2 Apache Shiro 身份认证(登录)

最新推荐文章于 2024-03-29 09:43:34 发布
最新推荐文章于 2024-03-29 09:43:34 发布
阅读量3.6k 收藏 5
点赞数 2
分类专栏: 后端开发 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/silent_paladin/article/details/72775782
版权

2.1 概述

身份认证通常需要提供“用户”身份ID和一些标识信息,如用户名、密码。
Shiro 中需要提供 principals(身份)和 credentials(凭证)用于验证用户身份。
principals
身份,即主体的标识属性,如用户名、邮箱、手机等,要求唯一。一个主体可以有多个 principals。
credentials
凭证(证明),即只有主体知道的安全数据,如密码、数字证书等。
最常见的 principals 和 credentials 组合就是用户名和密码。

2.2 项目依赖

使用 Maven 构建 Shiro 应用和管理依赖,POM.xml 基本配置如下:

<dependencies>
  <dependency>
    <groupId>junit</groupId>
    <artifactId>junit</artifactId>
    <version>4.12</version>
  </dependency>
  <dependency>
    <groupId>commons-logging</groupId>
    <artifactId>commons-logging</artifactId>
    <version>1.2</version>
  </dependency>
  <dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.3.2</version>
  </dependency>
</dependencies>

2.3 基础的登录和退出功能

1 首先准备一些用户身份和凭证,以 ini 配置文件(shiro.ini)为例,通过 [users] 指定了两个主体:Steve/001Tony/002

[users]
Steve=001
Tony=002

2 测试用例

import static org.junit.Assert.*;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;

public class ShiroTest {

    @Test
    public void testHelloShiro() {
        // 1.获取SecurityManager工厂,使用ini配置文件初始化SecurityManager
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        // 2.获取SecurityManager实例
        SecurityManager securityManager = factory.getInstance();
        // 3.将SecurityManager实例绑定给SecurityUtils
        SecurityUtils.setSecurityManager(securityManager);
        // 4.通过SecurityUtils获取Subject
        Subject subject = SecurityUtils.getSubject();
        // 5.创建用户名、密码身份验证token
        UsernamePasswordToken token = new UsernamePasswordToken("Tony", "002");
        try {
            // 6.使用用户名、密码身份验证token进行身份认证,即登录
            subject.login(token);
        } catch (AuthenticationException e) {
            fail("身份认证失败");
        }
        // 7.判断用户处于“已登录”状态
        assertTrue(subject.isAuthenticated());
        // 8.退出登录
        subject.logout();
    }

}

测试用例说明:
(1) 首先通过 new IniSecurityManagerFactory 创建一个 SecurityManager 工厂,传入一个 ini 配置文件参数;
(2) 其次通过 SecurityManager 工厂获取一个 SecurityManager 实例并绑定到 SecurityUtils,这是一个全局设置,只需设置一次;
(3) 通过 SecurityUtils 得到一个 Subject 主体,Shiro 会自动将此主体绑定到当前线程。如果处于 Web 环境中,则请求结束时需要解除绑定;
(4) 获取用于身份验证的 token,如用户名/密码;
(5) 调用 subject.login(token) 方法进行登录认证,会自动委托给 SecurityManager.login 方法进行登录认证;
(6) 如果身份认证失败请捕获 AuthenticationException 或其子类,常见子类包括:
* DisabledAccountException:禁用账号
* LockedAccountException:锁定账号
* UnknownAccountException:账号错误
* ExcessiveAttemptsException:登录失败次数超出限制
* IncorrectCredentialsException:凭证错误
* ExpiredCredentialsException:凭证过期
对于页面的错误消息展示,最好使用如“用户名/密码错误”而不是“用户名错误/密码错误”,防止一些恶意用户非法扫描账号库;
(7) 最后调用 subject.logout() 退出,会自动委托给 SecurityManager.logout 方法退出。

从以上代码可以看出身份验证的步骤:
(1) 收集用户身份和凭证,如用户名和密码;
(2) 调用 subject.login(token) 进行登录认证,如果失败会发生对应的 AuthenticationException 异常,通过异常类型提示登录认证失败原因,若无异常则登录成功;
(3) 最后调用 subject.logout() 执行退出登录操作。

以上测试代码的问题:
(1) 用户名和密码硬编码在 ini 配置文件中,需要修改为数据库存储且密码需要加密;
(2) 用户身份 token 可能不仅仅是用户名和密码,可能还有其他信息,如登录时允许用户名/邮箱/手机号同时登录。

2.4 身份认证流程

这里写图片描述

身份认证流程如下:
(1) 首先调用 subject.login(token) 进行登录认证,自动委托给 SecurityManager,调用前必须获取 SecurityManager 实例且要将此实例绑定给 SecurityUtils
(2) SecurityManager 负责身份认证逻辑,会委托给 Authenticator 进行身份认证;
(3) Authenticator 才是真正的身份认证负责人,是 Shiro API 中核心的身份认证入口点,可以自定义插入自己的身份认证实现逻辑;
(4) Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份认证,默认 ModularRealmAuthenticator 会调用 AuthenticationStrategy 进行多 Realm 身份认证;
(5) Authenticator 会把相应的 token 传入 Realm,从 Realm 获取身份认证信息,如果抛出异常表示身份认证失败。可以配置多个 Realm,将按照对应的顺序及策略进行访问。

2.5 Realm

Realm:域,SecurityManagerRealm 获取安全数据(如用户名、密码)进行比较以确定用户身份是否合法,还可以从 Realm 得到用户相应的角色和权限信息验证用户是否可以进行某种操作。可以将 Realm 看成安全数据的数据源。如 ini 配置文件方式会使用 org.apache.shiro.realm.text.IniRealm

org.apache.shiro.realm.Realm 接口定义如下:

package org.apache.shiro.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;

public interface Realm {

    /**
     * 返回一个唯一的Realm名字
     */
    String getName();

    /**
     * 判断是否支持此token
     */
    boolean supports(AuthenticationToken token);

    /**
     * 根据token获取认证信息
     */
    AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException;

}

2.5.1 单 Realm 配置
(1) 自定义 Realm 实现

package shiro.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.realm.Realm;

public class SingleRealm implements Realm {

    @Override
    public String getName() {
        return "Single Realm";
    }

    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof UsernamePasswordToken;
    }

    @Override
    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 1.从token中获取用户名
        String username = (String) token.getPrincipal();
        // 2.从token中获取密码
        String password = new String((char[]) token.getCredentials());
        // 3.验证用户名,如果不匹配抛出UnknownAccountException异常
        if (!"Hulk".equals(username)) {
            throw new UnknownAccountException();
        }
        // 4.验证密码,如果不匹配抛出IncorrectCredentialsException异常
        if (!"003".equals("003")) {
            throw new IncorrectCredentialsException();
        }
        // 5.如果身份认证通过,返回一个AuthenticationInfo实现
        return new SimpleAuthenticationInfo(username, password, getName());
    }

}

(2) 在 ini 配置文件(shiro-realm.ini)中指定自定义的 Realm 实现

#声明一个Realm
singleRealm=shiro.realm.SingleRealm
#指定securityManager的realms实现
securityManager.realms=$singleRealm

(3) 测试用例

import static org.junit.Assert.*;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;

public class ShiroTest {

    @Test
    public void testCustomSingleRealm() {
        // 1.获取SecurityManager工厂,使用ini配置文件初始化SecurityManager
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-realm.ini");
        // 2.获取SecurityManager实例
        SecurityManager securityManager = factory.getInstance();
        // 3.将SecurityManager实例绑定给SecurityUtils
        SecurityUtils.setSecurityManager(securityManager);
        // 4.通过SecurityUtils获取Subject
        Subject subject = SecurityUtils.getSubject();
        // 5.创建用户名、密码身份验证token
        UsernamePasswordToken token = new UsernamePasswordToken("Hulk", "003");
        try {
            // 6.使用用户名、密码身份验证token进行身份验证,即登录
            subject.login(token);
        } catch (AuthenticationException e) {
            fail("身份认证失败");
        }
        // 7.判断用户处于“已登录”状态
        assertTrue(subject.isAuthenticated());
    }

}

2.5.2 多 Realm 配置
(1) 自定义 Realm1

package shiro.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.realm.Realm;

public class CustomRealm1 implements Realm {

    @Override
    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) 
        throws AuthenticationException {
        // 获取用户名
        String username = (String) token.getPrincipal();
        // 获取密码
        String password = new String((char[]) token.getCredentials());
        // 如果用户名错误
        if (!"Barton".equals(username)) {
            throw new UnknownAccountException();
        }
        // 如果密码错误
        if (!"004".equals(password)) {
            throw new IncorrectCredentialsException();
        }
        // 如果身份认证验证成功,返回一个AuthenticationInfo接口实现
        return new SimpleAuthenticationInfo(username, password, getName());
    }

    @Override
    public String getName() {
        return "Custom Realm 1";
    }

    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof UsernamePasswordToken;
    }

}

(2) 自定义 Realm2

package shiro.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.realm.Realm;

public class CustomRealm2 implements Realm {

    @Override
    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) 
        throws AuthenticationException {
        // 获取用户名
        String username = (String) token.getPrincipal();
        // 获取密码
        String password = new String((char[]) token.getCredentials());
        // 如果用户名错误
        if (!"Thor".equals(username)) {
            throw new UnknownAccountException();
        }
        // 如果密码错误
        if (!"005".equals(password)) {
            throw new IncorrectCredentialsException();
        }
        // 如果身份认证验证成功,返回一个AuthenticationInfo接口实现
        return new SimpleAuthenticationInfo(username, password, getName());
    }

    @Override
    public String getName() {
        return "Custom Realm 2";
    }

    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof UsernamePasswordToken;
    }

}

(3) 在 ini 配置文件(shiro-multi-realm.ini)中指定多个自定义的 Realm 实现

#声明多个Realm
customRealm1=shiro.realm.CustomRealm1
customRealm2=shiro.realm.CustomRealm2
#指定securityManager的realms实现
securityManager.realms=$customRealm1,$customRealm2

(4) 测试用例

import static org.junit.Assert.*;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;

public class ShiroTest {

    @Test
    public void testCustomMultiRealm() {
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-multi-realm.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
        Subject subject = SecurityUtils.getSubject();

        UsernamePasswordToken token = new UsernamePasswordToken("Barton", "004");
        try {
            subject.login(token);
        } catch (AuthenticationException e) {
            fail("身份认证失败");
        }
        assertTrue(subject.isAuthenticated());
        subject.logout();

        token = new UsernamePasswordToken("Thor", "005");
        try {
            subject.login(token);
        } catch (AuthenticationException e) {
            fail("身份认证失败");
        }
        assertTrue(subject.isAuthenticated());
        subject.logout();
    }

}

2.5.3 Shiro 默认提供的 Realm
这里写图片描述

一般继承 AuthorizingRealm(授权)即可,AuthorizingRealm 继承了 AuthenticatingRealm(即身份认证),而且也间接继承了 CachingRealm(缓存实现)。
主要默认实现如下:
* org.apache.shiro.realm.text.IniRealmini 配置文件中 [users] 部分指定用户名、密码及角色;[roles] 部分指定角色权限信息;
* org.apache.shiro.realm.text.PropertiesRealmuser.username=password,role1,role2 指定用户名、密码及角色;role.role1=permission1,permission2 指定角色权限信息;
* org.apache.shiro.realm.jdbc.JdbcRealm:通过 SQL 查询相应的用户名、密码、角色、权限等信息。

2.5.4 JdbcRealm 使用
(1) 使用 MySQL 数据库和阿里巴巴 druid 连接池,添加 Maven 依赖

<dependency>
  <groupId>com.alibaba</groupId>
  <artifactId>druid</artifactId>
  <version>1.0.31</version>
</dependency>
<dependency>
  <groupId>mysql</groupId>
  <artifactId>mysql-connector-java</artifactId>
  <version>5.1.42</version>
</dependency>

(2) 新建数据库 shiro,并在 shiro 数据库中新建3张表:
* users:存放用户名和密码
* user_roles:存放用户和角色
* roles_permissions:存放角色和权限
在 users 中添加一个用户记录,用户名 Fury,密码 000

drop database if exists shiro;
create database shiro;
use shiro;

create table users (
  id bigint auto_increment,
  username varchar(100),
  password varchar(100),
  password_salt varchar(100),
  constraint pk_users primary key(id)
) charset=utf8 ENGINE=InnoDB;
create unique index idx_users_username on users(username);

create table user_roles(
  id bigint auto_increment,
  username varchar(100),
  role_name varchar(100),
  constraint pk_user_roles primary key(id)
) charset=utf8 ENGINE=InnoDB;
create unique index idx_user_roles on user_roles(username, role_name);

create table roles_permissions(
  id bigint auto_increment,
  role_name varchar(100),
  permission varchar(100),
  constraint pk_roles_permissions primary key(id)
) charset=utf8 ENGINE=InnoDB;
create unique index idx_roles_permissions on roles_permissions(role_name, permission);

insert into users(username,password)values('Fury','000');

(3) 创建 ini 配置文件(shiro-jdbc-realm.ini)

jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
dataSource=com.alibaba.druid.pool.DruidDataSource
dataSource.driverClassName=com.mysql.jdbc.Driver
dataSource.url=jdbc:mysql://localhost:3306/shiro
dataSource.username=root
dataSource.password=123456
jdbcRealm.dataSource=$dataSource
securityManager.realms=$jdbcRealm

ini 配置文件说明:
* 变量名=全限定类名:自动创建一个类实例
* 变量名.属性=值:自动调用相应的 setter 方法进行赋值
* $变量名:引用之前的一个对象实例

(4) 测试用例

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;

public class ShiroTest {

    @Test
    public void testJdbcRealm() {
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-jdbc-realm.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("Fury", "000");
        try {
            subject.login(token);
        } catch (AuthenticationException e) {
            e.printStackTrace();
            fail("身份验证失败");
        }
        assertTrue(subject.isAuthenticated());
    }

}

2.6 Authenticator 和 AuthenticationStrategy

authenticator 的职责是验证用户账号,是 Shiro API 中身份认证核心的入口点:

public interface Authenticator {
    public AuthenticationInfo authenticate(AuthenticationToken authenticationToken)
        throws AuthenticationException;
}

如果验证通过,返回 AuthenticationInfo 认证信息,其中包含了用户身份和凭证;如果验证失败会抛出相应的 AuthenticationException 实现。

SecurityManager 接口继承了 authenticator,另外还有一个 ModularRealmAuthenticator 实现,委托给多个 Realm 进行认证,认证规则通过 AuthenticationStrategy 接口指定,默认提供的实现:
* FirstSuccessfulStrategy:只要有一个 Realm 验证成功即可,只返回第一个验证成功的 Realm 的认证信息,其他的忽略;
* AtLeastOneSuccessfulStrategy:只要有一个 Realm 验证成功即可,和 FirstSuccessfulStrategy 不同,返回所有验证成功的 Realm 的认证信息;
* AllSuccessfulStrategy:所有 Realm 验证成功才算成功,如果有一个验证失败就算失败,验证成功返回所有成功的 Realm 的认证信息。
ModularRealmAuthenticator 默认使用 AtLeastOneSuccessfulStrategy 策略。

假设有3个 Realm:
* Realm1:用户名/密码为“Barton/004”时成功,返回身份/凭证为“Barton/004”
* Realm2:用户名/密码为“Thor/005”时成功,返回身份/凭证为“Thor/005”
* Realm3:用户名/密码为“Barton/004”时成功,和 Realm1 不同之处在于返回的身份/凭证变为“Clint Barton/004”
Realm1Realm2 代码在“2.5.2 多 Realm 配置”章节中已经展示,Realm3 代码如下:

package shiro.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.realm.Realm;

public class CustomRealm3 implements Realm {

    @Override
    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) 
        throws AuthenticationException {
        // 获取用户名
        String username = (String) token.getPrincipal();
        // 获取密码
        String password = new String((char[]) token.getCredentials());
        // 如果用户名错误
        if (!"Barton".equals(username)) {
            throw new UnknownAccountException();
        }
        // 如果密码错误
        if (!"004".equals(password)) {
            throw new IncorrectCredentialsException();
        }
        // 如果身份认证验证成功,返回一个AuthenticationInfo接口实现
        return new SimpleAuthenticationInfo("Clint " + username, password, getName());
    }

    @Override
    public String getName() {
        return "Custom Realm 3";
    }

    @Override
    public boolean supports(AuthenticationToken token) {
        return token instanceof UsernamePasswordToken;
    }

}

2.6.1 测试 FirstSuccessfulStrategy
(1) 创建 ini 配置文件(shiro-authenticator-first-success.ini)

#指定securityManager的authenticator实现
authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator
securityManager.authenticator=$authenticator

#指定securityManager.authenticator的authenticationStrategy
firstSuccessfulStrategy=org.apache.shiro.authc.pam.FirstSuccessfulStrategy
securityManager.authenticator.authenticationStrategy=$firstSuccessfulStrategy

customRealm1=shiro.realm.CustomRealm1
customRealm2=shiro.realm.CustomRealm2
customRealm3=shiro.realm.CustomRealm3
securityManager.realms=$customRealm3,$customRealm2,$customRealm1

(2) 测试用例

import static org.junit.Assert.*;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;

public class ShiroTest {

    @Test
    public void testFirstSuccessfulStrategyWithSuccess() {
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-authenticator-first-success.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("Barton", "004");
        try {
            subject.login(token);
        } catch (AuthenticationException e) {
            e.printStackTrace();
            fail("身份验证失败");
        }
        assertTrue(subject.isAuthenticated());
        // 获取身份集合,包含Realm验证成功的身份信息
        PrincipalCollection principalCollection = subject.getPrincipals();
        assertEquals(1, principalCollection.asList().size());
        System.out.println(principalCollection.asList().get(0));
    }

}

测试结果打印:

SLF4J: Failed to load class "org.slf4j.impl.StaticLoggerBinder".
SLF4J: Defaulting to no-operation (NOP) logger implementation
SLF4J: See http://www.slf4j.org/codes.html#StaticLoggerBinder for further details.
Clint Barton

2.6.2 测试 AtLeastOneSuccessfulStrategy
(1) 创建 ini 配置文件(shiro-authenticator-atLeastOne-success.ini)

#指定securityManager的authenticator实现
authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator
securityManager.authenticator=$authenticator

#指定securityManager.authenticator的authenticationStrategy
atLeastOneSuccessfulStrategy=org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy
securityManager.authenticator.authenticationStrategy=$atLeastOneSuccessfulStrategy

customRealm1=shiro.realm.CustomRealm1
customRealm2=shiro.realm.CustomRealm2
customRealm3=shiro.realm.CustomRealm3
securityManager.realms=$customRealm1,$customRealm2,$customRealm3

(2) 测试用例

import static org.junit.Assert.*;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;

public class ShiroTest {

    @Test
    public void testAtLeastOneSuccessfulStrategyWithSuccess() {
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-authenticator-atLeastOne-success.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("Barton", "004");
        try {
            subject.login(token);
        } catch (AuthenticationException e) {
            e.printStackTrace();
            fail("身份验证失败");
        }
        assertTrue(subject.isAuthenticated());
        // 获取身份集合,包含Realm验证成功的身份信息
        PrincipalCollection principalCollection = subject.getPrincipals();
        assertEquals(2, principalCollection.asList().size());
        for (Object principal : principalCollection.asList()) {
            System.out.println(principal);
        }
    }

}

测试结果打印:

SLF4J: Failed to load class "org.slf4j.impl.StaticLoggerBinder".
SLF4J: Defaulting to no-operation (NOP) logger implementation
SLF4J: See http://www.slf4j.org/codes.html#StaticLoggerBinder for further details.
Barton
Clint Barton

2.6.3 测试 AllSuccessfulStrategy
(1) 创建 ini 配置文件(shiro-authenticator-all-success.ini)

#指定securityManager的authenticator实现
authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator
securityManager.authenticator=$authenticator

#指定securityManager.authenticator的authenticationStrategy
allSuccessfulStrategy=org.apache.shiro.authc.pam.AllSuccessfulStrategy
securityManager.authenticator.authenticationStrategy=$allSuccessfulStrategy

customRealm1=shiro.realm.CustomRealm1
customRealm2=shiro.realm.CustomRealm2
customRealm3=shiro.realm.CustomRealm3
securityManager.realms=$customRealm1,$customRealm3

(2) 测试用例

import static org.junit.Assert.*;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;

public class ShiroTest {

    @Test
    public void testAllSuccessfulStrategyWithSuccess() {
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-authenticator-all-success.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("Barton", "004");
        try {
            subject.login(token);
        } catch (AuthenticationException e) {
            e.printStackTrace();
            fail("身份验证失败");
        }
        assertTrue(subject.isAuthenticated());
        // 获取身份集合,包含Realm验证成功的身份信息
        PrincipalCollection principalCollection = subject.getPrincipals();
        assertEquals(2, principalCollection.asList().size());
        for (Object principal : principalCollection.asList()) {
            System.out.println(principal);
        }
    }

}

测试结果打印:

SLF4J: Failed to load class "org.slf4j.impl.StaticLoggerBinder".
SLF4J: Defaulting to no-operation (NOP) logger implementation
SLF4J: See http://www.slf4j.org/codes.html#StaticLoggerBinder for further details.
Barton
Clint Barton

以上是认证成功的测试用例,以下再给出一个认证失败的测试用例:
(1) 创建 ini 配置文件(shiro-authenticator-all-fail.ini)

#指定securityManager的authenticator实现
authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator
securityManager.authenticator=$authenticator

#指定securityManager.authenticator的authenticationStrategy
allSuccessfulStrategy=org.apache.shiro.authc.pam.AllSuccessfulStrategy
securityManager.authenticator.authenticationStrategy=$allSuccessfulStrategy

customRealm1=shiro.realm.CustomRealm1
customRealm2=shiro.realm.CustomRealm2
customRealm3=shiro.realm.CustomRealm3
securityManager.realms=$customRealm1,$customRealm2

(2) 测试用例

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;

public class ShiroTest {

    @Test(expected = UnknownAccountException.class)
    public void testAllSuccessfulStrategyWithFail() {
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-authenticator-all-fail.ini");
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("Barton", "004");
        subject.login(token);
    }

}

2.6.3 自定义 AuthenticationStrategy
原文中 AuthenticationStrategy 的实现原理还没有完全参透,等参透后再补充。

又言又语
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
shiro+oauth2.0
weixin_33911824的博客
10-16 1171
1.搭建Oauth2.0协议的实现demo,最好要先学习一下Shiro的环境搭建。 在Shiro安全控制框架的基础上实现oauth2.0 较为容易。 学习Oauth2.0 正式开始: 学习理论:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html 案例 我用的是:张开涛的oauth和shiro集成的栗子。 当然理...
OAuth2集成Shiro
笨鸟快飞的专栏
08-21 7232
目前很多开放平台如新浪微博开放平台都在使用提供开放API接口供开发者使用,随之带来了第三方应用要到开放平台进行授权的问题,OAuth就是干这个的,OAuth2是OAuth协议的下一个版本,相比OAuth1,OAuth2整个授权流程更简单安全了,但不兼容OAuth1,具体可以到OAuth2官网http://oauth.net/2/查看,OAuth2协议规范可以参考http://tools.ietf.
OAuth2-Shiro:安全框架新星,轻松保护你的Web应用
最新发布
gitblog_00004的博客
03-29 232
OAuth2-Shiro:安全框架新星,轻松保护你的Web应用 项目地址:https://gitcode.com/monkeyk/oauth2-shiro OAuth2-Shiro是一个集成OAuth2授权和Apache Shiro权限管理的轻量级安全框架,它将流行的认证协议与强大的权限控制库相结合,为Java开发者提供了一种简洁而高效的方式来保护他们的Web应用程序。项目地址 项目简介 OAut...
Apache 用户认证
weixin_33787529的博客
05-12 116
平常工作中,有必要对一些特定的页面做用户认证,就是登录进去的时候,要先输入用户名和密码才可以进入,这样做比较安全。那么用户认证怎么做呢?具体操作见下图,输入命令 cat /usr/local/apache2.4/conf/extra/httpd-vhosts.conf,查看文件内容,确定更改第二个 VirtualHost 虚拟主机,因为第一个虚拟主机是默认虚拟主机,先不管它。接着输入命令 vi...
Apache Shiro身份认证过程详解
追寻上飞的博客
02-28 1354
花了两天时间认真、重点走读==Apache Shiro安全框架==`身份认证`的源码,`访问控制`和前者是结构对应的,架构之美体现在对称和简易上。这个框架也让我想起业界优秀的网络框架`Netty`,优雅地描述了网络模型,它的优雅不仅体现在`ServerSocket`和`Socket`的对称之美,还体现在简化了一系列配置极简之美。
Apache2 添加登陆用户名和密码
weixin_30642267的博客
07-30 771
1. 修改httpd.conf, 对要做认证的目录进行设置<Directory "/usr/local/var/www"> Options Indexes FollowSymLinks AllowOverride AuthConfig Order allow,deny Allow from all</Directory> 2. 到目录/usr/loc...
Apache Shiro 身份认证例子-源码
01-17
Apache Shiro 身份认证例子-源码
Apache Shiro 使用手册(二) Shiro 认证
09-15
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份认证、授权和会话管理功能。本文主要关注其认证过程,即验证用户身份的环节。 在 Shiro 的认证过程中,用户需要提供实体信息(Principals)和凭据信息...
Apache Shiro 身份认证例子- Web应用
01-17
可直接拷贝到Tomcat下运行,默认用户名/口令:admin/admin
Apache Shiro 框架简介
01-11
认证 – 用户身份识别,常被称为用户“登录”; 授权 – 访问控制; 密码加密 – 保护或隐藏数据防止被偷窥; 会话管理 – 每用户相关的时间敏感的状态。 对于任何一个应用程序,Shiro都可以提供全面的...
apache 用户验证详解
weixin_33794672的博客
10-28 444
用户验证配置方式用户验证配置行提示信息 AuthType basic 表示进行验证的方式 AuthName "hello" 表示验证时提示的信息(可随意进行填写) Au...
oauth2-shiro-jwt:两种登录方式
05-14
接口说明,支持两种方式,两套接口 1.使用JWT生成Token,使用shiro实现鉴权 2.使用oauth2生成token,spring security实现鉴权 使用JWT生成Token,使用shiro实现鉴权 UMS返回参数说明 名称 类型 说明 type int 请求状态(0:失败;1:成功) messageCode int 详情请移步错误码page message String 提示信息 result Object 结果集 获取token POST /shiro/auth/token 输入参数 必须 类型 中文描述 applicationKey yes String 需要登录的项目key userName yes String 用户名 password yes String 密码 返回Result 类型 中文描述 token String 使用JWT生成的Token 请求示例 cu
Shiro】二、Apache Shiro验证功能的主要流程
KevinBrain的博客
04-01 280
一、Apache Shiro身份验证功能 Shiro框架旨在使身份验证尽可能简洁直观,同时提供丰富的功能。下面是Shiro身份验证功能的特点。 基于主体的-您在Shiro中所做的几乎所有操作都基于当前正在执行的用户,即主体。而且,您可以轻松地在代码中的任何位置检索主体。这使您可以更轻松地在您的应用程序中理解和使用Shiro。 单一方法调用-身份验证过程是单一方法调用。只需要一个方法调用就可以使API保持简单,并且您的应用程序代码干净,从而节省了时间和精力。 丰富的异常层次结构-S
Shiro学习笔记之(四)Apache Shiro 认证(登陆)
David
06-22 284
Shiro学习笔记之(三)Apache Shiro SecurityMananger配置一、概述认证就是验证用户身份的过程,这里一般是提交用户身份信息(Principals)和凭证信息(Credentials)。Principals是Subject唯一标识属性,用来证明Subject,可以理解为身份证号码。Credentials,通俗理解密码,但是不局限于密码,指纹,视网膜,证书都可以。二、认证过...
请你简述Apache Shiro 框架的认证流程。
weixin_35757191的博客
01-19 160
Apache Shiro 框架的认证流程主要分为以下几步: 用户登录,提交用户名和密码。 Shiro 框架使用 AuthenticationInfo 对象来验证用户名和密码是否正确。 如果用户名和密码验证通过,则 Shiro 框架会创建一个 Subject 对象,表示当前登录的用户。 Shiro 框架会使用 Subject 对象来验证用户是否有访问某个资源的权限。 如果用户具有访问某个资...
Shiro oauth2.0 java_shiro oauth2.0 鉴权
weixin_28826961的博客
03-05 769
什么是oauth2.0OAuth简单说就是一种授权的协议,是一种开放的授权标准。允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息。 只要授权方和被授权方遵守这个协议去写代码提供服务,那双方就是实现了OAuth模式。2.oauth2.0授权常见的例子比如你登录简书,但是你没有注册简书账号,这个时候呢,你可以选择 使用QQ登录,或者微信登录等方式。登录.png点击QQ登录,会跳转到QQ的...
OAuth2 Java Shiro 客户端
yueguanyun的专栏
10-25 5574
OAuth2 Java Shiro 客户端 转自:http://jinnianshilongnian.iteye.com/blog/2038646 客户端 客户端流程:如果需要登录首先跳到oauth2服务端进行登录授权,成功后服务端返回auth code,然后客户端使用auth code去服务器端换取access token,最好根据access token获取用户信息进行客户端的登录
3.Apache Shiro认证授权流程
相互学习 共同进步
06-17 740
Apache Shiro认证授权流程 继承AuthorizingRealm类然后重写doGetAuthorizationInfo()和doGetAuthenticationInfo()方法 (1)身份认证流程:doGetAuthenticationInfo() 在用户登录的时候调用的也就是执行SecurityUtils.getSubject().login()的时候调用(登录验证) 如果用户未登录,将跳转到loginUrl进行登录登录表单中,包含了两个主要参数:用户名username、密码passwo
解决shiro登录后,isAuthenticated还是false问题
weixin_34402090的博客
02-22 6162
2019独角兽企业重金招聘Python工程师标准>>> ...
spring boot 解决Apache Shiro身份认证绕过漏洞(CVE-2023-22602)
06-02
对于Spring Boot项目中的Apache Shiro身份认证绕过漏洞(CVE-2023-22602),可以通过以下步骤进行解决: 1.升级Apache Shiro到1.7.1或更高版本。可以在项目的Maven或Gradle依赖中更新Apache Shiro的版本。 2.检查...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

又言又语

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值