一、身份认证
基本流程
流程如下:
- shiro把用户的数据封装成标识token,token一般封装着用户名,密码等信息
- 使用Subject获取到封装着用户的数据标识token
- Subject将token交给SecurityManager,在SecurityManager安全中心中,SecurityManager把标识委托给认证器Authenticator进行身份验证。认证器的作用一般是用来指定如何验证,他规定本次认证用到那些Realm
- 认证器Authenticator将传入的token,与数据源Realm对比验证是否合法
二、入门小案例
1.创建一个maven项目导入以来
<dependencies>
<dependency>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
<version>1.1.3</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.2.2</version>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-nop</artifactId>
<version>1.7.2</version>
</dependency>
<dependency>
<groupId>org.junit.jupiter</groupId>
<artifactId>junit-jupiter</artifactId>
<version>RELEASE</version>
<scope>compile</scope>
</dependency>
</dependencies>
2.在资源文件夹下写shiro.ini配置文件
#声明用户账号
[users]
zhangSan=123
3.写测试方法
@Test
public void shiroLogin(){
//导入ini配置创建工厂
IniSecurityManagerFactory factory = new IniSecurityManagerFactory();
//工厂构建安全管理器
SecurityManager securityManager = factory.getInstance();
//使用工具生效安全管理器
SecurityUtils.setSecurityManager(securityManager);
//使用工具获取subject的主体
Subject subject = SecurityUtils.getSubject();
//构建账号密码
UsernamePasswordToken passwordToken = new UsernamePasswordToken("zhangSan", "123");
//使用subject主体去登录
subject.login(passwordToken);
//打印登录信息
System.out.println("登录结果"+subject.isAuthenticated());
}
测试结果
但是一般用户信息是从表里来的,不可能写进配置文件里,所以需要写一个继承AuthorizingRealm(授权认证的接口,原因:授权接口前面会有缓存功能和认证功能,所以直接继承授权认证就好)
例如:
package config;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.junit.platform.commons.util.StringUtils;
import service.impl.SecurityServiceImpl;
/**
* 自定义的realm
* 继承授权的接口
*/
public class DefinitionRealm extends AuthorizingRealm {
/**
* 鉴权
* @param principalCollection
* @return
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
return null;
}
/**
* 认证
* @param authenticationToken
* @return
* @throws AuthenticationException
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
//获取登录名
String principal = (String) authenticationToken.getPrincipal();
//然后模拟用登录名去数据库拿到密码
SecurityServiceImpl securityService = new SecurityServiceImpl();
String password = securityService.findPasswordByName(principal);
//判断拿到的密码是否为空
if (StringUtils.isBlank(password)){
throw new UnknownAccountException("该用户不存在!");
}
return new SimpleAuthenticationInfo(principal,password,getName());
}
}
这样一来,shiro.ini里的配置就要修改
#声明自定义的realm,且为安全管理器指定的relms
[main]
definitionRealm=config.DefinitionRealm
securityManager.realms=$definitionRealm
再次执行上述的测试方法结果如下