文档章节

shiro之身份认证

沉默的懒猫
 沉默的懒猫
发布于 2016/07/04 16:20
字数 2181
阅读 165
收藏 6

一、用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份。

principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有一个Primary principals,一般是用户名/密码/手机号。
credentials:证明/凭证,即只有主体知道的安全值,如密码/数字证书等。

最常见的principals和credentials组合就是用户名/密码。

测试代码:

/**  
 * @Project: testshiro
 * @Title: TestShiro.java
 * @Package com.yuan.shiro.test
 * @author yuan
 * @date 2016年7月4日 下午1:28:28
 * @Copyright: 2016
 * @version V1.0  
*/

package com.yuan.shiro.test;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;

/**
 * @ClassName TestShiro
 * @author yuan
 * @version 1.0
 */

public class TestShiro {

	@Test
	public void testLogin(){
		//1.获取SecurityManager工厂,此处使用ini配置文件初始化SecurityManager工厂
		Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:com/yuan/shiro/test/shiro.ini");
		//2.得到SecurityManager实例,并绑定到SecurityUtils
		SecurityManager securityManager = factory.getInstance();
		SecurityUtils.setSecurityManager(securityManager);
		//3.通过SecurityUtils得到Subject得到Subject,其会自动绑定到当前线程,如果在web环境在请求结束时需要解除绑定
		//然后获取身份验证的Token,如用户名/密码;
		Subject subject = SecurityUtils.getSubject();
		UsernamePasswordToken token = new UsernamePasswordToken("u1","1234");
		try {
			//4.登录进行身份验证,其会自动委托给SecurityManager.login方法进行登录
			//此处与ini中配置文件进行比对
			subject.login(token);
			System.out.println("登录成功");
		} catch (AuthenticationException e) {
			//5.验证失败
			//常见的如:DisabledAccountException(禁用的帐号)、LockedAccountException(锁定的帐号)、UnknownAccountException(错误的帐号)
			//ExcessiveAttemptsException(登录失败次数过多)、IncorrectCredentialsException (错误的凭证)、ExpiredCredentialsException(过期的凭证)
			System.out.println("登录失败");
			e.printStackTrace();
		}
		//判断用户是否已登录
		if( subject.isAuthenticated() ){
			System.out.println("已登录");
		}else{
			System.out.println("未登录");
		}
		
		//6.退出,自动委托给SecurityManager.logout方法退出。
		subject.logout();
	}
}

shiro.ini

[users]
u1=123
u2=123

二、身份验证的步骤:

1、收集用户身份/凭证,即如用户名/密码;
2、调用Subject.login 进行登录,如果失败将得到相应的AuthenticationException 异常,根据异常提示用户错误信息;否则登录成功;

三、身份认证的流程:

1、首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前必须通过SecurityUtils. setSecurityManager()设置;
2、SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证;
3、Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现;
4、Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证;
5、Authenticator 会把相应的token 传入Realm,从Realm 获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进
行访问。

四、realm

Realm:域,Shiro 从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource , 即安全数据源。

org.apache.shiro.realm.Realm接口有三个方法

String getName(); //返回一个唯一的Realm名字
boolean supports(AuthenticationToken token); //判断此Realm是否支持此Token
AuthenticationInfo getAuthenticationInfo(AuthenticationToken token)
             throws AuthenticationException; //根据Token获取认证信息

a、单Realm配置

1、自定义Realm实现

/**  
 * @Project: testshiro
 * @Title: TestRealm1.java
 * @Package com.yuan.shiro.realm
 * @author yuan
 * @date 2016年7月4日 下午3:14:41
 * @Copyright: 2016
 * @version V1.0  
*/

package com.yuan.shiro.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.realm.Realm;

/**
 * @ClassName TestRealm1
 * @author yuan
 * @version 1.0
 */

public class TestRealm1 implements Realm{

	/**
	 * <p>Title: getAuthenticationInfo</p> 
	 * <p>Description: 根据Token获取认证信息</p> 
	 * @param token
	 * @return
	 * @throws AuthenticationException 
	 * @see org.apache.shiro.realm.Realm#getAuthenticationInfo(org.apache.shiro.authc.AuthenticationToken) 
	*/
	
	@Override
	public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token)
			throws AuthenticationException {
		String userName = (String)token.getPrincipal(); //得到用户名
		String pwd = new String((char[])token.getCredentials()); //得到密码
		if(!"u1".equals(userName)) {
		throw new UnknownAccountException(); //如果用户名错误
		}
		if(!"123".equals(pwd)) {
		throw new IncorrectCredentialsException(); //如果密码错误
		}
		//如果身份认证验证成功,返回一个AuthenticationInfo实现;
		return new SimpleAuthenticationInfo(userName, pwd, this.getName());
	}

	/** 
	 * <p>Title: getName</p> 
	 * <p>Description:返回一个唯一的Realm名字 </p> 
	 * @return 
	 * @see org.apache.shiro.realm.Realm#getName() 
	*/
	
	@Override
	public String getName() {
		return "TestRealm1";
	}

	/**
	 * <p>Title: supports</p> 
	 * <p>Description: 判断此Realm是否支持此Token</p> 
	 * @param token
	 * @return 
	 * @see org.apache.shiro.realm.Realm#supports(org.apache.shiro.authc.AuthenticationToken) 
	*/
	
	@Override
	public boolean supports(AuthenticationToken token) {
		//仅支持UsernamePasswordToken 类型的Token
		return token instanceof UsernamePasswordToken;
	}

	
}

2、ini配置文件指定自定义Realm实现

[main]
#声明一个realm
testRealm1=com.yuan.shiro.realm.TestRealm1
#指定securityManager的realms实现
securityManager.realms=$testRealm1

通过$name 来引入自定义的realm

b、多Realm配置

[main]
#声明一个realm
testRealm1=com.yuan.shiro.realm.TestRealm1
testRealm2=com.yuan.shiro.realm.TestRealm2
#指定securityManager的realms实现
securityManager.realms=$testRealm1,$testRealm2

securityManager会按照realms指定的顺序进行身份认证,如果删除“securityManager.realms=$myRealm1,$myRealm2”,那么securityManager会按照realm声明的顺序进行使用。

c、shiro默认的Realm

一般继承AuthorizingRealm(授权)即可;其继承了AuthenticatingRealm(即身份验证),也间接继承了CachingRealm(带有缓存实现)。其中主要默认实现如下:
org.apache.shiro.realm.text.IniRealm:[users]部分指定用户名/密码及其角色;[roles]部分指定角色即权限信息;
org.apache.shiro.realm.text.PropertiesRealm:user.username=password,role1,role2指定用户名/密码及其角色;role.role1=permission1,permission2指定角色及权限信息;
org.apache.shiro.realm.jdbc.JdbcRealm:通过sql查询相应的信息,如“select password fromusers where username = ?”获取用户密码,“select password, password_salt from users whereusername = ?”获取用户密码及盐;“select role_name from user_roles where username = ?”获取用户角色;“select permission from roles_permissions where role_name = ?”获取角色对应的权限信息;也可以调用相应的api进行自定义sql;

d、jdbcRealm

1、数据库下建表,shiro默认表

create table users (
  id bigint auto_increment,
  username varchar(100),
  password varchar(100),
  password_salt varchar(100),
  constraint pk_users primary key(id)
) charset=utf8 ENGINE=InnoDB;
create unique index idx_users_username on users(username);

create table user_roles(
  id bigint auto_increment,
  username varchar(100),
  role_name varchar(100),
  constraint pk_user_roles primary key(id)
) charset=utf8 ENGINE=InnoDB;
create unique index idx_user_roles on user_roles(username, role_name);

create table roles_permissions(
  id bigint auto_increment,
  role_name varchar(100),
  permission varchar(100),
  constraint pk_roles_permissions primary key(id)
) charset=utf8 ENGINE=InnoDB;
create unique index idx_roles_permissions on roles_permissions(role_name, permission);

insert into users(username,password)values('u1','123');

2、ini配置

[main]
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
dataSource=org.apache.commons.dbcp.BasicDataSource
dataSource.driverClassName=com.mysql.jdbc.Driver
dataSource.url=jdbc:mysql://localhost:3306/online
dataSource.username=root
dataSource.password=admin
jdbcRealm.dataSource=$dataSource
securityManager.realms=$jdbcRealm

变量名=全限定类名会自动创建一个类实例
变量名.属性=值自动调用相应的setter方法进行赋值
$变量名引用之前的一个对象实例

3、测试

五、Authenticator

Authenticator的职责是验证用户帐号,是Shiro API中身份验证核心的入口点:

public AuthenticationInfo authenticate(AuthenticationToken authenticationToken)
                                 throws AuthenticationException;

如果验证成功,将返回AuthenticationInfo 验证信息;此信息中包含了身份及凭证;如果验证失败将抛出相应的AuthenticationException实现。

SecurityManager接口继承了Authenticator,另外还有一个ModularRealmAuthenticator实现,其委托给多个Realm 进行验证,验证规则通过AuthenticationStrategy 接口指定,默认提供
的实现:
FirstSuccessfulStrategy:只要有一个Realm验证成功即可,只返回第一个Realm身份验证成功的认证信息,其他的忽略;
AtLeastOneSuccessfulStrategy:至少有一个Realm验证成功即可,和FirstSuccessfulStrategy不同,返回所有Realm身份验证成功的认证信息;
AllSuccessfulStrategy:所有Realm验证成功才算成功,且返回所有Realm身份验证成功的认证信息,如果有一个失败就失败了。


ModularRealmAuthenticator默认使用AtLeastOneSuccessfulStrategy策略。

假设我们有两个realm:
testRealm1: 用户名/密码为u1/123时成功,且返回身份/凭据为u1/123;
testRealm2: 用户名/密码为u1/123 时成功,且返回身份/凭据为u1@1.com/123,
和testRealm1不同的是返回时的身份变了;

1、ini配置文件

[main]
#指定securityManager的authenticator实现
authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator
securityManager.authenticator=$authenticator

#指定securityManager.authenticator的authenticationStrategy
allSuccessfulStrategy=org.apache.shiro.authc.pam.AllSuccessfulStrategy
securityManager.authenticator.authenticationStrategy=$allSuccessfulStrategy

testRealm1=com.yuan.shiro.realm.TestRealm1
testRealm2=com.yuan.shiro.realm.TestRealm2
securityManager.realms=$testRealm1,$testRealm2

测试:

/**  
 * @Project: testshiro
 * @Title: TestAuthenticator.java
 * @Package com.yuan.shiro.test
 * @author yuan
 * @date 2016年7月4日 下午4:01:30
 * @Copyright: 2016
 * @version V1.0  
 */

package com.yuan.shiro.test;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;

/**
 * @ClassName TestAuthenticator
 * @author yuan
 * @version 1.0
 */

public class TestAuthenticator {

	@Test
	public void testAllSuccessfulStrategyWithSuccess() {
		login("classpath:com/yuan/shiro/test/shiro.ini");
		Subject subject = SecurityUtils.getSubject();

		// 得到一个身份集合,其包含了Realm验证成功的身份信息
		PrincipalCollection principalCollection = subject.getPrincipals();
		System.out.println("个数====>"+principalCollection.asList().size());
	}

	/**
	 * 登录
	 * 
	 * @MethodName login
	 * @author yuan
	 * @date 2016年7月4日 下午4:02:08
	 * @return void
	 */
	private void login(String config) {
		// 1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
		Factory<org.apache.shiro.mgt.SecurityManager> factory = new IniSecurityManagerFactory(
				config);

		// 2、得到SecurityManager实例 并绑定给SecurityUtils
		org.apache.shiro.mgt.SecurityManager securityManager = factory
				.getInstance();
		SecurityUtils.setSecurityManager(securityManager);

		// 3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)
		Subject subject = SecurityUtils.getSubject();
		UsernamePasswordToken token = new UsernamePasswordToken("u1", "123");

		try {
			subject.login(token);
		} catch (AuthenticationException e) {
			System.out.println("登录失败");
			e.printStackTrace();
		}
	}
}

 

© 著作权归作者所有

沉默的懒猫
粉丝 9
博文 103
码字总数 81208
作品 0
海淀
程序员
私信 提问
Shiro权限管理笔记

一.用户身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,...

Mr_欢先生
2017/11/28
0
0
shiro使用之二

1.身份认证概念 在 shiro 中,用户需要提供 principals (身份)和 credentials(证明)给 shiro,从而应用能 验证用户身份; principals:身份,即主体的标识属性,可以是任何东西,如用户名...

乾坤刀
2017/07/27
0
0
关于开源权限框架Shiro的笔记(一)

Shiro的官方文档的URL是:http://shiro.apache.org/reference.html。引入如下依赖: <!-- junit --><dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> <version>4.10</v......

DENGJM
2015/09/28
47
0
Shiro之身份认证、与spring集成(入门级)

目录1.Shro的概念2.Shiro的简单身份认证实现3.Shiro与spring对身份认证的实现   前言:   Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境...

左羽
2018/05/03
0
0
从权限控制到shiro框架的应用

说明:本文很多观点和内容来自互联网以及各种资料,如果侵犯了您的权益,请及时联系我,我会删除相关内容。 权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范...

神秘的寇先森
2018/01/01
0
0

没有更多内容

加载失败,请刷新页面

加载更多

OSChina 周六乱弹 —— 早上儿子问我他是怎么来的

Osc乱弹歌单(2019)请戳(这里) 【今日歌曲】 @凉小生 :#今日歌曲推荐# 少点戾气,愿你和这个世界温柔以待。中岛美嘉的单曲《僕が死のうと思ったのは (曾经我也想过一了百了)》 《僕が死の...

小小编辑
今天
2.4K
15
Excption与Error包结构,OOM 你遇到过哪些情况,SOF 你遇到过哪些情况

Throwable 是 Java 中所有错误与异常的超类,Throwable 包含两个子类,Error 与 Exception 。用于指示发生了异常情况。 Java 抛出的 Throwable 可以分成三种类型。 被检查异常(checked Exc...

Garphy
今天
41
0
计算机实现原理专题--二进制减法器(二)

在计算机实现原理专题--二进制减法器(一)中说明了基本原理,现准备说明如何来实现。 首先第一步255-b运算相当于对b进行按位取反,因此可将8个非门组成如下图的形式: 由于每次做减法时,我...

FAT_mt
昨天
40
0
好程序员大数据学习路线分享函数+map映射+元祖

好程序员大数据学习路线分享函数+map映射+元祖,大数据各个平台上的语言实现 hadoop 由java实现,2003年至今,三大块:数据处理,数据存储,数据计算 存储: hbase --> 数据成表 处理: hive --> 数...

好程序员官方
昨天
61
0
tabel 中含有复选框的列 数据理解

1、el-ui中实现某一列为复选框 实现多选非常简单: 手动添加一个el-table-column,设type属性为selction即可; 2、@selection-change事件:选项发生勾选状态变化时触发该事件 <el-table @sel...

everthing
昨天
21
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部