博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
2. Shiro 身份验证
阅读量:3947 次
发布时间:2019-05-24

本文共 6900 字,大约阅读时间需要 23 分钟。

本篇参考张开涛《跟我学Shiro》

文章目录

身份验证

简单来说就是在应用中谁能证明他就是本人。一般提供他们的身份信息来表明他就是他本人,比如说提供身份证,用户名/密码来证明。

在 Shiro 中,用户需要提供 principals 身份和 credentials 证明给 Shiro ,从而应用能验证用户身份;

  1. principals:身份,就是主体的标识属性,可以是任何东西,比如用户名、邮箱等等,只要是唯一即可。一个主体可以有多个身份,但只能有一个身份证明,一般是用户名/密码/手机号。
  2. credentials:证明/凭证,就是只有主体才知道的安全信息,比如密码。最常见的 principals 和 credentials 组合就是用户名和密码了。

代码实现

1. 添加依赖

首先添加 junit、common-logging及shiro-core 的依赖:

           
                
     
      junit
                 
     
      junit
                 
     
      4.9
             
            
                
     
      commons-logging
                 
     
      commons-logging
                 
     
      1.1.3
             
            
                
     
      org.apache.shiro
                 
     
      shiro-core
                 
     
      1.2.2

2. 准备 shiro.ini 文件

此处使用 ini 配置文件,配置一下用户的基本信息

[users]javaboy=123

3. 测试代码

import org.apache.shiro.SecurityUtils;import org.apache.shiro.authc.AuthenticationException;import org.apache.shiro.authc.UsernamePasswordToken;import org.apache.shiro.config.IniSecurityManagerFactory;import org.apache.shiro.mgt.SecurityManager;import org.apache.shiro.subject.Subject;import org.apache.shiro.util.Factory;import org.junit.Assert;/** * @Author: 红颜祸水nvn 
   
     * @Description: CSDN 
    
      */public class TestHelloWorld {
       public static void main(String[] args) {
           // 1.获取 SecurityManager 工厂,此处使用 ini 配置文件初始化 SecurityManager        Factory
     
       factory = new IniSecurityManagerFactory("classpath:shiro.ini");        // 2.得到 SecurityManager 实例,并绑定给 SecurityUtils        SecurityManager securityManager = factory.getInstance();        SecurityUtils.setSecurityManager(securityManager);        // 3.得到 Subject 及创建用户名/密码身份验证 Token        Subject subject = SecurityUtils.getSubject();        UsernamePasswordToken token = new UsernamePasswordToken("javaboy", "123");        try {
               // 4.登陆(身份验证)            subject.login(token);        } catch (AuthenticationException e) {
               // 5.身份验证失败            System.out.println("用户名或密码错误");        }        // 断言用户已经登陆        Assert.assertEquals(true,subject.isAuthenticated());        // 6.退出        subject.logout();        System.out.println("登陆成功且退出!");    }}

  1. 首先通过 new IniSecurityManagerFactory 指定一个 ini 配置文件来创建一个 SecurityManager 工厂;

  2. 接着获取 SecurityManager 并绑定到 SecurityUtils,这个一个全局设置,设置一次即可。

  3. 接着通过 SecurityUtils 得到 Subject,它会自动绑定到当前线程;如果 Web 环境在请求结束时需要解除绑定;然后获取身份验证的 Token,如用户名/密码;

  4. 调用 subject.login 方法进行登陆,它会自动委托给 SecurityManager.login 方法进行登陆,也就是说subject.login 实际上是 SecurityManger.login 方法来执行登陆操作的。

  5. 如果身份验证错误会出触发 AuthenticationException 异常,常见的有:

    DisabledAccountException:禁用的账号

    LockedAccountException:锁定的账号
    UnknownAccountException:错误的账号
    ExcessiveAttemptsException:登陆失败次数过多
    IncorrectCredentialsException:错误的凭证
    ExpiredCredentialsException:过期的凭证

  6. 最后可以调用 subject.logout 退出。

身份认证流程

在这里插入图片描述

  1. 首先调用 Subject.login(token) 进行登陆,它会自动委托给 Security Manager ,调用之前必须通过 SecurityUtils.setSecurityManager() 来设置。
  2. SecurityManager 负责真正的身份验证逻辑;它会交给 Authenticator 进行身份验证;
  3. Authenticator 才是真正的身份校验者。Shiro API 的核心身份认证入口点,此处可以自定义实现方案。
  4. Authenticator 可能会交给相应的 AuthenticationStrategy 进行多 Realm 身份校验,默认 ModularRealmAuthenticator 会调用 AuthenticationStrategy 继续多 Realm 身份校验;
  5. Authenticator 会把相应的 token 传入 Realm 中,从 Realm 中拿到身份验证信息如果拿到了返回的信息或者中途没有抛出异常表示身份验证成功了。此处可以配置多个 Realm,将按照相应的顺序及策略进行访问。

Realm 的简单介绍

Realm:我们可以称作 “域”,Shiro 从 Realm 获取安全数据。

简单来说就是 SecurityManager 要验证用户身份,那么它就需要从 Realm 中获取相应的用户进行比对来确认用户身份是否合法;

当然也需要从 Realm 中得到用户相应的权限进行验证用户是否能够操作;

可以将 Realm 看作 DataSource,就是安全数据源。例如我们之前的 ini 配置文件方式就是这种方式。

org.apache.shiro.realm.Realm 接口如下:

在这里插入图片描述

// 返回一个唯一的 Realm 名字String getName(); // 判断此 Realm 是否支持此 Tokenboolean supports(AuthenticationToken token);// 根据Token 获取认证信息AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException;

自定义 Realm

我们可以自定义一个类来实现 Realm 接口:

import org.apache.shiro.authc.*;import org.apache.shiro.realm.Realm;/** * @Author: 红颜祸水nvn 
   
     * @Description: CSDN 
    
      */public class MyRealm implements Realm {
       @Override    public String getName() {
           return "MyRealm";    }    @Override    public boolean supports(AuthenticationToken token) {
           // 仅仅支持 UsernamePassworkToken 类型的 Token        return token instanceof UsernamePasswordToken;    }    @Override    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
           // 通过 token.getPrincipal 拿到用户名        String username = (String) token.getPrincipal();        // 通过 token.getCredentials 拿到密码        String password = new String((char[]) token.getCredentials());        if (!"javaboy".equals(username)) {
               // 用户名错误            throw new UnknownAccountException();        }        if (!"123".equals(password)) {
               // 密码错误            throw new IncorrectCredentialsException();        }        // 如果身份校验成功,返回一个 AuthenticationInfo        return new SimpleAuthenticationInfo(username, password, getName());    }}

ini 配置文件指定自定义 Realm 实现,首先创建一个 shiro-realm.ini 文件

# 声明一个 RealmmyRealm=org.shiro.test.MyRealm# 指定 securityManager 的 realms 实现securityManager.realms=$myRealm

通过 $name 来引入自定义的 realm

测试时只需要将之前加载的 shiro.ini 配置文件修改一下即可。

在这里插入图片描述

多 Realm 配置

还是在 ini 配置文件中进行修改

# 声明一个 realmmyRealm1=org.shiro.test.MyRealm1myRealm2=org.shiro.test.MyRealm2# 指定 securityManager 的 realms 实现securityManager.realms=$myRealm1,$myRealm2

securityManager 会按照 realms 指定的顺序进行身份验证。我们也可以使用显示指定顺序的方式指定 Realm 的顺序,如果删除 “securityManager.realms= m y R e a l m 1 , myRealm1, myRealm1,myRealm2”,那么 securityManager 会按照 realm 声明的顺序进行使用,但是当我们显示指定 realm 后,其他没有指定 realm 将被忽略。例如:“securityManager.realms=$myRealm1”,那么 myRealm2 不会被自动设置进去。

测试同上一样。

Shiro 默认提供的 Realm

在这里插入图片描述

主要的实现如下:

  • org.apache.shiro.realm.text.IniRealm:

    [users]用来指定用户名/密码及其角色;

    [roles]用来指定角色权限信息;

  • org.apache.shiro.realm.text.PropertiesRealm:

    user.username=password,role1,role2 指定用户名/密码及其角色;

    role.role1=permission1,permission2 指定角色及权限信息;

  • org.apache.shiro.realm.jdbc.JdbcRealm:

    通过 sql 查询相应的信息:

// 获取用户密码select password from users where username=?// 获取用户密码及盐select password,password_salt from users where username=?// 获取用户角色select role_name from user_roles where username=?// 获取角色对应的权限信息select permission from roles_permissions where role_name=?

Authenticator 及 AuthenticationStrategy

Authenticator 的作用就是验证用户账号,是 Shiro API 中身份验证核心的入口点:

public AuthenticationInfo authenticate(AuthenticationToken authenticationToken)  throws AuthenticationException;

如果验证成功,将返回 AuthenticationInfo 验证信息,信息中包含了身份和凭证;如果验证失败将抛出相应的 AuthenticationException 异常。

SecurityManager 接口继承了 Authenticator ,另外还有一个 ModularRealmAuthenticator 实现,其委托给多个 Realm 进行验证,验证规则通过 AuthenticationStrategy 接口指定,默认提供的实现:

  • FirstSuccessfulStrategy:只要有一个 Realm 验证成功,只返回第一个 Realm 身份验证成功的认证信息,其他的都会被忽略。
  • AtLeastOneSuccessfulStrategy:只要有一个 Realm 验证成功即可,和 FirstSuccessfulStrategy 不同,返回所有 Realm 身份验证成功的认证信息。
  • AllSuccessfulStrategy:所有的 Realm 验证成功才算成功,且返回所有的 Realm 身份验证成功的认证信息,如果有一个失败就全部失败。
你可能感兴趣的文章
报名启动!巨杉数据库 2021 湖仓一体技术大赛带你进入分布式技术的星辰大海
查看>>
python的collections
查看>>
J2ME程序开发新手入门九大要点
查看>>
双向搜索算法
查看>>
日本GAME製作方式
查看>>
移动行业术语资料
查看>>
3G到来将全面颠覆SP、CP游戏规则
查看>>
射击游戏中跟踪弹及小角度移动的开发
查看>>
播放声音文件的完整源代码
查看>>
J2ME编程最佳实践之灵活的RMS应用
查看>>
MOBILE FIRST: HOW TO APPROACH MOBILE WEBSITE TESTING? 移动优先:如何处理移动网站测试?
查看>>
开始使用Retrofit 2 HTTP 客户端
查看>>
对于初学者练习的6个开源项目
查看>>
保持冷静和需要打破的东西:软件测试初学者
查看>>
如何通过连接您的业务应用程序来节省时间
查看>>
熟悉现代JavaScript的培训计划
查看>>
7本书从小工到数据分析专家
查看>>
程序设计的基本原则:栈和堆
查看>>
Android应用程序架构
查看>>
Android:绘制自定义视图
查看>>
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!-- 愿君每日到此一游!
当前时间: 2024-09-18 20:32:49   当前IP: 18.225.56.120   联系邮箱:javaeecc@qq.com     Copyright © 2020 - 2022 baihongyu.com 京ICP备2021015314号-2
强烈建议你试试无所不能的CHAT-GPT,快点击我
强烈建议你试试无所不能的CHAT-GPT,快点击我