shiro 之认证器

2019独角兽企业重金招聘Python工程师标准>>>

1 Shiro架构

1.1 Subject

    Subject即主体，外部应用与subject进行交互，subject记录了当前操作用户，将用户的概念理解为当前操作的主体，可能是以个通过浏览器请求的用户，也可能是一个运行的程序。

    Subject在shiro中是一个接口，接口中定义了很多认证授权相关的方法，外部程序通过subject进行认证授权，而subject是通过securitymanager安全管理器进行认证授权

 

1.2 SecurityManager

    Securitymanager即安全管理器，对全部的subject进行安全管理，它是shiro的核心，负责对所有的subject进行安全管理。通过Securitymanager可以完成subject的认证、授权等，实质上SecurityManager是通过Authenticator进行认证，通过Authorizer进行授权，通过sessionmanager进行绘画管理等。

    SecuriManager是一个接口，继承了Authenticator，Authorizer，SessionManager这三个接口。

 

1.3 Authenticator

    authenticator即认证器，对用户身份进行认证，authenticator是一个接口，shiro提供modularRealmAutienticator实现类，通过ModularRealmAuthenticator基本上可以满足大多数需求，也可以自定义认证器。

 

1.4 Authorier

    Authorizer即授权器，用户通过认证器认证通过，在访问功能时需要通过授权期判断用户是否有此功能的操作权限

 

1.5 realm

    Realm即领域，相当于datasource数据源，securityManager进行安全认证需要通过Realm获取用户权限数据，比如：如果用户身份数据在数据库那么realm就需要从数据库获取用户身份信息。

    注意：不要把realm理解成只是从数据源取数据，在realm中还有认证授权校验的相关的代码。

1.6 SessionManager

    sessionManager即会话管理，shiro框架定义了一套会话管理，它不依赖web容器的session，所以shiro可以使用在非web应用上，也可以将分布式应用的会话集中在一点管理，此特性可使它实现单点登录。

 

1.7 SessionDAO

    ssionDAO即会话dao，是对session会话操作的一套接口，比如要将session存储到数据库，可以通过jdbc将会话存储到数据库。

 

1.8 CacheManager

    CacheManager即缓存管理，将用户权限数据存储在缓存，这样可以提高性能。

 

1.9 Cryptopgraphy

    Cryptography即密码管理，shiro提供了一套加密/解密的组件，方便开发。比如提供常用的散列、加/解密等功能。

 

2 认证流程

 

 

 

• UnknownAccountException

账号不存在异常如下：

org.apache.shiro.authc.UnknownAccountException: No account found for user。。。。

 

 

n   IncorrectCredentialsException

当输入密码错误会抛此异常，如下：

org.apache.shiro.authc.IncorrectCredentialsException: Submitted credentials for token [org.apache.shiro.authc.UsernamePasswordToken - zhangsan, rememberMe=false] did not match the expected credentials.

 

 

更多如下：

DisabledAccountException（帐号被禁用）

LockedAccountException（帐号被锁定）

ExcessiveAttemptsException（登录失败次数过多）

ExpiredCredentialsException（凭证过期）等

 

2.1 自定义Realm

public class CustomRealm1 extends AuthorizingRealm {

 

       @Override

       public String getName() {

              return "customRealm1";

       }

 

       //支持UsernamePasswordToken

       @Override

       public boolean supports(AuthenticationToken token) {

              return token instanceof UsernamePasswordToken;

       }

 

       //认证

       @Override

       protected AuthenticationInfo doGetAuthenticationInfo(

                     AuthenticationToken token) throws AuthenticationException {

             

              //从token中 获取用户身份信息

              String username = (String) token.getPrincipal();

              //拿username从数据库中查询

              //....

              //如果查询不到则返回null

              if(!username.equals("zhang")){//这里模拟查询不到

                     return null;

              }

             

              //获取从数据库查询出来的用户密码

              String password = "123";//这里使用静态数据模拟。。

             

              //返回认证信息由父类AuthenticatingRealm进行认证

              SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(

                            username, password, getName());

 

              return simpleAuthenticationInfo;

       }

 

       //授权

       @Override

       protected AuthorizationInfo doGetAuthorizationInfo(

                     PrincipalCollection principals) {

              // TODO Auto-generated method stub

              return null;

       }

 

}

 

2.2 散列算法

    散列算法一般用于生成一算文本的摘要信息，散列算法不可逆，将内容可以生成摘要，无法将摘要转成原始内容。散列算法常用于对密码进行散列，常用的散列算法有md5，sha。一般散列算法需要提供一个salt（盐）与原始内容生成摘要信息，这样做的目的是为了安全性，比如：111111 的md5 值是：96e79218965eb72c92a549dd5a330112，拿着“96e79218965eb72c92a549dd5a330112”去md5破解网站很容易进行破解，如果要是对111111和salt（盐，一个随机数）进行散列，这样虽然密码都是111111加不同的盐生成不同的散列值

//md5加密，不加盐

              String password_md5 = new Md5Hash("111111").toString();

              System.out.println("md5加密，不加盐="+password_md5);

             

              //md5加密，加盐，一次散列

              String password_md5_sale_1 = new Md5Hash("111111", "eteokues", 1).toString();

              System.out.println("password_md5_sale_1="+password_md5_sale_1);

              String password_md5_sale_2 = new Md5Hash("111111", "uiwueylm", 1).toString();

              System.out.println("password_md5_sale_2="+password_md5_sale_2);

              //两次散列相当于md5(md5())

 

              //使用SimpleHash

              String simpleHash = new SimpleHash("MD5", "111111", "eteokues",1).toString();

              System.out.println(simpleHash);

 

@Override

       protected AuthenticationInfo doGetAuthenticationInfo(

                     AuthenticationToken token) throws AuthenticationException {

             

              //用户账号

              String username = (String) token.getPrincipal();

              //根据用户账号从数据库取出盐和加密后的值

              //..这里使用静态数据

              //如果根据账号没有找到用户信息则返回null，shiro抛出异常“账号不存在”

             

              //按照固定规则加密码结果 ，此密码 要在数据库存储，原始密码 是111111，盐是eteokues

              String password = "cb571f7bd7a6f73ab004a70322b963d5";

              //盐，随机数，此随机数也在数据库存储

              String salt = "eteokues";

             

              //返回认证信息

              SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(

                            username, password, ByteSource.Util.bytes(salt),getName());

             

 

              return simpleAuthenticationInfo;

       }

 

<!-- 凭证匹配器 -->

       <bean id="credentialsMatcher"

              class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">

              <property name="hashAlgorithmName" value="md5" />

              <property name="hashIterations" value="1" />

       </bean>

 

<!-- 自定义 realm -->

       <bean id="userRealm" class="cn.itcast.ssm.realm.CustomRealm1">

              <property name="credentialsMatcher" ref="credentialsMatcher" />

       </bean>

 

 

 

 

转载于:https://my.oschina.net/u/1442577/blog/531224