?
目錄貼: ?跟我學(xué)Shiro目錄貼
?
身份驗(yàn)證 ,即在應(yīng)用中誰(shuí)能證明他就是他本人。一般提供如他們的身份 ID 一些標(biāo)識(shí)信息來表明他就是他本人,如提供身份證,用戶名 / 密碼來證明。
在 shiro 中,用戶需要提供 principals ? (身份)和 credentials (證明) 給 shiro ,從而應(yīng)用能驗(yàn)證用戶身份:
principals :身份,即主體的標(biāo)識(shí)屬性,可以是任何東西,如用戶名、郵箱等,唯一即可。一個(gè)主體可以有多個(gè) principals ,但只有一個(gè) Primary principals ,一般是用戶名 / 密碼 / 手機(jī)號(hào)。
credentials :證明 / 憑證,即只有主體知道的安全值,如密碼 / 數(shù)字證書等。
最常見的 principals 和 credentials 組合就是用戶名 / 密碼了。接下來先進(jìn)行一個(gè)基本的身份認(rèn)證。
?
另外兩個(gè)相關(guān)的概念是之前提到的 Subject 及 Realm ,分別是主體及驗(yàn)證主體的數(shù)據(jù)源。
?
2.2? 環(huán)境準(zhǔn)備
本文使用Maven構(gòu)建,因此需要一點(diǎn)Maven知識(shí)。首先準(zhǔn)備環(huán)境依賴:?
<dependencies>
<dependency>
<groupId>junit</groupId>
<artifactId>junit</artifactId>
<version>4.9</version>
</dependency>
<dependency>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
<version>1.1.3</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.2.2</version>
</dependency>
</dependencies>?
添加 junit 、 common-logging 及 shiro-core 依賴即可。
?
2.3? 登錄 / 退出
1、首先準(zhǔn)備一些用戶身份/憑據(jù)(shiro.ini)
[users]
zhang=123
wang=123
此處使用 ini 配置文件,通過 [users] 指定了兩個(gè)主體: zhang/123 、 wang/123 。
??
2、測(cè)試用例(com.github.zhangkaitao.shiro.chapter2.LoginLogoutTest)?
@Test
public void testHelloworld() {
//1、獲取SecurityManager工廠,此處使用Ini配置文件初始化SecurityManager
Factory<org.apache.shiro.mgt.SecurityManager> factory =
new IniSecurityManagerFactory("classpath:shiro.ini");
//2、得到SecurityManager實(shí)例 并綁定給SecurityUtils
org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
//3、得到Subject及創(chuàng)建用戶名/密碼身份驗(yàn)證Token(即用戶身份/憑證)
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");
try {
//4、登錄,即身份驗(yàn)證
subject.login(token);
} catch (AuthenticationException e) {
//5、身份驗(yàn)證失敗
}
Assert.assertEquals(true, subject.isAuthenticated()); //斷言用戶已經(jīng)登錄
//6、退出
subject.logout();
}
?
2.1 、首先通過 new IniSecurityManagerFactory 并指定一個(gè) ini 配置文件來創(chuàng)建一個(gè) SecurityManager 工廠;
2.2 、接著獲取 SecurityManager 并綁定到 SecurityUtils ,這是一個(gè)全局設(shè)置,設(shè)置一次即可;
2.3 、通過 SecurityUtils 得到 Subject ,其會(huì)自動(dòng)綁定到當(dāng)前線程;如果在 web 環(huán)境在請(qǐng)求結(jié)束時(shí)需要解除綁定;然后獲取身份驗(yàn)證的 Token ,如用戶名 / 密碼;
2.4 、調(diào)用 subject.login 方法進(jìn)行登錄,其會(huì)自動(dòng)委托給 SecurityManager.login 方法進(jìn)行登錄;
2.5 、如果身份驗(yàn)證失敗請(qǐng)捕獲 AuthenticationException 或其子類,常見的如: DisabledAccountException (禁用的帳號(hào))、 LockedAccountException (鎖定的帳號(hào))、 UnknownAccountException (錯(cuò)誤的帳號(hào))、 ExcessiveAttemptsException (登錄失敗次數(shù)過多)、 IncorrectCredentialsException (錯(cuò)誤的憑證)、 ExpiredCredentialsException (過期的憑證)等,具體請(qǐng)查看其繼承關(guān)系;對(duì)于頁(yè)面的錯(cuò)誤消息展示,最好使用如“用戶名 / 密碼錯(cuò)誤”而不是“用戶名錯(cuò)誤” / “密碼錯(cuò)誤”,防止一些惡意用戶非法掃描帳號(hào)庫(kù);
2.6 、最后可以調(diào)用 subject.logout 退出,其會(huì)自動(dòng)委托給 SecurityManager.logout 方法退出。
?
從如上代碼可總結(jié)出身份驗(yàn)證的步驟:
1 、收集用戶身份 / 憑證,即如用戶名 / 密碼;
2 、調(diào)用 Subject.login 進(jìn)行登錄,如果失敗將得到相應(yīng)的 AuthenticationException 異常,根據(jù)異常提示用戶錯(cuò)誤信息;否則登錄成功;
3 、最后調(diào)用 Subject.logout 進(jìn)行退出操作。
?
如上測(cè)試的幾個(gè)問題:
1 、用戶名 / 密碼硬編碼在 ini 配置文件,以后需要改成如數(shù)據(jù)庫(kù)存儲(chǔ),且密碼需要加密存儲(chǔ);
2 、用戶身份 Token 可能不僅僅是用戶名 / 密碼,也可能還有其他的,如登錄時(shí)允許用戶名 / 郵箱 / 手機(jī)號(hào)同時(shí)登錄。?
?
2.4? 身份認(rèn)證流程
流程如下:
1 、首先調(diào)用 Subject.login(token) 進(jìn)行登錄,其會(huì)自動(dòng)委托給 Security Manager ,調(diào)用之前必須通過 SecurityUtils. setSecurityManager() 設(shè)置;
2 、 SecurityManager 負(fù)責(zé)真正的身份驗(yàn)證邏輯;它會(huì)委托給 Authenticator 進(jìn)行身份驗(yàn)證;
3 、 Authenticator 才是真正的身份驗(yàn)證者, Shiro API 中核心的身份認(rèn)證入口點(diǎn),此處可以自定義插入自己的實(shí)現(xiàn);
4 、 Authenticator 可能會(huì)委托給相應(yīng)的 AuthenticationStrategy 進(jìn)行多 Realm 身份驗(yàn)證,默認(rèn) ModularRealmAuthenticator 會(huì)調(diào)用 AuthenticationStrategy 進(jìn)行多 Realm 身份驗(yàn)證;
5 、 Authenticator 會(huì)把相應(yīng)的 token 傳入 Realm ,從 Realm 獲取身份驗(yàn)證信息,如果沒有返回 / 拋出異常表示身份驗(yàn)證失敗了。此處可以配置多個(gè) Realm ,將按照相應(yīng)的順序及策略進(jìn)行訪問。
?
2.5? Realm
Realm:域,Shiro從從Realm獲取安全數(shù)據(jù)(如用戶、角色、權(quán)限),就是說SecurityManager要驗(yàn)證用戶身份,那么它需要從Realm獲取相應(yīng)的用戶進(jìn)行比較以確定用戶身份是否合法;也需要從Realm得到用戶相應(yīng)的角色/權(quán)限進(jìn)行驗(yàn)證用戶是否能進(jìn)行操作;可以把Realm看成DataSource,即安全數(shù)據(jù)源。如我們之前的ini配置方式將使用org.apache.shiro.realm.text.IniRealm。
?
org.apache.shiro.realm.Realm接口如下:?
String getName(); //返回一個(gè)唯一的Realm名字
boolean supports(AuthenticationToken token); //判斷此Realm是否支持此Token
AuthenticationInfo getAuthenticationInfo(AuthenticationToken token)
throws AuthenticationException; //根據(jù)Token獲取認(rèn)證信息
?
單 Realm 配置
1、自定義Realm實(shí)現(xiàn)(com.github.zhangkaitao.shiro.chapter2.realm.MyRealm1):??
public class MyRealm1 implements Realm {
@Override
public String getName() {
return "myrealm1";
}
@Override
public boolean supports(AuthenticationToken token) {
//僅支持UsernamePasswordToken類型的Token
return token instanceof UsernamePasswordToken;
}
@Override
public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
String username = (String)token.getPrincipal(); //得到用戶名
String password = new String((char[])token.getCredentials()); //得到密碼
if(!"zhang".equals(username)) {
throw new UnknownAccountException(); //如果用戶名錯(cuò)誤
}
if(!"123".equals(password)) {
throw new IncorrectCredentialsException(); //如果密碼錯(cuò)誤
}
//如果身份認(rèn)證驗(yàn)證成功,返回一個(gè)AuthenticationInfo實(shí)現(xiàn);
return new SimpleAuthenticationInfo(username, password, getName());
}
}?
?
2、ini配置文件指定自定義Realm實(shí)現(xiàn)(shiro-realm.ini)??
#聲明一個(gè)realm
myRealm1=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm1
#指定securityManager的realms實(shí)現(xiàn)
securityManager.realms=$myRealm1?
通過 $name 來引入之前的 realm 定義
?
3 、測(cè)試用例請(qǐng)參考 com.github.zhangkaitao.shiro.chapter2.LoginLogoutTest 的 testCustomRealm 測(cè)試方法,只需要把之前的 shiro.ini 配置文件改成 shiro-realm.ini 即可。
?
多 Realm 配置
1、ini配置文件(shiro-multi-realm.ini)??
#聲明一個(gè)realm
myRealm1=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm1
myRealm2=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm2
#指定securityManager的realms實(shí)現(xiàn)
securityManager.realms=$myRealm1,$myRealm2?
securityManager 會(huì)按照 realms 指定的順序進(jìn)行身份認(rèn)證。此處我們使用顯示指定順序的方式指定了 Realm 的順序,如果刪除“ securityManager.realms=$myRealm1,$myRealm2 ”,那么 securityManager 會(huì)按照 realm 聲明的順序進(jìn)行使用(即無需設(shè)置 realms 屬性,其會(huì)自動(dòng)發(fā)現(xiàn)),當(dāng)我們顯示指定 realm 后,其他沒有指定 realm 將被忽略,如“ securityManager.realms=$myRealm1 ”,那么 myRealm2 不會(huì)被自動(dòng)設(shè)置進(jìn)去。
?
2 、測(cè)試用例請(qǐng)參考 com.github.zhangkaitao.shiro.chapter2.LoginLogoutTest 的 testCustomMultiRealm 測(cè)試方法。
?
Shiro 默認(rèn)提供的 Realm
以后一般繼承 AuthorizingRealm (授權(quán))即可;其繼承了 AuthenticatingRealm (即身份驗(yàn)證),而且也間接繼承了 CachingRealm (帶有緩存實(shí)現(xiàn))。其中主要默認(rèn)實(shí)現(xiàn)如下:
org.apache.shiro.realm.text.IniRealm : [users] 部分指定用戶名 / 密碼及其角色; [roles] 部分指定角色即權(quán)限信息;
org.apache.shiro.realm.text.PropertiesRealm : user.username=password,role1,role2 指定用戶名 / 密碼及其角色; role.role1=permission1,permission2 指定角色及權(quán)限信息;
org.apache.shiro.realm.jdbc.JdbcRealm : 通過 sql 查詢相應(yīng)的信息,如“ select password from users where username = ? ”獲取用戶密碼,“ select password, password_salt from users where username = ? ”獲取用戶密碼及鹽;“ select role_name from user_roles where username = ? ”獲取用戶角色;“ select permission from roles_permissions where role_name = ? ”獲取角色對(duì)應(yīng)的權(quán)限信息;也可以調(diào)用相應(yīng)的 api 進(jìn)行自定義 sql ;
?
JDBC Realm 使用
1、數(shù)據(jù)庫(kù)及依賴
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>5.1.25</version>
</dependency>
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>druid</artifactId>
<version>0.2.23</version>
</dependency>?
本文將使用 mysql 數(shù)據(jù)庫(kù)及 druid 連接池; ?
?
2 、到數(shù)據(jù)庫(kù) shiro 下建三張表: users (用戶名 / 密碼)、 user_roles (用戶 / 角色)、 roles_permissions (角色 / 權(quán)限),具體請(qǐng)參照 shiro-example-chapter2/sql/shiro.sql ;并添加一個(gè)用戶記錄,用戶名 / 密碼為 zhang/123 ;
?
3、ini配置(shiro-jdbc-realm.ini)?
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
dataSource=com.alibaba.druid.pool.DruidDataSource
dataSource.driverClassName=com.mysql.jdbc.Driver
dataSource.url=jdbc:mysql://localhost:3306/shiro
dataSource.username=root
#dataSource.password=
jdbcRealm.dataSource=$dataSource
securityManager.realms=$jdbcRealm?
1 、變量名 = 全限定類名 會(huì)自動(dòng)創(chuàng)建一個(gè)類實(shí)例
2 、變量名 . 屬性 = 值 自動(dòng)調(diào)用相應(yīng)的 setter 方法進(jìn)行賦值
3 、 $ 變量名 引用之前的一個(gè)對(duì)象實(shí)例 ?
4 、測(cè)試代碼請(qǐng)參照 com.github.zhangkaitao.shiro.chapter2.LoginLogoutTest 的 testJDBCRealm 方法,和之前的沒什么區(qū)別。
?
2.6? Authenticator 及 AuthenticationStrategy
Authenticator的職責(zé)是驗(yàn)證用戶帳號(hào),是Shiro API中身份驗(yàn)證核心的入口點(diǎn):?
public AuthenticationInfo authenticate(AuthenticationToken authenticationToken)
throws AuthenticationException;?
如果驗(yàn)證成功,將返回 AuthenticationInfo 驗(yàn)證信息;此信息中包含了身份及憑證;如果驗(yàn)證失敗將拋出相應(yīng)的 AuthenticationException 實(shí)現(xiàn)。
?
SecurityManager 接口繼承了 Authenticator ,另外還有一個(gè) ModularRealmAuthenticator 實(shí)現(xiàn),其委托給多個(gè) Realm 進(jìn)行驗(yàn)證,驗(yàn)證規(guī)則通過 AuthenticationStrategy 接口指定,默認(rèn)提供的實(shí)現(xiàn):
FirstSuccessfulStrategy :只要有一個(gè) Realm 驗(yàn)證成功即可,只返回第一個(gè) Realm 身份驗(yàn)證成功的認(rèn)證信息,其他的忽略;
AtLeastOneSuccessfulStrategy :只要有一個(gè) Realm 驗(yàn)證成功即可,和 FirstSuccessfulStrategy 不同,返回所有 Realm 身份驗(yàn)證成功的認(rèn)證信息;
AllSuccessfulStrategy :所有 Realm 驗(yàn)證成功才算成功,且返回所有 Realm 身份驗(yàn)證成功的認(rèn)證信息,如果有一個(gè)失敗就失敗了。
?
ModularRealmAuthenticator 默認(rèn)使用 AtLeastOneSuccessfulStrategy 策略。
?
假設(shè)我們有三個(gè) realm :
myRealm1 : 用戶名 / 密碼為 zhang/123 時(shí)成功,且返回身份 / 憑據(jù)為 zhang/123 ;
myRealm2 : 用戶名 / 密碼為 wang/123 時(shí)成功,且返回身份 / 憑據(jù)為 wang/123 ;
myRealm3 : 用戶名 / 密碼為 zhang/123 時(shí)成功,且返回身份 / 憑據(jù)為 zhang@163.com/123 ,和 myRealm1 不同的是返回時(shí)的身份變了;
?
1、ini配置文件(shiro-authenticator-all-success.ini)?
#指定securityManager的authenticator實(shí)現(xiàn)
authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator
securityManager.authenticator=$authenticator
#指定securityManager.authenticator的authenticationStrategy
allSuccessfulStrategy=org.apache.shiro.authc.pam.AllSuccessfulStrategy
securityManager.authenticator.authenticationStrategy=$allSuccessfulStrategy
myRealm1=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm1
myRealm2=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm2
myRealm3=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm3
securityManager.realms=$myRealm1,$myRealm3
?
2 、測(cè)試代碼( com.github.zhangkaitao.shiro.chapter2.AuthenticatorTest )
2.1、首先通用化登錄邏輯?
private void login(String configFile) {
//1、獲取SecurityManager工廠,此處使用Ini配置文件初始化SecurityManager
Factory<org.apache.shiro.mgt.SecurityManager> factory =
new IniSecurityManagerFactory(configFile);
//2、得到SecurityManager實(shí)例 并綁定給SecurityUtils
org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
//3、得到Subject及創(chuàng)建用戶名/密碼身份驗(yàn)證Token(即用戶身份/憑證)
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");
subject.login(token);
}
?
2.2 、測(cè)試 AllSuccessfulStrategy 成功: ????
@Test
public void testAllSuccessfulStrategyWithSuccess() {
login("classpath:shiro-authenticator-all-success.ini");
Subject subject = SecurityUtils.getSubject();
//得到一個(gè)身份集合,其包含了Realm驗(yàn)證成功的身份信息
PrincipalCollection principalCollection = subject.getPrincipals();
Assert.assertEquals(2, principalCollection.asList().size());
}?
即 PrincipalCollection 包含了 zhang 和 zhang@163.com 身份信息。
?
2.3 、測(cè)試 AllSuccessfulStrategy 失敗:
@Test(expected = UnknownAccountException.class)
public void testAllSuccessfulStrategyWithFail() {
login("classpath:shiro-authenticator-all-fail.ini");
Subject subject = SecurityUtils.getSubject();
}?
shiro-authenticator-all-fail.ini 與 shiro-authenticator-all-success.ini 不同的配置是使用了 securityManager.realms=$myRealm1,$myRealm2 ;即 myRealm 驗(yàn)證失敗。
?
對(duì)于 AtLeastOneSuccessfulStrategy 和 FirstSuccessfulStrategy 的區(qū)別,請(qǐng)參照 testAtLeastOneSuccessfulStrategyWithSuccess 和 testFirstOneSuccessfulStrategyWithSuccess 測(cè)試方法。唯一不同點(diǎn)一個(gè)是返回所有驗(yàn)證成功的 Realm 的認(rèn)證信息;另一個(gè)是只返回第一個(gè)驗(yàn)證成功的 Realm 的認(rèn)證信息。
?
自定義 AuthenticationStrategy 實(shí)現(xiàn),首先看其 API :
//在所有Realm驗(yàn)證之前調(diào)用
AuthenticationInfo beforeAllAttempts(
Collection<? extends Realm> realms, AuthenticationToken token)
throws AuthenticationException;
//在每個(gè)Realm之前調(diào)用
AuthenticationInfo beforeAttempt(
Realm realm, AuthenticationToken token, AuthenticationInfo aggregate)
throws AuthenticationException;
//在每個(gè)Realm之后調(diào)用
AuthenticationInfo afterAttempt(
Realm realm, AuthenticationToken token,
AuthenticationInfo singleRealmInfo, AuthenticationInfo aggregateInfo, Throwable t)
throws AuthenticationException;
//在所有Realm之后調(diào)用
AuthenticationInfo afterAllAttempts(
AuthenticationToken token, AuthenticationInfo aggregate)
throws AuthenticationException;?
因?yàn)槊總€(gè) AuthenticationStrategy 實(shí)例都是無狀態(tài)的,所有每次都通過接口將相應(yīng)的認(rèn)證信息傳入下一次流程;通過如上接口可以進(jìn)行如合并 / 返回第一個(gè)驗(yàn)證成功的認(rèn)證信息。
?
自定義實(shí)現(xiàn)時(shí)一般繼承 org.apache.shiro.authc.pam.AbstractAuthenticationStrategy 即可,具體可以參考代碼 com.github.zhangkaitao.shiro.chapter2.authenticator.strategy 包下 OnlyOneAuthenticatorStrategy 和 AtLeastTwoAuthenticatorStrategy 。
?
到此基本的身份驗(yàn)證就搞定了,對(duì)于 AuthenticationToken 、 AuthenticationInfo 和 Realm 的詳細(xì)使用后續(xù)章節(jié)再陸續(xù)介紹。
?
示例源代碼: https://github.com/zhangkaitao/shiro-example ;可加群134755960探討Spring/Shiro技術(shù)。
?
更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號(hào)聯(lián)系: 360901061
您的支持是博主寫作最大的動(dòng)力,如果您喜歡我的文章,感覺我的文章對(duì)您有幫助,請(qǐng)用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點(diǎn)擊下面給點(diǎn)支持吧,站長(zhǎng)非常感激您!手機(jī)微信長(zhǎng)按不能支付解決辦法:請(qǐng)將微信支付二維碼保存到相冊(cè),切換到微信,然后點(diǎn)擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對(duì)您有幫助就好】元
