應用提供安全解決方案。 1.配置web.xml <filter> <filter-name>shiroFilter</filter-name>

Apache Shiro Subject學習筆記

if ( !currentUser.isAuthenticated() ) { //collect user principals and credentials in a gui specific manner //such as username/password html form, X

Unity Shaders學習筆記之法線貼圖(七)

 一、簡介   法線貼圖是凸凹貼圖(Bump mapping)的一種常見應用,簡單說就是在不增加模型多邊形數量的前提下,通過渲染暗部和亮部的不同顏色深度,來為原來的貼圖和模型增加視覺細節和真實效果

Unity Shaders學習筆記之Shader簡介(一)

一、Shader簡介  Shader(著色器)實際上就是一小段程式,它負責將輸入的Mesh(網格)以指定的方式和輸入的貼圖或者顏色等組合作用,然後輸出。繪圖單元可以依據這個輸出將影象繪製到螢幕上。輸

theano-windows學習筆記十一——theano中與神經網路相關函式

前言 經過softmax和MLP的學習, 我們發現thenao.tensor中除了之前的部落格【theano-windows】學習筆記五——theano中張量部分函式提到的張量的定義和基本運算外, 還有一個方法稱為nnet, 如果自己實現過前面兩篇部落格中的程