【Shiro】Apache Shiro架构之身份认证(Authentication)

时间  2019-11-12
标签 Shiro apache shiro 架构 身份 认证 authentication 栏目 Apache 繁體版
原文   原文链接

Shiro系列文章: 
【Shiro】Apache Shiro架构之权限认证(Authorization) 
【Shiro】Apache Shiro架构之集成web 
【Shiro】Apache Shiro架构之自定义realm 
【Shiro】Apache Shiro架构之实际运用(整合到Spring中)html

 

 

Apache Shiro是一个强大易用的Java安全框架,提供了认证、受权、加密和会话管理功能,可为任何应用提供安全保障。本文主要介绍一下Shiro中的身份认证功能,以下: 
shiro 
  本文参考自Apache Shiro的官方文档:http://shiro.apache.org/authentication.html。 
  本文遵循如下流程:先介绍Shiro中的身份认证,再经过一个实例来具体说明一下(基于maven)。java

 

1. 认证主体(Authenticating Subjects)

  Subject 认证主体包含两个信息:mysql

 

Principals:身份。能够是用户名,邮件,手机号码等等,用来标识一个登陆主体身份; 
Credentials:凭证。常见有密码,数字证书等等。

 

在Shiro中能够在.ini文件中指定一个认证主体,也能够从数据库中取,这里使用.ini文件来写一个简单的认证主体:web

[users]
csdn1=12345
csdn2=12345

能够表示两个用户,帐号为csdn1和csdn2,密码都是12345。至于这个文件怎么用,后面我会在实例中介绍。 
  验证一个主体的方法能够有效地细分为三个不一样的步骤:spring

 

Step 1:收集主体提交的身份和凭证; 
Step 2:提交该身份和凭证; 
Step 3:若是提交成功,容许访问,不然从新尝试身份验证或阻止访问。 
Step 4:退出

 

下面说明Shiro中的API是如何反映以上步骤的:sql

//Step1: Collect the Subject's principals and credentials
//根据用户名和密码得到一个令牌(token)
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
//token.setRememberMe(true); //可选用

在Step1中,咱们使用UsernamePasswordToken,支持最经常使用的用户名/密码认证方式。这是Shiro的org.apache.shiro.authc.AuthenticationToken接口,这是由Shiro的认证系统表明提交的主体和凭证使用的基本接口的实现。username和password就是和Subject认证主体中对应的身份和凭证作验证的。固然也能够记住该用户,这个无关紧要,关于RememberMe将在后续文章中介绍。数据库

 

1 //Step2: Submit the principals and credentials
2 //获得当前执行的用户
3 Subject currentUser = SecurityUtils.getSubject();
4 //进行认证
5 currentUser.login(token);

 

在Step2中,先经过SecurityUtils工具类获取当前执行的用户,而后进行身份认证,这个认证会参考ini文件中的Subject主体(固然了,实际中是参考数据库中的信息),在下面的示例程序中能够看的出。apache

//Step3: Handling Success or Failure
try {
    currentUser.login(token);
} catch ( AuthenticationException ae ) {
    //unexpected error?
    //Handel error
}
//No problems, continue on as expected...

在Step3中,咱们要根据认证的结果来处理正确或者错误的结果,因此咱们须要将currentUser.login(token)使用try/catch包起来。安全

//Step4: Logging out
currentUser.logout();

 与认证相反的是释放全部已知的肯定的状态。当主体完成与应用程序交互,能够调用subject.logout()放弃全部的身份信息,subject.logout()会删除全部身份信息以及他们的会话(这里的会话指的是Shiro中的会话)。架构

2. 认证过程(Authentication Sequence)

  上文介绍了认证主体,以及从代码的角度来分析了一下身份认证过程。下面来看一下在身份认证中,Shiro里面都干了些啥。图出自官方文档: 
Authentication  

    Step1:应用程序代码在调用Subject.login(token)方法后,传入表明最终用户的身份和凭证构造的AuthenticationToken实例token。 
  Step2:将Subject实例委托给应用程序的SecurityManager(Shiro的安全管理)经过调用securityManager.login(token)来开始实际的认证工做。这里开始真正的认证工做了。 
  Step3,4,5:而后SecurityManager就会根据具体的reaml去进行安全认证了。 
  这个realm究竟是啥呢?realm就是一个域,Shiro就是从realm中获取验证数据的,也就是咱们写在.ini文件中的东西,固然了,这个realm有不少种,如text realm、jdbc realm、jndi realm等,text realm比较简单,这一节主要总结一下jdbc realm的使用,text realm也会提到。

 

3. 身份认证示例

 

  示例的工程结构以下: 
工程结构 
  pom.xml中的包以下:

 

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
  <modelVersion>4.0.0</modelVersion>
  <groupId>demo.shiro</groupId>
  <artifactId>Shiro02</artifactId>
  <version>0.0.1-SNAPSHOT</version>
  <name>Shiro02</name>
  <description>Shiro02</description>
  <build/>

  <dependencies>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.2.5</version>
    </dependency>
    <dependency>
        <groupId>org.slf4j</groupId>
        <artifactId>slf4j-log4j12</artifactId>
        <version>1.7.21</version>
    </dependency>
    <dependency>
        <groupId>c3p0</groupId>
        <artifactId>c3p0</artifactId>
        <version>0.9.1.2</version>
    </dependency>
    <dependency>
        <groupId>commons-logging</groupId>
        <artifactId>commons-logging</artifactId>
        <version>1.2</version>
    </dependency>
    <dependency>
    <groupId>mysql</groupId>
        <artifactId>mysql-connector-java</artifactId>
        <version>5.1.38</version>
    </dependency>
  </dependencies>
</project>

 

log4j.properties文件以下:

 

log4j.rootLogger=INFO, stdout
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n
# General Apache libraries
log4j.logger.org.apache=WARN
# Spring
log4j.logger.org.springframework=WARN
# Default Shiro logging
log4j.logger.org.apache.shiro=TRACE
# Disable verbose logging
log4j.logger.org.apache.shiro.util.ThreadContext=WARN
log4j.logger.org.apache.shiro.cache.ehcache.EhCache=WARN

 

首先写一个shiro.ini文件,文件内容很简单,只放一个用户信息:

 

1 [users]
2 csdn=123

 

而后开始写身份认证的java代码了,以下:

 

public class TextRealm {

    public static void main(String[] args) {
        // 读取配置文件,初始化SecurityManager工厂
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        // 获取securityManager实例
        SecurityManager securityManager = factory.getInstance();
        // 把securityManager实例绑定到SecurityUtils
        SecurityUtils.setSecurityManager(securityManager);
        // 建立token令牌,用户名/密码
        UsernamePasswordToken token = new UsernamePasswordToken("csdn", "123");
        // 获得当前执行的用户
        Subject currentUser = SecurityUtils.getSubject();
        try{
            // 身份认证
            currentUser.login(token);   
            System.out.println("身份认证成功!");
        }catch(AuthenticationException e){
            e.printStackTrace();
            System.out.println("身份认证失败!");
        }
        // 退出
        currentUser.logout();
    }
}

 

运行该程序就能够根据传入的参数和realm中的数据进行匹对,完成身份认证,从而打印认证成功,若是用户名和密码填写一个错误的,则会验证失败。 
  接下来再分析一下jdbc realm的写法,首先新建一个JdbcRealm.ini文件,以下:

 

#数据源选择的是c3p0
dataSource=com.mchange.v2.c3p0.ComboPooledDataSource
dataSource.driverClass=com.mysql.jdbc.Driver
dataSource.jdbcUrl=jdbc:mysql://localhost:3306/db_shiro
dataSource.user=root
dataSource.password=root

#定义一个jdbc的realm,取名为jdbcRealm
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm

#jdbcRealm中有个属性是dataSource,选择咱们上边定义的dataSource
jdbcRealm.dataSource=$dataSource

#SecurityManager中的realm选择上面定义的jdbcRealm
securityManager.realms=$jdbcRealm

 

而后须要准备数据库的数据,我新建了一个数据库db_shiro,里面有个users表,两个字段username和password,我就放了三个数据用来测试的,以下: 
表 
  而后写JdbcRealm.java代码,和上面的同样的,只不过读取的配置文件不一样

 

public class JdbcRealm {

    public static void main(String[] args) {
        // 读取配置文件,初始化SecurityManager工厂
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:jdbc_realm.ini");
        // 获取securityManager实例
        SecurityManager securityManager = factory.getInstance();
        // 把securityManager实例绑定到SecurityUtils
        SecurityUtils.setSecurityManager(securityManager);
        // 获得当前执行的用户
        Subject currentUser = SecurityUtils.getSubject();
        // 建立token令牌,用户名/密码
        UsernamePasswordToken token = new UsernamePasswordToken("倪升武2", "123");
        try{
            // 身份认证
            currentUser.login(token);   
            System.out.println("身份认证成功!");
        }catch(AuthenticationException e){
            e.printStackTrace();
            System.out.println("身份认证失败!");
        }
        // 退出
        currentUser.logout();
    }
}

 

 这样Shiro就会根据这个jdbc realm从数据库中获取验证数据对传入的参数进行身份验证,验证经过则打印出经过的语句,不然不予经过。这就是Shiro中简单的身份认证,下一节将总结一下Shiro中的权限认证,即受权。

 

 转载CSDN  如需帮助请留言

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程