一、HelloWorld
本文使用Maven,配置jar请找其他相关文件1、首先准备一些用户身份/凭据(shiroHelloWorld.ini)
[users]
Tom=123456
jack=123
此处使用
ini配置文件,通过
[users]指定了两个主体:
Tom/123456、
jack/123。
2、测试用例
//该方法在后面会经常使用,可以封装成一个工具类
private Subject login(String configFile, String userName, String password){
// 1.读取配置文件,初始化SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
Factory<SecurityManager> factory=new IniSecurityManagerFactory(configFile);
// 2.得到SecurityManager实例 并绑定给SecurityUtils
SecurityManager securityManager=factory.getInstance();
// 把securityManager实例绑定到SecurityUtils
SecurityUtils.setSecurityManager(securityManager);
// 3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)
Subject subject=SecurityUtils.getSubject();
// 创建token令牌,用户名/密码
UsernamePasswordToken token=new UsernamePasswordToken(userName, password);
try{
//4、登录,即身份验证
subject.login(token);
System.out.println("身份认证成功!");
}catch(AuthenticationException e){
//5、身份验证失败
e.printStackTrace();
System.out.println("身份认证失败!");
}
Assert.assertEquals(true, subject.isAuthenticated()); //断言用户已经登录
return subject;
}
1、首先通过new IniSecurityManagerFactory并指定一个ini配置文件来创建一个SecurityManager工厂;
2、接着获取SecurityManager并绑定到SecurityUtils,这是一个全局设置,设置一次即可;
3、通过SecurityUtils得到Subject,其会自动绑定到当前线程;如果在web环境在请求结束时需要解除绑定;然后获取身份验证的Token,如用户名/密码;
4、调用subject.login方法进行登录,其会自动委托给SecurityManager.login方法进行登录;
5、如果身份验证失败请捕获AuthenticationException或其子类,常见的如: DisabledAccountException(禁用的帐号)、LockedAccountException(锁定的帐号)、UnknownAccountException(错误的帐号)、ExcessiveAttemptsException(登录失败次数过多)、IncorrectCredentialsException (错误的凭证)、ExpiredCredentialsException(过期的凭证)等,具体请查看其继承关系;对于页面的错误消息展示,最好使用如“用户名/密码错误”而不是“用户名错误”/“密码错误”,防止一些恶意用户非法扫描帐号库;
6、最后可以调用subject.logout退出,其会自动委托给SecurityManager.logout方法退出。
@Test
public void testHelloWorld() {
Subject subject= login("classpath:shiroHelloWorld.ini", "Tom", "123456");
// 6.退出
subject.logout();
}
增加一下日志配置文件log4j.properties
log4j.rootLogger=INFO, stdout
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n
# General Apache libraries
log4j.logger.org.apache=WARN
# Spring
log4j.logger.org.springframework=WARN
# Default Shiro logging
log4j.logger.org.apache.shiro=TRACE
# Disable verbose logging
log4j.logger.org.apache.shiro.util.ThreadContext=WARN
log4j.logger.org.apache.shiro.cache.ehcache.EhCache=WARN
二、身份验证
身份验证,即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是他本人,如提供身份证,用户名/密码来证明。
2-1.身份认证流程
流程如下:1、首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前必须通过SecurityUtils. setSecurityManager()设置;
2、SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证;
3、Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现;
4、Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证;
5、Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。
2-2.Subject和Realm
在shiro中,Subject认证主体包含两个信息:
principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有一个Primary principals,一般是用户名/密码/手机号。
credentials:证明/凭证,即只有主体知道的安全值,如密码/数字证书等。
最常见的principals和credentials组合就是用户名/密码了。
Realm&JDBC Reaml
Realm:意思是域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源
Realm 有很多种类,例如常见的 jdbc realm,jndi realm
String getName(); //返回一个唯一的Realm名字
boolean supports(AuthenticationToken token); //判断此Realm是否支持此Token
AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException; //根据Token获取认证信息
自定义reaml
1、单个自定义Realm实现
//Realm接口就如下三个方法
public class MyRealm1 implements Realm {
@Override
public String getName() {
return "myrealm1";
}
@Override
public boolean supports(AuthenticationToken token) {
//仅支持UsernamePasswordToken类型的Token
return token instanceof UsernamePasswordToken;
}
@Override
public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
String username = (String)token.getPrincipal(); //得到用户名
String password = new String((char[])token.getCredentials()); //得到密码
if(!"zhang".equals(username)) {
throw new UnknownAccountException(); //如果用户名错误
}
if(!"123".equals(password)) {
throw new IncorrectCredentialsException(); //如果密码错误
}
//如果身份认证验证成功,返回一个AuthenticationInfo实现;
return new SimpleAuthenticationInfo(username, password, getName());
}
}
2、ini配置文件指定自定义Realm实现(shiro-realm1.ini)
#声明一个realm
myRealm1=com.changwen.shiro.MyRealm1
#指定securityManager的realms实现
securityManager.realms=$myRealm1
@Test
public void testMyReaml() {
Subject currentUser= login("classpath:shiro-realm1.ini", "zhang", "123");
currentUser.logout();
}
多Realm配置
1、ini配置文件(shiro-multi-realm.ini)#声明一个realm
myRealm1=com.changwen.shiro.MyRealm1
myRealm2=com.changwen.shiro.MyRealm2
#指定securityManager的realms实现
securityManager.realms=$myRealm1,$myRealm2
securityManager
会按照
realms
指定的顺序进行身份认证。此处我们使用显示指定顺序的方式指定了
Realm
的顺序,如果删除“
securityManager.realms=$myRealm1,$myRealm2
”,那么
securityManager
会按照
realm
声明的顺序进行使用(即无需设置
realms
属性,其会自动发现),当我们显示指定
realm
后,其他没有指定
realm
将被忽略,如“
securityManager.realms=$myRealm1
”,那么
myRealm2
不会被自动设置进去
------------------------------------------------------------------------------------------------------
下面使用JDBC Reaml来测试.jdbc_realm.ini配置如下
#配置代码用main
[main]
#声明一个realm
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
dataSource=com.mchange.v2.c3p0.ComboPooledDataSource
#dataSource.driverClass=oracle.jdbc.OracleDriver
#dataSource.jdbcUrl=jdbc:oracle:thin:@localhost:1521:orcl
dataSource.driverClass=com.mysql.jdbc.Driver
dataSource.jdbcUrl=jdbc:mysql://localhost:3306/db_shiro
dataSource.user=root
dataSource.password=123456
jdbcRealm.dataSource=$dataSource
#指定securityManager的realms实现
securityManager.realms=$jdbcRealm
1、变量名=全限定类名会自动创建一个类实例
2、变量名.属性=值 自动调用相应的setter方法进行赋值
3、$变量名 引用之前的一个对象实例
数据库建表sql,插入的那条数据就是一个reaml
CREATE TABLE users(
id INT(3) NOT NULL PRIMARY KEY AUTO_INCREMENT,
username VARCHAR(20),
PASSWORD VARCHAR(20)
);
INSERT INTO users VALUES(1,'jack','123');
测试代码
@Test
public void testJdbcRealm() {
Subject currentUser= login("classpath:jdbc_realm.ini", "jack", "123");
// 退出
currentUser.logout();
}
2-3、Authenticator及AuthenticationStrategy
Authenticator的职责是验证用户帐号,是Shiro API中身份验证核心的入口点,接口如下
public interface Authenticator {
AuthenticationInfo authenticate(AuthenticationToken var1) throws AuthenticationException;
}
如果验证成功,将返回AuthenticationInfo验证信息;此信息中包含了身份及凭证;如果验证失败将抛出相应的AuthenticationException实现。
SecurityManager接口继承了Authenticator,另外还有一个ModularRealmAuthenticator实现,其委托给多个Realm进行验证,验证规则通过AuthenticationStrategy接口指定,默认提供的实现:
- FirstSuccessfulStrategy:只要有一个Realm验证成功即可,只返回第一个Realm身份验证成功的认证信息,其他的忽略;
- AtLeastOneSuccessfulStrategy:只要有一个Realm验证成功即可,和FirstSuccessfulStrategy不同,返回所有Realm身份验证成功的认证信息;
- AllSuccessfulStrategy:所有Realm验证成功才算成功,且返回所有Realm身份验证成功的认证信息,如果有一个失败就失败了。
ModularRealmAuthenticator默认使用AtLeastOneSuccessfulStrategy策略。
假设我们有三个realm:
myRealm1: 用户名/密码为zhang/123时成功,且返回身份/凭据为zhang/123;
myRealm2: 用户名/密码为wang/123时成功,且返回身份/凭据为wang/123;
myRealm3: 用户名/密码为zhang/123时成功,且返回身份/凭据为zhang@163.com/123,和myRealm1不同的是返回时的身份变了;即代码myRealm1相比
return new SimpleAuthenticationInfo("zhang@163.com", password, getName());
1、ini配置文件(shiro-authenticator-all-success.ini)
#指定securityManager的authenticator实现
authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator
securityManager.authenticator=$authenticator
#指定securityManager.authenticator的authenticationStrategy
allSuccessfulStrategy=org.apache.shiro.authc.pam.AllSuccessfulStrategy
securityManager.authenticator.authenticationStrategy=$allSuccessfulStrategy
#声明一个realm
myRealm1=com.changwen.shiro.MyRealm1
myRealm2=com.changwen.shiro.MyRealm2
myRealm3=com.changwen.shiro.MyRealm3
securityManager.realms=$myRealm1,$myRealm3
2
、测试AllSuccessfulStrategy成功
@Test
public void testAllSuccessfulStrategyWithSuccess() {
login("classpath:shiro-authenticator-all-success.ini", "zhang", "123");
Subject subject = SecurityUtils.getSubject();
//得到一个身份集合,其包含了Realm验证成功的身份信息
PrincipalCollection principalCollection = subject.getPrincipals();
System.out.println(principalCollection.asList());
Assert.assertEquals(2, principalCollection.asList().size());
}
[zhang, zhang@163.com] |
@Test(expected = UnknownAccountException.class)
public void testAllSuccessfulStrategyWithFail() {
login("classpath:shiro-authenticator-all-fail.ini","zhang", "123");
Subject subject = SecurityUtils.getSubject();
}
shiro-authenticator-all-fail.ini与shiro-authenticator-all-success.ini不同的配置是使用了securityManager.realms=$myRealm1,$myRealm2;即myRealm验证失败。
对于AtLeastOneSuccessfulStrategy和FirstSuccessfulStrategy的区别,请参照testAtLeastOneSuccessfulStrategyWithSuccess和testFirstOneSuccessfulStrategyWithSuccess测试方法。唯一不同点一个是返回所有验证成功的Realm的认证信息;另一个是只返回第一个验证成功的Realm的认证信息。