一、shiro身份验证的基本概念:
(1)身份验证:
这就不多说了,给shiro传递【身份+证明】,就可以进行验证。
(2)身份
粗浅的说,相当于账户。比如手机号、邮箱、用户名这些。
准确的说,相当于身份。
shiro中把这个封装成了【principals】
(3)证明
证明其实就是密码。
shiro中把这个封装成了【credentials】
二、实例使用
接下来,看看如何使用shiro进行身份验证。
(1)环境准备
maven引入,这个不解释了。
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>${shiro.version}</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-ehcache</artifactId>
<version>${shiro.version}</version>
</dependency>
(2)数据源
这个就是数据库dataSource配置。也没有写的必要。
(3)服务端:账户验证
我们先做服务端,就是验证账户;之后在写客户端,就是登录模拟。
写之前有一点要说一下,shiro的账户验证控制是SecurityManager控制完成的。整个shiro其实也就是三个东西,Subject-门面,SecurityManager-核心,Realm-安全数据源。我为了理解叫成了服务端和客户端,这是从访问shiro的角度来说的。
另外,看一下流程:
1、shiro实现账户验证的方法也很简单,就是实现接口:
public AuthenticationInfo authenticate(AuthenticationToken authenticationToken)
throws AuthenticationException;
2、返回值:AuthenticationInfo 就是验证信息。包含了[身份+凭证]。
3、如果验证失败,shiro会抛出异常AuthenticationException,可以进行细化。
4、验证策略:AuthenticationStrategy 可以进行验证策略设置。比如对于多个Realm是与还是且。等等。
如果要实现,控制器是不需要我们写的,但是需要在数据源中进行设置。具体来说,就是你在建Realm的时候,就需要指定一下,实现authenticate接口,好给控制器来进行验证。
上图是我简单整理控制器的一个接口汇总,具体写了下验证部分。
其实调用的还是Realm的。我把它也汇总了下,大家一看就明白了。
(4)客户端:登录
这个其实也没什么好说的,在登录的时候,调用subject.login进行验证就可了。
上图是我以前写的一个shiro的demo。继承了一个接口,实现方式和使用可以从图中看出来。
三、部分代码
shiro验证其实写到这里就可以了。是shiro中最简单的一个功能。
最近在搭建一个手脚架,顺便将整合shiro部分的代码贴一下,方便看官理解。
(1)创建一个MyShiroRealm
public class MyShiroRealm extends AuthorizingRealm {
private static final Logger log = LoggerFactory.getLogger("adminLogger");
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
String username = usernamePasswordToken.getUsername();
UserService userService = SpringUtil.getBean(UserService.class);
User user = userService.getUser(username);
if (user == null) {
throw new UnknownAccountException("用户名不存在");
}
if (!user.getPassword()
.equals(userService.passwordEncoder(new String(usernamePasswordToken.getPassword()), user.getSalt()))) {
throw new IncorrectCredentialsException("密码错误");
}
if (user.getStatus() != Status.VALID) {
throw new IncorrectCredentialsException("无效状态,请联系管理员");
}
SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user, user.getPassword(),
ByteSource.Util.bytes(user.getSalt()), getName());
UserUtil.setUserSession(user);
return authenticationInfo;
}
}
(2)登录
@LogAnnotation
@ApiOperation(value = "web端登陆")
@PostMapping("/sys/login")
public void login(String username, String password) {
UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(username, password);
SecurityUtils.getSubject().login(usernamePasswordToken);
// 设置shiro的session过期时间
SecurityUtils.getSubject().getSession().setTimeout(serverProperties.getServlet().getSession().getTimeout().toMillis());
}
(3)其它
好像暂时没有别的了