黑马程序员技术交流社区

标题: 【上海校区】Shiro学习笔记整理--身份校验 [打印本页]

作者: shjava    时间: 2017-10-19 17:02
标题: 【上海校区】Shiro学习笔记整理--身份校验
本帖最后由 shjava 于 2017-10-26 15:20 编辑

Shiro中,用户需要提供principals(身份)credentials(证明)shiro来进行身份的验证。
principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。
一个主体可以有多个 principals,但只有一个 Primary principals,一般是用户名/密码/手机号。
credentials:证明/凭证,即只有主体知道的安全值,如密码/数字证书等。
最常见的principalscredentials组合就是用户名/密码了。
演示一个简单的身份认证。
两个相关的概念是之前提到的SubjectRealm,分别是主体及验证主体的数据源。
【演示】:
1、新建maven子工程
[Java] 纯文本查看 复制代码
<projectxmlns="http://maven.apache.org/POM/4.0.0"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0
http://maven.apache.org/xsd/maven-4.0.0.xsd">
  
<modelVersion>4.0.0</modelVersion>
  
<parent>
  
<groupId>cn.oriki.project</groupId>
  
<artifactId>oriki-shiro-project</artifactId>
  
<version>0.0.1-SNAPSHOT</version>
  
</parent>
  
<artifactId>oriki-shiro-project-1</artifactId>
  
</project>
2、编写shiro.ini配置文件,配置登陆的账号和密码。一般开发中的账号密码会存储到数据库中。我们这里使用ini配置文件替代
[Java] 纯文本查看 复制代码
[users]
  
zhangsan=123
  
lisi=123



3、测试
步骤:
1、首先通过初始化IniSecurityManagerFactory并指定一个ini配置文件来创建一个SecurityManager工厂。
2、获取SecurityManager并绑定到SecurityUtils,这是一个全局设置,设置一次即可;
3、通过SecurityUtils得到Subject,其会自动绑定到当前线程;如果在web环境在请求结束时需要解除绑定;然后获取身份验证的Token,如用户名/密码;
4、调用subject.login进行登录,其会自动委托给SecurityManager.login方法进行登录;
如果身份验证失败请捕获AuthenticationException 或其子类,常见的如:DisabledAccountException(禁用的帐号)LockedAccountException(锁定的帐号)UnknownAccountException(错误的帐号)ExcessiveAttemptsException(登录失败次数过多)IncorrectCredentialsException(错误的凭证)ExpiredCredentialsException(过期的 凭证)等,具体请查看其继承关系;对于页面的错误消息展示,最好使用如用户名/密码错误而不是用户名错误”/“密码错误,防止一些恶意用户非法扫描帐号库;
5、最后可以调用subject.logout退出,其会自动委托给SecurityManager.logout方法退出。
[Java] 纯文本查看 复制代码
packagecn.oriki.shiro.test;
  
  
import org.apache.shiro.SecurityUtils;
  
import  org.apache.shiro.authc.AuthenticationException;
  
import  org.apache.shiro.authc.UsernamePasswordToken;
  
import  org.apache.shiro.config.IniSecurityManagerFactory;
  
import org.apache.shiro.subject.Subject;
  
import org.apache.shiro.util.Factory;
  
import org.junit.Test;
  
  
import junit.framework.Assert;
  
  
public class ShiroTest {
  
@Test
  
public void testHelloworld() {
  
// 1
、获取SecurityManager 工厂,此处使用Ini  配置文件初始化SecurityManager
  
Factory<org.apache.shiro.mgt.SecurityManager>factory =new  IniSecurityManagerFactory("classpath:shiro.ini");
  
  
// 2
、得到SecurityManager 实例并绑定给SecurityUtils
  
org.apache.shiro.mgt.SecurityManagersecurityManager = factory.getInstance();
  
SecurityUtils.setSecurityManager(securityManager);
  
  
// 3
、得到Subject 及创建用户名/密码身份验证 Token(即用户身份/凭证)
  
Subject subject = SecurityUtils.getSubject();
  
  
UsernamePasswordToken token = newUsernamePasswordToken("zhangsan",  "123");
  
// 4
、登录,即身份验证
  
try {
  
subject.login(token);
  
} catch (AuthenticationException e) {
  
//
身份验证失败
  
e.printStackTrace();
  
}
  
  
// 5
、断言用户已经登陆
  
Assert.assertEquals(true,subject.isAuthenticated());
  
  
// 6
、退出
  
subject.logout();
  
}
  
  
}



2、流程如下:
1、首先调用Subject.login(token)进行登录,其会自动委托给SecurityManager,调用之前必须通过SecurityUtils.setSecurityManager()设置。
2SecurityManager负责真正的身份验证逻辑,它会委托给Authenticator进行身份验证。
3Authenticator才是真正的身份验证者,ShiroAPI中核心的身份认证入口点,此处可以自定义插入自己的实现。
4Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证。
5Authenticator 会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。








作者: wheat    时间: 2017-10-19 17:55
赞好帖子





欢迎光临 黑马程序员技术交流社区 (http://bbs.itheima.com/) 黑马程序员IT技术论坛 X3.2