2. Shiro 身份验证
本篇参考张开涛《跟我学Shiro》
文章目录
- 身份验证
- 代码实现
- 1. 添加依赖
- 2. 准备 shiro.ini 文件
- 3. 测试代码
- 身份认证流程
- Realm 的简单介绍
- 自定义 Realm
- 多 Realm 配置
- Shiro 默认提供的 Realm
- Authenticator 及 AuthenticationStrategy
身份验证
简单来说就是在应用中谁能证明他就是本人。一般提供他们的身份信息来表明他就是他本人,比如说提供身份证,用户名/密码来证明。
在 Shiro 中,用户需要提供 principals 身份和 credentials 证明给 Shiro ,从而应用能验证用户身份;
principals:身份,就是主体的标识属性,可以是任何东西,比如用户名、邮箱等等,只要是唯一即可。一个主体可以有多个身份,但只能有一个身份证明,一般是用户名/密码/手机号。credentials:证明/凭证,就是只有主体才知道的安全信息,比如密码。最常见的 principals 和 credentials 组合就是用户名和密码了。
代码实现
1. 添加依赖
首先添加 junit、common-logging及shiro-core 的依赖:
junit
junit
4.9
commons-logging
commons-logging
1.1.3
org.apache.shiro
shiro-core
1.2.2
2. 准备 shiro.ini 文件
此处使用 ini 配置文件,配置一下用户的基本信息
[users]
javaboy=123
3. 测试代码
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Assert;
/**
* @Author: 红颜祸水nvn
* @Description: CSDN
*/
public class TestHelloWorld {
public static void main(String[] args) {
// 1.获取 SecurityManager 工厂,此处使用 ini 配置文件初始化 SecurityManager
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
// 2.得到 SecurityManager 实例,并绑定给 SecurityUtils
SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
// 3.得到 Subject 及创建用户名/密码身份验证 Token
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("javaboy", "123");
try {
// 4.登陆(身份验证)
subject.login(token);
} catch (AuthenticationException e) {
// 5.身份验证失败
System.out.println("用户名或密码错误");
}
// 断言用户已经登陆
Assert.assertEquals(true,subject.isAuthenticated());
// 6.退出
subject.logout();
System.out.println("登陆成功且退出!");
}
}
-
首先通过 new IniSecurityManagerFactory 指定一个 ini 配置文件来创建一个 SecurityManager 工厂;
-
接着获取 SecurityManager 并绑定到 SecurityUtils,这个一个全局设置,设置一次即可。
-
接着通过 SecurityUtils 得到 Subject,它会自动绑定到当前线程;如果 Web 环境在请求结束时需要解除绑定;然后获取身份验证的 Token,如用户名/密码;
-
调用 subject.login 方法进行登陆,它会自动委托给 SecurityManager.login 方法进行登陆,也就是说
subject.login 实际上是 SecurityManger.login 方法来执行登陆操作的。 -
如果身份验证错误会出触发 AuthenticationException 异常,常见的有:
DisabledAccountException:禁用的账号
LockedAccountException:锁定的账号
UnknownAccountException:错误的账号
ExcessiveAttemptsException:登陆失败次数过多
IncorrectCredentialsException:错误的凭证
ExpiredCredentialsException:过期的凭证 -
最后可以调用 subject.logout 退出。
身份认证流程
- 首先调用
Subject.login(token)进行登陆,它会自动委托给Security Manager,调用之前必须通过SecurityUtils.setSecurityManager()来设置。 SecurityManager 负责真正的身份验证逻辑;它会交给 Authenticator 进行身份验证;Authenticator 才是真正的身份校验者。Shiro API 的核心身份认证入口点,此处可以自定义实现方案。- Authenticator 可能会交给相应的 AuthenticationStrategy 进行多 Realm 身份校验,默认 ModularRealmAuthenticator 会调用 AuthenticationStrategy 继续多 Realm 身份校验;
Authenticator 会把相应的 token 传入 Realm 中,从 Realm 中拿到身份验证信息,如果拿到了返回的信息或者中途没有抛出异常表示身份验证成功了。此处可以配置多个 Realm,将按照相应的顺序及策略进行访问。
Realm 的简单介绍
Realm:我们可以称作 “域”,Shiro 从 Realm 获取安全数据。
简单来说就是 SecurityManager 要验证用户身份,那么它就需要从 Realm 中获取相应的用户进行比对来确认用户身份是否合法;
当然也需要从 Realm 中得到用户相应的权限进行验证用户是否能够操作;
可以将 Realm 看作 DataSource,就是安全数据源。例如我们之前的 ini 配置文件方式就是这种方式。
org.apache.shiro.realm.Realm 接口如下:
// 返回一个唯一的 Realm 名字
String getName();
// 判断此 Realm 是否支持此 Token
boolean supports(AuthenticationToken token);
// 根据Token 获取认证信息
AuthenticationInfo
getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException;
自定义 Realm
我们可以自定义一个类来实现 Realm 接口:
import org.apache.shiro.authc.*;
import org.apache.shiro.realm.Realm;
/**
* @Author: 红颜祸水nvn
* @Description: CSDN
*/
public class MyRealm implements Realm {
@Override
public String getName() {
return "MyRealm";
}
@Override
public boolean supports(AuthenticationToken token) {
// 仅仅支持 UsernamePassworkToken 类型的 Token
return token instanceof UsernamePasswordToken;
}
@Override
public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
// 通过 token.getPrincipal 拿到用户名
String username = (String) token.getPrincipal();
// 通过 token.getCredentials 拿到密码
String password = new String((char[]) token.getCredentials());
if (!"javaboy".equals(username)) {
// 用户名错误
throw new UnknownAccountException();
}
if (!"123".equals(password)) {
// 密码错误
throw new IncorrectCredentialsException();
}
// 如果身份校验成功,返回一个 AuthenticationInfo
return new SimpleAuthenticationInfo(username, password, getName());
}
}
ini 配置文件指定自定义 Realm 实现,首先创建一个 shiro-realm.ini 文件
# 声明一个 Realm
myRealm=org.shiro.test.MyRealm
# 指定 securityManager 的 realms 实现
securityManager.realms=$myRealm
通过 $name 来引入自定义的 realm
测试时只需要将之前加载的 shiro.ini 配置文件修改一下即可。
多 Realm 配置
还是在 ini 配置文件中进行修改
# 声明一个 realm
myRealm1=org.shiro.test.MyRealm1
myRealm2=org.shiro.test.MyRealm2
# 指定 securityManager 的 realms 实现
securityManager.realms=$myRealm1,$myRealm2
securityManager 会按照 realms 指定的顺序进行身份验证。我们也可以使用显示指定顺序的方式指定 Realm 的顺序,如果删除 “securityManager.realms= m y R e a l m 1 , myRealm1, myRealm1,myRealm2”,那么 securityManager 会按照 realm 声明的顺序进行使用,但是当我们显示指定 realm 后,其他没有指定 realm 将被忽略。例如:“securityManager.realms=$myRealm1”,那么 myRealm2 不会被自动设置进去。
测试同上一样。
Shiro 默认提供的 Realm
主要的实现如下:
-
org.apache.shiro.realm.text.IniRealm:[users]用来指定用户名/密码及其角色;
[roles]用来指定角色权限信息; -
org.apache.shiro.realm.text.PropertiesRealm:user.username=password,role1,role2 指定用户名/密码及其角色;
role.role1=permission1,permission2 指定角色及权限信息; -
org.apache.shiro.realm.jdbc.JdbcRealm:通过 sql 查询相应的信息:
// 获取用户密码
select password from users where username=?
// 获取用户密码及盐
select password,password_salt from users where username=?
// 获取用户角色
select role_name from user_roles where username=?
// 获取角色对应的权限信息
select permission from roles_permissions where role_name=?
Authenticator 及 AuthenticationStrategy
Authenticator 的作用就是验证用户账号,是 Shiro API 中身份验证核心的入口点:
public AuthenticationInfo authenticate(AuthenticationToken authenticationToken) throws AuthenticationException;
如果验证成功,将返回 AuthenticationInfo 验证信息,信息中包含了身份和凭证;如果验证失败将抛出相应的 AuthenticationException 异常。
SecurityManager 接口继承了 Authenticator ,另外还有一个 ModularRealmAuthenticator 实现,其委托给多个 Realm 进行验证,验证规则通过 AuthenticationStrategy 接口指定,默认提供的实现:
FirstSuccessfulStrategy:只要有一个 Realm 验证成功,只返回第一个 Realm 身份验证成功的认证信息,其他的都会被忽略。AtLeastOneSuccessfulStrategy:只要有一个 Realm 验证成功即可,和 FirstSuccessfulStrategy 不同,返回所有 Realm 身份验证成功的认证信息。AllSuccessfulStrategy:所有的 Realm 验证成功才算成功,且返回所有的 Realm 身份验证成功的认证信息,如果有一个失败就全部失败。