一、Shiro認證過程
1、收集實體/憑據信息
但是,“已記住”和“已認證”是有區別的:
已記住的用戶僅僅是非匿名用戶,你可以通過subject.getPrincipals()獲取用戶信息。但是它並非是完全認證通過的用戶,當你訪問需要認證用戶的功能時,你仍然需要重新提交認證信息。
這一區別可以參考亞馬遜網站,網站會默認記住登錄的用戶,再次訪問網站時,對於非敏感的頁面功能,頁面上會顯示記住的用戶信息,但是當你訪問網站賬戶信息時仍然需要再次進行登錄認證。
2、提交實體/憑據信息
- Subject currentUser = SecurityUtils.getSubject();
- currentUser.login(token);
3、認證處理
相反,如果login方法執行過程中拋出異常,那麼將認爲認證失敗。Shiro有着豐富的層次鮮明的異常類來描述認證失敗的原因,如代碼示例。
二、登出操作
登出操作可以通過調用subject.logout()來刪除你的登錄信息,如:
- currentUser.logout(); //removes all identifying information and invalidates their session too.
三、認證內部處理機制
以上,是Shiro認證在應用程序中的處理過程,下面將詳細解說Shiro認證的內部處理機制。
如上圖,我們通過Shiro架構圖的認證部分,來說明Shiro認證內部的處理順序:
1、應用程序構建了一個終端用戶認證信息的AuthenticationToken 實例後,調用Subject.login方法。
2、Sbuject的實例通常是DelegatingSubject類(或子類)的實例對象,在認證開始時,會委託應用程序設置的securityManager實例調用securityManager.login(token)方法。
3、SecurityManager接受到token(令牌)信息後會委託內置的Authenticator的實例(通常都是ModularRealmAuthenticator類的實例)調用authenticator.authenticate(token). ModularRealmAuthenticator在認證過程中會對設置的一個或多個Realm實例進行適配,它實際上爲Shiro提供了一個可拔插的認證機制。
4、如果在應用程序中配置了多個Realm,ModularRealmAuthenticator會根據配置的AuthenticationStrategy(認證策略)來進行多Realm的認證過程。在Realm被調用後,AuthenticationStrategy將對每一個Realm的結果作出響應。
注:如果應用程序中僅配置了一個Realm,Realm將被直接調用而無需再配置認證策略。
5、判斷每一個Realm是否支持提交的token,如果支持,Realm將調用getAuthenticationInfo(token); getAuthenticationInfo 方法就是實際認證處理,我們通過覆蓋Realm的doGetAuthenticationInfo方法來編寫我們自定義的認證處理。
四、使用多個Realm的處理機制:
1、Authenticator
默認實現是ModularRealmAuthenticator,它既支持單一Realm也支持多個Realm。如果僅配置了一個Realm,ModularRealmAuthenticator 會直接調用該Realm處理認證信息,如果配置了多個Realm,它會根據認證策略來適配Realm,找到合適的Realm執行認證信息。
自定義Authenticator的配置:
[main]
...
authenticator = com.foo.bar.CustomAuthenticator
securityManager.authenticator = $authenticator
2、AuthenticationStrategy(認證策略)當應用程序配置了多個Realm時,ModularRealmAuthenticator將根據認證策略來判斷認證成功或是失敗。
例如,如果只有一個Realm驗證成功,而其他Realm驗證失敗,那麼這次認證是否成功呢?如果大多數的Realm驗證成功了,認證是否就認爲成功呢?或者,一個Realm驗證成功後,是否還需要判斷其他Realm的結果?認證策略就是根據應用程序的需要對這些問題作出決斷。
認證策略是一個無狀態的組件,在認證過程中會經過4次的調用:
- 在所有Realm被調用之前
- 在調用Realm的getAuthenticationInfo 方法之前
- 在調用Realm的getAuthenticationInfo 方法之後
- 在所有Realm被調用之後
Shiro有3中認證策略的具體實現:
AtLeastOneSuccessfulStrategy | 只要有一個(或更多)的Realm驗證成功,那麼認證將被視爲成功 |
FirstSuccessfulStrategy | 第一個Realm驗證成功,整體認證將被視爲成功,且後續Realm將被忽略 |
AllSuccessfulStrategy | 所有Realm成功,認證才視爲成功 |
ModularRealmAuthenticator 內置的認證策略默認實現是AtLeastOneSuccessfulStrategy 方式,因爲這種方式也是被廣泛使用的一種認證策略。當然,你也可以通過配置文件定義你需要的策略,如:
[main]
...
authcStrategy = org.apache.shiro.authc.pam.FirstSuccessfulStrategy
securityManager.authenticator.authenticationStrategy = $authcStrategy
...
3、Realm的順序由剛纔提到的認證策略,可以看到Realm在ModularRealmAuthenticator 裏面的順序對認證是有影響的。
ModularRealmAuthenticator 會讀取配置在SecurityManager裏的Realm。當執行認證是,它會遍歷Realm集合,對所有支持提交的token的Realm調用getAuthenticationInfo 。
因此,如果Realm的順序對你使用的認證策略結果有影響,那麼你應該在配置文件中明確定義Realm的順序,如: