Shiro入门之身份认证

参阅《跟我学shiro》—— 张开涛

  身份认证就是让应用知道你是谁,是应用中的哪一个用户在访问资源,我们常用的身份认证方式包括用户名和密码、手机号、第三方登录等。在Shiro中,用户需要提供principals身份和credentials凭证给应用,从而使应用可以验证用户身份。
  principals:身份,即可以唯一标识一个用户,比如用户名,只要唯一即可。
  principals:凭证,主要用来验证用户的身份,只有用户知道的安全值,比如密码。
  在GitHub项目samples包中,官方给我们提供了很多的案例

项目
一. HelloWorld

  1. 环境准备

    <dependencies>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.4.1</version>
        </dependency>
        <dependency>
            <groupId>commons-logging</groupId>
            <artifactId>commons-logging</artifactId>
            <version>1.2</version>
        </dependency>
        <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <version>4.12</version>
        </dependency>
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-simple</artifactId>
            <version>1.7.5</version>
        </dependency>
    </dependencies>

  2. 用户和凭证信息准备,创建shiro.ini文件,内容如下。

[users]
#凭证 = 密码,所拥有的角色
user = 123456, admin
[roles]
#角色 = 所拥有的权限
admin = *

  3. 进行测试

    public static void main(String[] args) {
        //1.  使用 shiro.ini 创建一个IniSecurityManagerFactory工厂
        Factory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        Object instance = factory.getInstance();
        //2. 将 SecurityManager 对象绑定到 SecurityUtils这是一个全局设置,设置一次即可
        SecurityUtils.setSecurityManager((org.apache.shiro.mgt.SecurityManager) instance);
        //3. 获得当前主体(会自动绑定到当前线程)
        Subject currentUser = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("user", "123");
        //4. 如果没有经过认证,则调用 login 方法进行认证
        if (!currentUser.isAuthenticated()) {
            try {
                currentUser.login(token);
            //5. 认证失败,抛出相应的异常
            } catch (UnknownAccountException uae) {
                log.info("用户{}不存在", token.getPrincipal());
            } catch (IncorrectCredentialsException ice) {
                log.info("密码不正确");
            } catch (AuthenticationException ae) {
            }
        }
        if(currentUser.isAuthenticated()) {
            log.info("用户{}登录成功", token.getPrincipal());
        }
        // 登出用户,其会自动委托给 SecurityManager.logout 方法退出。
        currentUser.logout();
    }
身份认证流程

  身份认证流程如下:
  (1)如果当前用户没有经过认证,则调用login()方法进行认证,其会自动委托给 SecurityManager。
  (2)SecurityManager进行真正的认证逻辑,它会委托Authenticator认证器进行认证。
  (3)Authenticator认证器才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自
定义插入自己的实现。
  (4)认证器会委托给认证策略AuthenticationStrategy进行多 Realm身份认证。
  (5)认证器根据用户的token获取用户的身份信息,然后根据身份信息从realm中查询对应的用户信息,在和用户token中的凭证(密码)进行比对,如果一致,表示登录成功,否则抛出对应的异常。

二. 数据源Realm

  Realm:域,Shiro从域Realm中获取应用存储的用户数据(比如用户名和密码)。SecurityManager要验证用户身份,需要从 realm中获取用户数据,然后和用户输入的进行比对,可以把Realm看做数据源。如我们之前的 ini 配置就是使用IniRealm对象获取用户数据的。
  如果你配置了多个Realm,默认会使用ModularRealmAuthenticator调用AuthenticationStrategy 进行多 Realm 身份验证。
  AuthenticationStrategy 的默认认证策略的实现如下:
  (1)FirstSuccessfulStrategy:只要有一个 Realm 验证成功即可,只返回第一个 Realm 身份验证成功的认证信息,其他的忽略。
  (2)AtLeastOneSuccessfulStrategy(默认):只要有一个Realm验证成功即可,和FirstSuccessfulStrategy 不同,它将返回所有Realm身份验证成功的认证信息。
  (3)AllSuccessfulStrategy:所有Realm验证成功才算成功,且返回所有Realm身份验证成功的认证信息,如果有一个失败就失败了。

public interface Realm {
    //1.  返回唯一的 realm 名称
    String getName();
    //2. 判断该realm是否支持此 token
    boolean supports(AuthenticationToken token);
    //3. 根据 token中的身份信息,获取对应的应用用户信息
    AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException;

}

  Realm接口如上所示,realm的主要作用是获取token的身份信息(比如用户名),然后从自定义的数据源中获取身份信息对应的用户信息,如果用户输入的密码正确,将会返回一个经过认证的用户身份信息。
  (1)准备自定义 Realm

public class MyRealm implements Realm {
    private static final Logger logger = LoggerFactory.getLogger(MyRealm.class);
    public String getName() {
        return "myCustomRealm";
    }

    public boolean supports(AuthenticationToken authenticationToken) {
        return authenticationToken instanceof UsernamePasswordToken;
    }

    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken;
        String username = token.getUsername();
        String inputPwd = new String(token.getPassword());
        // 进行密码比对,如果不一致抛出异常
        logger.info("使用自定义的 realm1 从数据源获取用户名{}对应的用户信息", username);
        return new SimpleAuthenticationInfo("user", "123456", getName());
    }
}

  (2)准备 shiro.ini 文件

[main]
#指定DefaultSecurityMananger 属性 authenticator的值
authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator
securityManager.authenticator=$authenticator
#指定认证策略
authenticationStrategy = org.apache.shiro.authc.pam.AllSuccessfulStrategy
securityManager.authenticator.authenticationStrategy = $authenticationStrategy
# 指定数据源
myRealm1 = com.demo.main.MyRealm
myRealm2 = com.demo.main.MyRealm1
securityManager.realms = $myRealm1, $myRealm2

  测试过程和之前一致
  如果想要自定义多realm的认证策略,先看一下AuthenticationStategy接口的方法。

public interface AuthenticationStrategy {
     // 在调用所有的realm之前调用该方法
     //1. realms : 配置到 SecurityManager的所有数据源
     //2. token:进行认证的 token
     //3. return:一个空的认证信息,用来填充所有realm的认证信息 
    AuthenticationInfo beforeAllAttempts(Collection<? extends Realm> realms, AuthenticationToken token) throws AuthenticationException;
    
    //在调用每个realm之前调用该方法
    //1. aggregate:该realm之前的认证结果
    AuthenticationInfo beforeAttempt(Realm realm, AuthenticationToken token, AuthenticationInfo aggregate) throws AuthenticationException;

    // 在调用每个realm之后调用该方法
    //1. singleRealmInfo :本次调用realm的认证结果
    //2. aggregateInfo : 之前的认证结果
    //3. return:本次调用完成需要传递给下一个realm的认证信息
    AuthenticationInfo afterAttempt(Realm realm, AuthenticationToken token, AuthenticationInfo singleRealmInfo, AuthenticationInfo aggregateInfo, Throwable t)
            throws AuthenticationException;

     //在调用所有的realm之后调用该方法
    //return:返回给登录者的认证信息,是所有realm调用完成的认证信息的集合,是最终的结果
    AuthenticationInfo afterAllAttempts(AuthenticationToken token, AuthenticationInfo aggregate) throws AuthenticationException;
}

  案例:自定义最少两个realm认证成功,否则失败。

public class RealmStrategy extends AbstractAuthenticationStrategy  {

    private static final Logger logger = LoggerFactory.getLogger(RealmStrategy.class);

    public AuthenticationInfo afterAllAttempts(AuthenticationToken authenticationToken, AuthenticationInfo authenticationInfo) throws AuthenticationException {
        logger.info("认证完成!");
        if(authenticationInfo == null || authenticationInfo.getPrincipals().isEmpty() || authenticationInfo.getPrincipals().getRealmNames().size() < 2 ){
            throw new AuthenticationException("认证过程发生异常,请确保至少包括两个realm可以认证该token");
        }
        return authenticationInfo;
    }
}

  自定义的实现一般继承AbstractAuthenticationStrategy,然后将该类配置到SecurityManager中即可。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 157,012评论 4 359
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 66,589评论 1 290
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 106,819评论 0 237
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 43,652评论 0 202
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 51,954评论 3 285
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 40,381评论 1 210
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 31,687评论 2 310
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 30,404评论 0 194
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 34,082评论 1 238
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 30,355评论 2 241
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 31,880评论 1 255
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 28,249评论 2 250
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 32,864评论 3 232
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 26,007评论 0 8
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,760评论 0 192
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 35,394评论 2 269
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 35,281评论 2 259

推荐阅读更多精彩内容

  • Shiro之实现认证
    title: Shiro之实现认证tags: shirocategories: shiro 若图片无法显示,请前往...
    codingXiaxw阅读 730评论 1 1
  • <一>shiro-身份验证
    身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用...
    小孩真笨阅读 502评论 0 0
  • shiro2.1_认证
    认证就是身份验证的过程,具体来说就是证明一个用户的真实身份和用户所描述的身份一致的过程。当验证一个用户身份的时候,...
    o______o阅读 360评论 0 0
  • Shiro学习笔记
    一 、Shiro入门 1.简介 Apache Shiro 是 Java 的一个安全(权限)框架。 Shiro 可以...
    TiaNa_na阅读 1,080评论 0 8
  • CentOS7 无法启动,enter emergency mode 报错 Failed to ...
    CentOS7 无法启动,进入紧急模式,enter emergency mode 根据提示查看日志,发现报错:Fa...
    raysonfang阅读 8,330评论 0 2