在Shiro中,用户需要提供principals(身份)和credentials(证明)给shiro来进行身份的验证。
principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。
一个主体可以有多个 principals,但只有一个 Primary principals,一般是用户名/密码/手机号。
credentials:证明/凭证,即只有主体知道的安全值,如密码/数字证书等。
最常见的principals和credentials组合就是用户名/密码了。
演示一个简单的身份认证。
两个相关的概念是之前提到的Subject及Realm,分别是主体及验证主体的数据源。
【演示】:
1、新建maven子工程
[Java] 纯文本查看 复制代码
<projectxmlns="http://maven.apache.org/POM/4.0.0"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>cn.oriki.project</groupId>
<artifactId>oriki-shiro-project</artifactId>
<version>0.0.1-SNAPSHOT</version>
</parent>
<artifactId>oriki-shiro-project-1</artifactId>
</project>
2、编写shiro.ini配置文件,配置登陆的账号和密码。一般开发中的账号密码会存储到数据库中。我们这里使用ini配置文件替代
[Java] 纯文本查看 复制代码
[users]
zhangsan=123
lisi=123
3、测试
步骤:
1、首先通过初始化IniSecurityManagerFactory并指定一个ini配置文件来创建一个SecurityManager工厂。
2、获取SecurityManager并绑定到SecurityUtils,这是一个全局设置,设置一次即可;
3、通过SecurityUtils得到Subject,其会自动绑定到当前线程;如果在web环境在请求结束时需要解除绑定;然后获取身份验证的Token,如用户名/密码;
4、调用subject.login进行登录,其会自动委托给SecurityManager.login方法进行登录;
如果身份验证失败请捕获AuthenticationException 或其子类,常见的如:DisabledAccountException(禁用的帐号)、LockedAccountException(锁定的帐号)、UnknownAccountException(错误的帐号)、ExcessiveAttemptsException(登录失败次数过多)、IncorrectCredentialsException(错误的凭证)、ExpiredCredentialsException(过期的 凭证)等,具体请查看其继承关系;对于页面的错误消息展示,最好使用如“用户名/密码错误”而不是“用户名错误”/“密码错误”,防止一些恶意用户非法扫描帐号库;
5、最后可以调用subject.logout退出,其会自动委托给SecurityManager.logout方法退出。
[Java] 纯文本查看 复制代码
packagecn.oriki.shiro.test;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;
import junit.framework.Assert;
public class ShiroTest {
@Test
public void testHelloworld() {
// 1、获取SecurityManager 工厂,此处使用Ini 配置文件初始化SecurityManager
Factory<org.apache.shiro.mgt.SecurityManager>factory =new IniSecurityManagerFactory("classpath:shiro.ini");
// 2、得到SecurityManager 实例并绑定给SecurityUtils
org.apache.shiro.mgt.SecurityManagersecurityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
// 3、得到Subject 及创建用户名/密码身份验证 Token(即用户身份/凭证)
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = newUsernamePasswordToken("zhangsan", "123");
// 4、登录,即身份验证
try {
subject.login(token);
} catch (AuthenticationException e) {
// 身份验证失败
e.printStackTrace();
}
// 5、断言用户已经登陆
Assert.assertEquals(true,subject.isAuthenticated());
// 6、退出
subject.logout();
}
}
2、流程如下:
1、首先调用Subject.login(token)进行登录,其会自动委托给SecurityManager,调用之前必须通过SecurityUtils.setSecurityManager()设置。
2、SecurityManager负责真正的身份验证逻辑,它会委托给Authenticator进行身份验证。
3、Authenticator才是真正的身份验证者,ShiroAPI中核心的身份认证入口点,此处可以自定义插入自己的实现。
4、Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证。
5、Authenticator 会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。