A股上市公司传智教育(股票代码 003032)旗下技术交流社区北京昌平校区

 找回密码
 加入黑马

QQ登录

只需一步,快速开始

本帖最后由 shjava 于 2017-10-26 15:20 编辑

Shiro中,用户需要提供principals(身份)credentials(证明)shiro来进行身份的验证。
principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。
一个主体可以有多个 principals,但只有一个 Primary principals,一般是用户名/密码/手机号。
credentials:证明/凭证,即只有主体知道的安全值,如密码/数字证书等。
最常见的principalscredentials组合就是用户名/密码了。
演示一个简单的身份认证。
两个相关的概念是之前提到的SubjectRealm,分别是主体及验证主体的数据源。
【演示】:
1、新建maven子工程
[Java] 纯文本查看 复制代码
<projectxmlns="http://maven.apache.org/POM/4.0.0"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"[/font][font=Simsun, serif]
  
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 [/font][font=宋体][size=12.0pt][url=http://maven.apache.org/xsd/maven-4.0.0.xsd]http://maven.apache.org/xsd/maven-4.0.0.xsd[/url][/size][/font][font=Simsun, serif]">[/font][font=Simsun, serif]
  
<modelVersion>4.0.0</modelVersion>
  
<parent>
  
<groupId>cn.oriki.project</groupId>
  
<artifactId>oriki-shiro-project</artifactId>
  
<version>0.0.1-SNAPSHOT</version>
  
</parent>
  
<artifactId>oriki-shiro-project-1</artifactId>
  
</project>
2、编写shiro.ini配置文件,配置登陆的账号和密码。一般开发中的账号密码会存储到数据库中。我们这里使用ini配置文件替代
[Java] 纯文本查看 复制代码
[users][/font][font=Simsun, serif]
  
zhangsan=123
  
lisi=123



3、测试
步骤:
1、首先通过初始化IniSecurityManagerFactory并指定一个ini配置文件来创建一个SecurityManager工厂。
2、获取SecurityManager并绑定到SecurityUtils,这是一个全局设置,设置一次即可;
3、通过SecurityUtils得到Subject,其会自动绑定到当前线程;如果在web环境在请求结束时需要解除绑定;然后获取身份验证的Token,如用户名/密码;
4、调用subject.login进行登录,其会自动委托给SecurityManager.login方法进行登录;
如果身份验证失败请捕获AuthenticationException 或其子类,常见的如:DisabledAccountException(禁用的帐号)LockedAccountException(锁定的帐号)UnknownAccountException(错误的帐号)ExcessiveAttemptsException(登录失败次数过多)IncorrectCredentialsException(错误的凭证)ExpiredCredentialsException(过期的 凭证)等,具体请查看其继承关系;对于页面的错误消息展示,最好使用如用户名/密码错误而不是用户名错误”/“密码错误,防止一些恶意用户非法扫描帐号库;
5、最后可以调用subject.logout退出,其会自动委托给SecurityManager.logout方法退出。
[Java] 纯文本查看 复制代码
packagecn.oriki.shiro.test;[/font][font=Simsun, serif]
  
  
import org.apache.shiro.SecurityUtils;
  
import  org.apache.shiro.authc.AuthenticationException;
  
import  org.apache.shiro.authc.UsernamePasswordToken;
  
import  org.apache.shiro.config.IniSecurityManagerFactory;
  
import org.apache.shiro.subject.Subject;
  
import org.apache.shiro.util.Factory;
  
import org.junit.Test;
  
  
import junit.framework.Assert;
  
  
public class ShiroTest {
  
@Test
  
public void testHelloworld() {
  
// 1[/font][font=宋体]、获取[/font][font=Simsun, serif]SecurityManager [/font][font=宋体]工厂,此处使用[/font][font=Simsun, serif]Ini  [/font][font=宋体]配置文件初始化[/font][font=Simsun, serif]SecurityManager[/font][font=Simsun, serif]
  
Factory<org.apache.shiro.mgt.SecurityManager>factory =new  IniSecurityManagerFactory("classpath:shiro.ini");
  
  
// 2[/font][font=宋体]、得到[/font][font=Simsun, serif]SecurityManager [/font][font=宋体]实例并绑定给[/font][font=Simsun, serif]SecurityUtils[/font][font=Simsun, serif]
  
org.apache.shiro.mgt.SecurityManagersecurityManager = factory.getInstance();
  
SecurityUtils.setSecurityManager(securityManager);
  
  
// 3[/font][font=宋体]、得到[/font][font=Simsun, serif]Subject [/font][font=宋体]及创建用户名[/font][font=Simsun, serif]/[/font][font=宋体]密码身份验证[/font][font=Simsun, serif] Token([/font][font=宋体]即用户身份[/font][font=Simsun, serif]/[/font][font=宋体]凭证[/font][font=Simsun, serif])[/font][font=Simsun, serif]
  
Subject subject = SecurityUtils.getSubject();
  
  
UsernamePasswordToken token = newUsernamePasswordToken("zhangsan",  "123");
  
// 4[/font][font=宋体]、登录,即身份验证[/font][font=Simsun, serif]
  
try {
  
subject.login(token);
  
} catch (AuthenticationException e) {
  
// [/font][font=宋体]身份验证失败[/font][font=Simsun, serif]
  
e.printStackTrace();
  
}
  
  
// 5[/font][font=宋体]、断言用户已经登陆[/font][font=Simsun, serif]
  
Assert.assertEquals(true,subject.isAuthenticated());
  
  
// 6[/font][font=宋体]、退出[/font][font=Simsun, serif]
  
subject.logout();
  
}
  
  
}



2、流程如下:
1、首先调用Subject.login(token)进行登录,其会自动委托给SecurityManager,调用之前必须通过SecurityUtils.setSecurityManager()设置。
2SecurityManager负责真正的身份验证逻辑,它会委托给Authenticator进行身份验证。
3Authenticator才是真正的身份验证者,ShiroAPI中核心的身份认证入口点,此处可以自定义插入自己的实现。
4Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证。
5Authenticator 会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。







1 个回复

倒序浏览
回复 使用道具 举报
您需要登录后才可以回帖 登录 | 加入黑马