Shiro认证从精通到入门

Shiro认证从精通到入门

Shiro的体系结构
shiro的体系结构图

  • Authentication:认证,验证用户是否合法(登陆)
  • Authorization: 授权(授予谁具有访问某些资源的权力)
  • Session Manager :会话管理(管理用户登陆后的信息,不管是在什么应用中)
  • Cryptography : 加密(提供了常见的加密算法)
  • Web Support : web应用程序支持
  • Caching : 缓存(支持多种缓存架构)
  • Concurrency : 支持多线程并发访问
  • Testing : 测试
  • Run As : 支持一个用户在允许的情况下使用另外一个身份登陆
  • Remember Me : 记住我

shiro的架构
在这里插入图片描述

  • Subject : 主体,也可以是用户或第三方程序,用于获取主体信息
  • Security Manager : 安全管理器,是Shiro架构的核心,协调各个组件工作
  • Authenticator : 认证器,负责认证用户的身份
  • Authorizer : 授权器,负责为合法用户指定其权限(控制用户可以访问哪些资源)
  • Realms : 域,用户通过Shiro来完成相关的安全工作,Shiro是不会去维护数据信息的.在Shiro工作过程中.数据的查询和获取是通过Realm从不同的数据源来获取的.Realm可以获取数据库信息,文本信息等.在Shiro中可以有一个Realm也可以有多个.

用户认证

  • Principals : 用户的身份信息,是Subject的属性标识.能唯一标识Subject .如:电话号码,电子邮箱,身份证号码
  • Credentials : 凭证(密码).是只被subject知道的密码值.可以是密码,也可以是数字证书 (Principals/Credentials最常见的组合:用户名/密码.在Shiro中通常使用UsernamePasswordToken来指定身份和凭证信息)
    编写 Helloworld
    项目结构及jar包图示:
    在这里插入图片描述测试代码
package cn.ckh2019.shiro;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;

import java.security.Security;

/**
 * @author Chen Kaihong
 * 2019-06-08 20:40
 */
public class App {
    public static void main(String[] args) {
        //1,创建SecurityManager工厂
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        //2.通过SecurityManager工厂获取SecurityManager实例
        SecurityManager securityManager = factory.getInstance();
        //3.将securityManager对象设置到运行环境中
        SecurityUtils.setSecurityManager(securityManager);
        //4.通过SecurityUtils获取主体Subject
        Subject subject = SecurityUtils.getSubject();
        //5.假如登陆的用户名 : ckh 和 1234
        UsernamePasswordToken token = new UsernamePasswordToken("ckh","1234");
        //6.进行用户验证
        subject.login(token);
        //7.通过subject来判断用户是否通过验证
        if(subject.isAuthenticated()){
            System.out.println("登录成功");
        }
    }
}

在classpath下新建一个名为shiro.ini 的文件,输入下面的内容,目的是模拟数据库的用户信息,

[users]
ckh=1234
异常处理

在测试代码的第7步中,subject.isAuthenticated()判断用户是否通过验证,如果验证成功会返回true,执行下面的输出语句,但是需要注意的是,验证不通过的话是不会返回false的,而是会直接抛出异常,shiro也对验证不通过的不同种类的情况下提供了不同的异常类.
下面这张图是shiro提供的异常类
在这里插入图片描述在认证过程中有一个父异常:AuthenticationException,该异常有几个子类,分别对应不同的异常情况

  • DisabledAccountException : 账户失效异常
  • ExcessiveAttemptsException : 尝试次数过多
  • UnknownAccountException : 用户名错误
  • ExpiredCredentException : 凭证过期
  • IncorrectCredeException : 凭证不正确

因此可以针对不同的认证失败情况捕获不同的异常,或者甚至可以直接捕获他们的父异常AuthenticationException,例如:

        try {
            subject.login(token);
            if (subject.isAuthenticated()) {
                System.out.println("登录成功");
            }
        }catch(IncorrectCredentialsException e) {
            System.out.println("密码错误");
        }catch(UnknownAccountException e){
            System.out.println("用户名错误");
        }

总结认证的执行流程:

  1. 通过shiro的相关api,创建SecurityManager及其Subject对象
  2. 封装token信息
  3. 通过subject.login(token)进行用户认证
    subject接收token,通过其实现类DelegatingSubject将token委托给SecurityManger来完成认证.SecurityManager是一个接口,通过实现类DefaultSecurityManager的login方法完成认证功能,在login中调用了改类authenticate()来完成认证.该方法是由AuthenticactingSecurityManager来完成的.在该类的authenticate()中,调用authenticator(认证器)来完成认证.Authenticator是由其默认的实现类ModularRealmAuthenticator来完成认证.通过ModularRealmAuthenticator中的doAuthenticte来获取Realms信息.如果是单realm,如果是多realm,那么需要通过Authentication Strategy来完成对应的认证工作.
  4. 通过subject.isAuthenticated()判断是否认证成功
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值