上篇文章已经介绍了Shiro的基础功能 ,这篇文章内容会针对Shiro身份认证原理。
环境
基于SpringBoot开发
Shiro需要的依赖:
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring-boot-web-starter</artifactId>
<version>1.4.2</version>
</dependency>
Shiro的身份认证底层实现流程:
-
SecurityUtils:它是一个抽象对象,内置了SecurityManager,而SecurityManager是Shiro的核心,Shiro所有的功能实现都由SecurityManager管理实现,SecurityUtils中的SecurityManager是静态的,这意味着SecurityManager是全局唯一的,它是由Spring容器加载时而创建的。
SecurityUtils中还含有一个静态方法getSubject(),通过该方法可以获得Subject对象,Subject对象是外界调用Shiro的方法的桥梁。
public abstract class SecurityUtils { private static SecurityManager securityManager; public SecurityUtils() { } public static Subject getSubject() { Subject subject = ThreadContext.getSubject(); if (subject == null) { subject = (new Builder()).buildSubject(); ThreadContext.bind(subject); } return subject; } } -
当我们得到了Subject对象,就可以去使用Shiro的登录方法login(),login()方法会带着登录需要验证的信息既 用户名和密码,这里Shiro提供了AuthenticationToken对象,我们将信息放入即可。
AuthenticationToken token = new UsernamePasswordToken(uname, pwd);login会调用Shiro集成好的登录验证方法,方法如下,AuthorizingRealm会继承AuthenticatingRealm
AuthenticatingRealm:用于认证的Realm AuthorizingRealm:用于授权和认证的realm登录验证身份时,会调用AuthenticatingRealm中的doGetAuthenticationInfo()方法,验证成功会返回含有身份信息的AuthenticationInfo
public abstract class AuthenticatingRealm extends CachingRealm implements Initializable { protected abstract AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken var1) throws AuthenticationException; }
到这里可能会有疑问,上面我们把带着用户和密码的AuthenticationToken拿去登录了,它是怎么验证正不正确的,我们也没有提供用户名和密码数据啊?
是这样的,Shiro验证数据配置是ini配置文件,如果我们直接这样去使用login()登录,Shiro会拿着登录名和密码去配置文件中的数据比对,配置文件如下(下面会慢慢展开数据库数据验证,这里只是分析底层):
[users]
zhangsan=zs
lisi=ls
这个配置文件就不去解释,实际开发中不会使用这个,我们知道原理即可。
-
login()方法登录成功会返回AuthenticationInfo信息,登录不成功咋办?Subject的login()方法是无返回值的,登录失败会有相应的异常,我们通过异常来判断相应的登录失败信息,常见异常如下:
异常 描述 UnknownAccountException 账号验证错误,账号不存在 IncorrectCredentialsException 密码错误 UnauthorizedException 权限不足 -
到这里我们已经分析完了Shiro登录底层实现原理,实际开发中,我们并不会使用配置文件来存储用户密码,一般都是方法数据库中,那要如何实现呢?
Shiro身份验证的开发环境实现
Shiro底层验证用户身份会通过配置的用户数据,但我们实际开发中用户数据都存放在数据库,我们如果想实现就需要去重写AuthenticatingRealm和AuthorizingRealm这两个域,其中AuthorizingRealm继承了AuthenticatingRealm,我们只要去实现AuthorizingRealm的重写完成自定义的Realm域。
@Component
public class MyRealm extends AuthorizingRealm {
/**
* 登录认证自定义逻辑方法
* 自定义登录认证的逻辑,配置生效后,当shiro的login方法被执行时,底层会
* 自动的调用该方法完成登录认证,而不是使用shiro自己内置的登录认证逻辑
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//获取用户的登录名
String uname = token.getPrincipal().toString();
//根据用户名从数据库获取用户信息
User user = userService.selUserInfoService(uname);
if (user != null) {
AuthenticationInfo info=new SimpleAuthenticationInfo(token.getPrincipal(),user.getPwd(),token.getPrincipal().toString());
return info;
}
return null;
}
/**
* 自定义授权方法
* 每一个授权都会走到这里验证
* 该方法是有shiro自动触发,调用该方法获取当前认证成功的用户权限信息,
* 然后shiro获取当前方法的返回值后,自动的进行权限效验,如果效验成功
* 则正常执行对应的资源;效验失败则报错。
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
return null;
}
}
- doGetAuthenticationInfo实现用户信息的验证,由于这里是我们自定义的Realm域,我们可以从数据库中拿到账户的信息,然后我们把账户信息放入SimpleAuthenticationInfo中,Shiro会自动帮我们去与登录的信息比对
- 这里可以使用加密,Shiro框架提供了Cryptography密码模块,可以使用MD5加密,加盐,迭代加密等待。
这个Realm怎么使用配置,会等下篇文章权限验证底层原理分析完后,一起介绍。
2033
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
