首先, 附上一张Shiro核心架构图
配置要点
配置Security Manager
创建并配置Realm
在使用JWT作为凭证的web应用中, 需要有这两个Realm:
- UsernamePasswordRealm
- JWTRealm
其中UsernamePasswordRealm用于登录, JWTRealm用于对header中携带jwt的请求
配置Authenticator
在Authenticator中, 可以配置验证器的相关行为. 验证器调用Realm的doAuthentication()返回验证信息. 可以对返回的token信息(正确的验证信息)和http中的信息(用户提交的验证信息)进行校验.
在Authenticator中, 一项重要配置就是: 为验证过程配置全局异常处理. 因为默认的Authenticator会将抛出的异常catch住, 因此在Realm的doAuthentication()方法中抛出的异常无法被全局异常处理程式访问到.
实现自己的AuthenticationStrategy, 并进行设置, 即可解决异常处理问题.
getAuthenticationInfo()中抛出异常, 全局异常处理却收不到自己抛出的异常
配置Filter
Shiro的验证过程通过拦截器filter实现.
在JWT场景中, 为了让Shiro对header