【二】shiro入门 之 身份验证

大致步骤以下：

1.首先经过new IniSecurityManagerFactory 并指定一个ini 配置文件来建立一个SecurityManager工厂；

2.接着获取SecurityManager并绑定到SecurityUtils，这是一个全局设置，设置一次便可；

三、经过SecurityUtils获得Subject，其会自动绑定到当前线程；若是在web环境在请求结束时须要解除绑定；而后获取身份验证的Token，如用户名/密码；

四、调用subject.login 方法进行登陆，其会自动委托给SecurityManager.login方法进行登陆；

五、若是身份验证失败请捕获AuthenticationException 或其子类，常见的如：
DisabledAccountException（禁用的账号）、LockedAccountException（锁定的账号）、
UnknownAccountException（错误的账号）、ExcessiveAttemptsException（登陆失败次数过
多）、IncorrectCredentialsException （错误的凭证）、ExpiredCredentialsException（过时的
凭证）等，具体请查看其继承关系；对于页面的错误消息展现，最好使用如“用户名/密码
错误”而不是“用户名错误”/“密码错误”，防止一些恶意用户非法扫描账号库；

六、最后能够调用subject.logout退出，其会自动委托给SecurityManager.logout方法退出。

示例

1.添加junit、common-logging及shiro-core 依赖

<dependencies>
        <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <version>4.9</version>
        </dependency>
        <dependency>
            <groupId>commons-logging</groupId>
            <artifactId>commons-logging</artifactId>
            <version>1.1.3</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.2.2</version>
        </dependency>
    </dependencies>

2.准备一些用户身份/凭据（shiro.ini）

[users]
zhang=123
wang=123

3.测试用例

package me.shijunjie.testshiro;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;

import junit.framework.Assert;

public class TestShiro {
    @Test
    public void testHelloworld() {
        // 一、获取SecurityManager工厂，此处使用Ini配置文件初始化SecurityManager
        Factory<org.apache.shiro.mgt.SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        //二、获得SecurityManager实例并绑定给SecurityUtils
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
        //三、获得Subject及建立用户名/密码身份验证Token（即用户身份/凭证）
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("zhang", "1223");
        
        try {
        //四、登陆，即身份验证
        subject.login(token);
        } catch (AuthenticationException e) {
          //五、身份验证失败
            System.out.println("身份验证失败");
        }
        
        //断言用户已经登陆
        Assert.assertEquals(true, subject.isAuthenticated());
        
        subject.logout();
    }
}