轉載:原:https://blog.csdn.net/PORSCHE_GT3RS/article/details/79170367
Apache Shiro是一個強大易用的Java安全框架,提供了認證、授權、加密和會話管理功能,可爲任何應用提供安全保障。本文主要介紹一下Shiro中的身份認證功能,如下:
本文參考自Apache Shiro的官方文檔:http://shiro.apache.org/authentication.html。
本文遵循以下流程:先介紹Shiro中的身份認證,再通過一個實例來具體說明一下(基於maven)。
1. 認證主體(Authenticating Subjects)
Subject 認證主體包含兩個信息:
Principals:身份。可以是用戶名,郵件,手機號碼等等,用來標識一個登錄主體身份;
Credentials:憑證。常見有密碼,數字證書等等。
在Shiro中可以在.ini文件中指定一個認證主體,也可以從數據庫中取,這裏使用.ini文件來寫一個簡單的認證主體:
[users]
csdn1=12345
csdn2=12345 可以表示兩個用戶,賬號爲csdn1和csdn2,密碼都是12345。至於這個文件怎麼用,後面我會在實例中介紹。
驗證一個主體的方法可以有效地細分爲三個不同的步驟:
Step 1:收集主體提交的身份和憑證;
Step 2:提交該身份和憑證;
Step 3:如果提交成功,允許訪問,否則重新嘗試身份驗證或阻止訪問。
Step 4:退出
下面說明Shiro中的API是如何反映以上步驟的:
//Step1: Collect the Subject's principals and credentials
//根據用戶名和密碼獲得一個令牌(token)
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
//token.setRememberMe(true); //可選用在Step1中,我們使用UsernamePasswordToken,支持最常用的用戶名/密碼認證方式。這是Shiro的org.apache.shiro.authc.AuthenticationToken接口,這是由Shiro的認證系統代表提交的主體和憑證使用的基本接口的實現。username和password就是和Subject認證主體中對應的身份和憑證做驗證的。當然也可以記住該用戶,這個可有可無,關於RememberMe將在後續文章中介紹。
//Step2: Submit the principals and credentials
//得到當前執行的用戶
Subject currentUser = SecurityUtils.getSubject();
//進行認證
currentUser.login(token);在Step2中,先通過SecurityUtils工具類獲取當前執行的用戶,然後進行身份認證,這個認證會參考ini文件中的Subject主體(當然了,實際中是參考數據庫中的信息),在下面的示例程序中可以看的出。
//Step3: Handling Success or Failure
try {
currentUser.login(token);
} catch ( AuthenticationException ae ) {
//unexpected error?
//Handel error
}
//No problems, continue on as expected...在Step3中,我們要根據認證的結果來處理正確或者錯誤的結果,所以我們需要將currentUser.login(token)使用try/catch包起來。
//Step4: Logging out
currentUser.logout();與認證相反的是釋放所有已知的確定的狀態。當主體完成與應用程序交互,可以調用subject.logout()放棄所有的身份信息,subject.logout()會刪除所有身份信息以及他們的會話(這裏的會話指的是Shiro中的會話)。
2. 認證過程(Authentication Sequence)
上文介紹了認證主體,以及從代碼的角度來分析了一下身份認證過程。下面來看一下在身份認證中,Shiro裏面都幹了些啥。圖出自官方文檔:
Step1:應用程序代碼在調用Subject.login(token)方法後,傳入代表最終用戶的身份和憑證構造的AuthenticationToken實例token。
Step2:將Subject實例委託給應用程序的SecurityManager(Shiro的安全管理)通過調用securityManager.login(token)來開始實際的認證工作。這裏開始真正的認證工作了。
Step3,4,5:然後SecurityManager就會根據具體的reaml去進行安全認證了。
這個realm到底是啥呢?realm就是一個域,Shiro就是從realm中獲取驗證數據的,也就是我們寫在.ini文件中的東西,當然了,這個realm有很多種,如text realm、jdbc realm、jndi realm等,text realm比較簡單,這一節主要總結一下jdbc realm的使用,text realm也會提到。
3. 身份認證示例
示例的工程結構如下:
pom.xml中的包如下:
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>demo.shiro</groupId>
<artifactId>Shiro02</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>Shiro02</name>
<description>Shiro02</description>
<build/>
<dependencies>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.2.5</version>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-log4j12</artifactId>
<version>1.7.21</version>
</dependency>
<dependency>
<groupId>c3p0</groupId>
<artifactId>c3p0</artifactId>
<version>0.9.1.2</version>
</dependency>
<dependency>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
<version>1.2</version>
</dependency>
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>5.1.38</version>
</dependency>
</dependencies>
</project>log4j.properties文件如下:
log4j.rootLogger=INFO, stdout
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n
# General Apache libraries
log4j.logger.org.apache=WARN
# Spring
log4j.logger.org.springframework=WARN
# Default Shiro logging
log4j.logger.org.apache.shiro=TRACE
# Disable verbose logging
log4j.logger.org.apache.shiro.util.ThreadContext=WARN
log4j.logger.org.apache.shiro.cache.ehcache.EhCache=WARN首先寫一個shiro.ini文件,文件內容很簡單,只放一個用戶信息:
[users]
csdn=123然後開始寫身份認證的java代碼了,如下:
public class TextRealm {
public static void main(String[] args) {
// 讀取配置文件,初始化SecurityManager工廠
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
// 獲取securityManager實例
SecurityManager securityManager = factory.getInstance();
// 把securityManager實例綁定到SecurityUtils
SecurityUtils.setSecurityManager(securityManager);
// 創建token令牌,用戶名/密碼
UsernamePasswordToken token = new UsernamePasswordToken("csdn", "123");
// 得到當前執行的用戶
Subject currentUser = SecurityUtils.getSubject();
try{
// 身份認證
currentUser.login(token);
System.out.println("身份認證成功!");
}catch(AuthenticationException e){
e.printStackTrace();
System.out.println("身份認證失敗!");
}
// 退出
currentUser.logout();
}
} 運行該程序就可以根據傳入的參數和realm中的數據進行匹對,完成身份認證,從而打印認證成功,如果用戶名和密碼填寫一個錯誤的,則會驗證失敗。
接下來再分析一下jdbc realm的寫法,首先新建一個JdbcRealm.ini文件,如下:
[main]#數據源選擇的是c3p0
dataSource=com.mchange.v2.c3p0.ComboPooledDataSource
dataSource.driverClass=com.mysql.jdbc.Driver
dataSource.jdbcUrl=jdbc:mysql://localhost:3306/db_shiro
dataSource.user=root
dataSource.password=root
#定義一個jdbc的realm,取名爲jdbcRealm
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
#jdbcRealm中有個屬性是dataSource,選擇我們上邊定義的dataSource
jdbcRealm.dataSource=$dataSource
#SecurityManager中的realm選擇上面定義的jdbcRealm
securityManager.realms=$jdbcRealm
然後需要準備數據庫的數據,我新建了一個數據庫db_shiro,裏面有個users表,兩個字段username和password,我就放了三個數據用來測試的,如下:
然後寫JdbcRealm.java代碼,和上面的一樣的,只不過讀取的配置文件不同
public class JdbcRealm {
public static void main(String[] args) {
// 讀取配置文件,初始化SecurityManager工廠
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:jdbc_realm.ini");
// 獲取securityManager實例
SecurityManager securityManager = factory.getInstance();
// 把securityManager實例綁定到SecurityUtils
SecurityUtils.setSecurityManager(securityManager);
// 得到當前執行的用戶
Subject currentUser = SecurityUtils.getSubject();
// 創建token令牌,用戶名/密碼
UsernamePasswordToken token = new UsernamePasswordToken("倪升武2", "123");
try{
// 身份認證
currentUser.login(token);
System.out.println("身份認證成功!");
}catch(AuthenticationException e){
e.printStackTrace();
System.out.println("身份認證失敗!");
}
// 退出
currentUser.logout();
}
}這樣Shiro就會根據這個jdbc realm從數據庫中獲取驗證數據對傳入的參數進行身份驗證,驗證通過則打印出通過的語句,否則不予通過。這就是Shiro中簡單的身份認證,下一節將總結一下Shiro中的權限認證,即授權。