身份的验证

身份验证：
一般需要提供如身份证ID等一些标识信息来表明登录者的身份，如提供email，用户名/密码来证明。
在shiro中，用户需要提供principals（身份）和credentials（证明）给shiro，从而应用能验证用户身份。
Principals：身份，即主体的标识属性，可以是任何属性，如用户名、邮件等，唯一即可。一个主体可以有多个principals，但只有一个Primary principals，一般是用户名/邮件/手机号号码。
Credentials：证明/凭证，即只有主体知道的安全值，如密码/数字证书等。
最常见的principals和credentials组合就是用户名/密码了
身份验证基本流程：
1、 收集用户身份/凭证，即如用户名/密码
2、 调用Subject.login进行登录，如果失败将得到相应的AuthenticationException异常，根据异常提示用户错误信息；否则登录成功
3、 创建自定义的Realm类，继承org.apache.shiro.realm.AuthorizingRealm类，实现
doGetAuthenticationInfo()方法

如果身份证验证失败请捕捉AuthenticationEclipse或其子类
最好使用如“用户名/密码错误”而不是“用户名错误”/“密码错误”，防止一些恶意用户非法扫描账号库。

身份证认证流程：
1、 首先调用Subject.login(token)进行登录，其会自动委托给SecurityManager
2、 SecurityManager负责真正的身份验证逻辑；它会委托给Authenticator进行身份验证；
3、 Authenticator才是真正的身份验证者，Shiro API中核心的身份认证入口点，此处可以自定义插入自己的实现；
4、 Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证，默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证；
5、 Authenticator会把相应的token传入Realm，从Realm获取身份证信息，如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm，将按照相应的顺序及策略进行访问。

Realm：Shiro从Realm获取安全数据（如用户、角色、权限），即SecurityManager要验证用户身份，那么它需要从Realm获取现相应的用户进行比较以确定用户身份是否合法；也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作
Realm接口：

一般继承AuthorizingRealm（授权）即可；其继承了AuthenticatingRealm（即身份验证），而且也间接继承了CachingRealm（带有缓存实现）。
Realm的继承关系：

Authenicatorr的职责是验证用户账号，是Shiro API中身份验证核心的入口点：如果验证成功，将返回AuthenticationInfo验证信息；此信息中包含了身份及凭证；如果验证失败将抛出相应的AuthenticationException异常
SecurityManager接口继承了Authenticator，另外还有一个ModularRealmAuthenticator实现，其委托给多个Realm进行验证，验证规则通过AuthenticationStrategy接口指定

AuthenticationStrategy接口的默认实现：
FirstSuccessfulStrategy：只要有一个Realm验证成功即可，只返回第一个Realm身份验证成功的认证信息，其他的忽略；
AtLeastOneSuccessfulStrategy：只要有一个Realm验证成功即可，和FirstSuccessfulStrategy不同，将返回所有Realm身份验证成功的认证信息；
FirstSuccessfulStrategy：所有Realm验证成功才算成功，且返回所有Realm身份验证成功的认证信息，如果有一个失败就失败了。
ModularRealmAuthenticator默认是AtLeastOneSuccessfulStrategy策略