大致步骤以下:web
1.首先经过new IniSecurityManagerFactory 并指定一个ini 配置文件来建立一个SecurityManager工厂;apache
2.接着获取SecurityManager并绑定到SecurityUtils,这是一个全局设置,设置一次便可;测试
三、经过SecurityUtils获得Subject,其会自动绑定到当前线程;若是在web环境在请求结束时须要解除绑定;而后获取身份验证的Token,如用户名/密码;spa
四、调用subject.login 方法进行登陆,其会自动委托给SecurityManager.login方法进行登陆;线程
五、若是身份验证失败请捕获AuthenticationException 或其子类,常见的如:
DisabledAccountException(禁用的账号)、LockedAccountException(锁定的账号)、
UnknownAccountException(错误的账号)、ExcessiveAttemptsException(登陆失败次数过
多)、IncorrectCredentialsException (错误的凭证)、ExpiredCredentialsException(过时的
凭证)等,具体请查看其继承关系;对于页面的错误消息展现,最好使用如“用户名/密码
错误”而不是“用户名错误”/“密码错误”,防止一些恶意用户非法扫描账号库;code
六、最后能够调用subject.logout退出,其会自动委托给SecurityManager.logout方法退出。blog
示例继承
1.添加junit、common-logging及shiro-core 依赖token
<dependencies> <dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> <version>4.9</version> </dependency> <dependency> <groupId>commons-logging</groupId> <artifactId>commons-logging</artifactId> <version>1.1.3</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.2.2</version> </dependency> </dependencies>
2.准备一些用户身份/凭据(shiro.ini)ci
[users] zhang=123 wang=123
3.测试用例
package me.shijunjie.testshiro; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.config.IniSecurityManagerFactory; import org.apache.shiro.mgt.SecurityManager; import org.apache.shiro.subject.Subject; import org.apache.shiro.util.Factory; import org.junit.Test; import junit.framework.Assert; public class TestShiro { @Test public void testHelloworld() { // 一、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager Factory<org.apache.shiro.mgt.SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini"); //二、获得SecurityManager实例并绑定给SecurityUtils SecurityManager securityManager = factory.getInstance(); SecurityUtils.setSecurityManager(securityManager); //三、获得Subject及建立用户名/密码身份验证Token(即用户身份/凭证) Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken("zhang", "1223"); try { //四、登陆,即身份验证 subject.login(token); } catch (AuthenticationException e) { //五、身份验证失败 System.out.println("身份验证失败"); } //断言用户已经登陆 Assert.assertEquals(true, subject.isAuthenticated()); subject.logout(); } }