shiro身份验证:
参考链接:http://jinnianshilongnian.iteye.com/blog/2019547
即在应用中证明是本人进行操作,一般通过用户名来证明
在shiro中,用户通过提供principals(身份)和credentials(证明)给shiro,从而进行验证
principals:身份,即主体的标识属性,可以i是任何东西,如用户名、邮箱等,唯一即可;一个主体可以有多个principals,但只有一个Primary principals,一般是用户名、密码、手机号
credentials:证明、凭证,即只有主体知道的安全值,如密码、数字证书等
登录/登出:
通过ini准备一些主体(实际应用中应该从数据库中获取):
[users] draco = 615 harry = 630
测试:模仿用户登录
@Test public void testLoginAndLogout(){ //创建sessionFactory,使用ini配置文件初始化 Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-first.ini"); //创建securityManager实例 SecurityManager securityManager = factory.getInstance(); //将securityManager配置在当前运行环境中 SecurityUtils.setSecurityManager(securityManager); //获取当前subject Subject currentUser = SecurityUtils.getSubject(); //创建用户令牌 UsernamePasswordToken token = new UsernamePasswordToken("draco", "615"); //直接登录 try { currentUser.login(token); } catch (UnknownAccountException uae) { log.debug("用户名不存在 "); } catch (IncorrectCredentialsException ice) { log.debug("密码错误 "); } catch (LockedAccountException lae) { log.debug("未知错误? "); } boolean authenticated = currentUser.isAuthenticated(); log.debug("是否登陆成功:"+ authenticated); }
身份验证的流程:
1 调用subject.login(token)进行登录,自动委托给SecurityManager
2 SecurityManger负责真正的身份验证逻辑,通过SecurityManager.login()将身份验证委托给Authenticator
3 Authenticator负责真正的身份验证,是Shiro API中核心的身份认证入口点
4 Authenticator可能会委托给相应的AuthenticatorStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证
5 Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果抛出异常表明身份验证失败
