Shiro身份认证



一、Apache ShiroArchitecture

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。

Shiro主要提供的功能有Authentication（身份认证）、Authorization（权限认证）、Session Management（session管理）、Cryptography（加密）四个核心功能，同时还提供缓存、并行处理、remember me等辅助功能。下面针对四个主要功能依次进行介绍。

 shiro三个核心组件：

1、subject：shiro认证实体，简单理解可以说就是最基本的用户名、密码等认证信息；但在Shiro中，Subject这一概念并不仅仅指人，也可以是第三方进程、手机号、邮箱地址等。它意味着“当前跟软件交互的东西”。

2、securityManager：它是Shiro框架的核心，典型的Facade模式，Shiro通过SecurityManager来管理内部组件实例，并通过它来提供安全管理的各种服务。

3、Reaml：域，Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。这些组件在接下来的博客中会一一介绍它的具体用处，此处可略过。

二、Shiro HelloWorld

又到了helloworld时间。在web应用中使用shiro

1、首先需引入shiro jar包：shiro-core和slf4j-log4j12日志处理jar

2、创建java web程序，进行shiro预处理操作，初始化

public class HelleWorld {
	public static void main(String[] args) {
		// 读取配置文件，初始化SecurityManager工厂
		Factory<SecurityManager> factory=new IniSecurityManagerFactory("classpath:shiro.ini");
		// 获取securityManager实例
		SecurityManager securityManager=factory.getInstance();
		// 把securityManager实例绑定到SecurityUtils
		SecurityUtils.setSecurityManager(securityManager);
		// 得到当前执行的用户
		Subject currentUser=SecurityUtils.getSubject();
		// 创建token令牌，用户名/密码
		UsernamePasswordToken token=new UsernamePasswordToken("java1234", "12345");
		try{
			// 身份认证
			currentUser.login(token);	
			System.out.println("身份认证成功！");
		}catch(AuthenticationException e){
			e.printStackTrace();
			System.out.println("身份认证失败！");
		}
		// 退出
		currentUser.logout();
	}
}

   shiro.ini文件配置如下：

[users]
    java1234=123456
    jack=123

使用shiro框架，首先读取ini配置文件，初始化SecurityManager工厂，然后创建securityManager实例，通过SecurityUtils类get当前subject实例，创建令牌，执行用户的login方法，传入令牌token参数，将subject用户信息与配置文件中的user信息比对，对当前用户进行身份认证。这也是使用shiro进行身份认证的最基础代码逻辑。

     三、shiro Authentication

      在第一个实例中已经使用到了shiro两个核心组件subject和securityManager，subject作为shiro的认证主体，主要包含了principals（身份，可以是邮箱、手机号等，用来标识用户登录信息的实体）和credentials（凭证，密码，数字证书等）两类信息。再直白一点：最基本常用的就是用户名、密码，分别是此处的principals和credentials。

      1、shiro身份认证流程

        首先通过读配置文件创建的subject传入token信息，shiro的securityManager进行整体管理，Authenticator实体通过认证策略读取安全数据，进行身份认证。这里的认证策略就涉及到Reaml，它就是shiro获取验证数据的数据源，可以有很多种例如jdbc reaml，或者在上面例子中直接自己写一个shiro.ini配置文件【textReaml】，user进行身份验证时就从这里对比用户信息与reaml中的信息是否一致进行验证。

       这里认证策略的意思就是通过选择什么样的reaml域进行验证，如果使用JDBC reaml那认证策略就是JDBC。

       这里po出一个shiro创建JDBC reaml的实例：

1、首先新建一个jdbc_reaml.ini文件。ps.如果代码中加载了这些ini配置文件，shiro便会进行解析。可以把它理解为类似于xml或者log.properties文件。

2、因为是jdbc数据源，所以需要引入数据库连接相关的jar：c3p0 、mysql-driver

3、补充jdbc_reaml.ini文件如下

[main]
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm    
dataSource=com.mchange.v2.c3p0.ComboPooledDataSource
dataSource.driverClass=com.mysql.jdbc.Driver
dataSource.jdbcUrl=jdbc:mysql://localhost:3306/db_shiro
dataSource.user=root
dataSource.password=123456
jdbcRealm.dataSource=$dataSource
securityManager.realms=$jdbcRealm

     通过查看源码不难发现，形如dataSource.jdbcUrl这些属性配置，在shiro源码中均添加了set方法，$符表示对象引用。例如最后一句，引用该jdbcReaml对象附给将securityManager的域，这就确定了上边图中authentication的认证策略为刚创建的jdbc_reaml。

4、编写java代码，加载该jdbc域文件，同样初始化工厂、创建subject对象，传入token信息，login验证。

public static void main(String[] args) {
		// 读取配置文件，初始化SecurityManager工厂
		Factory<SecurityManager> factory=new IniSecurityManagerFactory("classpath:jdbc_realm.ini");
		// 获取securityManager实例
		SecurityManager securityManager=factory.getInstance();
		// 把securityManager实例绑定到SecurityUtils
		SecurityUtils.setSecurityManager(securityManager);
		// 得到当前执行的用户
		Subject currentUser=SecurityUtils.getSubject();
		// 创建token令牌，用户名/密码
		UsernamePasswordToken token=new UsernamePasswordToken("java1234", "123456");
		try{
			// 身份认证
			currentUser.login(token);	
			System.out.println("身份认证成功！");
		}catch(AuthenticationException e){
			e.printStackTrace();
			System.out.println("身份认证失败！");
		}
		// 退出
		currentUser.logout();
	}
}

      此时，运行java main方法，进行验证的数据源便是笔者本地创建的数据库，如果token信息与数据库表总userName和password数据一致，则该用户身份认证成功。一般token信息是通过前台数据传过来的，这里随便写了些测试数据。