认证,身份验证,验证用户是否合法
在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份:
principals:用户的身份信息,是subject的标识属性,能够唯一标识subject,如电话号码,电子邮箱,身份证号等。
credentials:凭证:密码,是只被subject知道的秘密值。如密码/数字证书等。
最常见的principals和credentials组合就是用户名/密码。shiro中通常使用UsernamePasswordToken指定身份和凭证信息。
身份认证流程:
流程如下:
1、首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前必须通过SecurityUtils. setSecurityManager()设置;
2、SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证;
3、Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现;
4、Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证;
5、Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。
例子:
新建maven工程
首先准备一些用户身份/凭据(shiro.ini):通过[users]指定了两个主体:zhangnsan/1111 ; lisi/1111。
[users] zhangsan=1111 lisi=1111
shiro文档关于ini的说明:
log4j配置文件
log4j.rootLogger=debug, stdout
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n
maven依赖:
<dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.1.0</version> </dependency> <dependency> <groupId>commons-logging</groupId> <artifactId>commons-logging</artifactId> <version>1.2</version> </dependency> <dependency> <groupId>log4j</groupId> <artifactId>log4j</artifactId> <version>1.2.17</version> </dependency> <dependency> <groupId>org.slf4j</groupId> <artifactId>slf4j-log4j12</artifactId> <version>1.7.5</version> </dependency>
AuthenticationDemo.java:
package com.lhy.shiro; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.config.IniSecurityManagerFactory; import org.apache.shiro.mgt.SecurityManager; import org.apache.shiro.subject.Subject; import org.apache.shiro.util.Factory; public class AuthenticationDemo { public static void main(String[] args) { //1,创建SecurityManager工厂 读取shiro配置文件 Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini"); //2 通过securityManager工厂获取SecurityManager实例 SecurityManager securityManager = factory.getInstance(); //3 将SecurityManager 对象设置到运行环境 SecurityUtils.setSecurityManager(securityManager); //4 通过SecurityUtils获取主体subject Subject subject = SecurityUtils.getSubject(); try { //5.假设登录名是zhangsan 密码是1111 UsernamePasswordToken token = new UsernamePasswordToken("zhangsan","1111"); //6,登录,进行用户身验证 subject.login(token); //通过subject判断用户是否通过验证 if(subject.isAuthenticated()){ System.out.println("用户登录成功!"); } } catch (AuthenticationException e) { e.printStackTrace(); System.out.println("用户名或密码错误!"); }
//7 退出
subject.logout();
}
}
OK,运行成功
常见的异常信息及处理:认证过程中的父异常-AuthenticationException
该类有几个子类,分别对应不同的异常情况:
DisabledAccountException:账户失效异常
LockedAccountException(锁定的帐号)
ExcessiveAttemptsException:登录失败次数过多
UnknownAccountException:用户名不正确
ExpiredCredentialsException:凭证过期异常
IncorrectCredentialsException:凭证不正确
虽然shiro为每一种异常都提供了准确的异常类,但是在编写代码时应提示模糊的信息给用户,这样更安全。常见的处理方式为:用户名错误”/“密码错误
try { //5.假设登录名是zhangsan 密码是1111 UsernamePasswordToken token = new UsernamePasswordToken("zhangsan","1111"); //6,登录,进行用户身验证 subject.login(token); //通过subject判断用户是否通过验证 if(subject.isAuthenticated()){ System.out.println("用户登录成功!"); } } catch (UnknownAccountException e) { e.printStackTrace(); System.out.println("用户名或密码错误!"); }catch (IncorrectCredentialsException e) { System.out.println("用户名或密码错误!"); } //其他异常处理。。。 //7 退出 subject.logout();
从如上代码可总结出身份验证的步骤:
1、收集用户身份/凭证,即如用户名/密码;
2、调用Subject.login进行登录,如果失败将得到相应的AuthenticationException异常,根据异常提示用户错误信息;否则登录成功;
3、最后调用Subject.logout进行退出操作。
执行流程:
具体的过程可以查看源代码 。
欢迎关注个人公众号一起交流学习:
