认证,身份验证,验证用户是否合法
在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份:
principals:用户的身份信息,是subject的标识属性,能够唯一标识subject,如电话号码,电子邮箱,身份证号等。
credentials:凭证:密码,是只被subject知道的秘密值。如密码/数字证书等。
最常见的principals和credentials组合就是用户名/密码。shiro中通常使用UsernamePasswordToken指定身份和凭证信息。
身份认证流程:
流程如下:
1、首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前必须通过SecurityUtils. setSecurityManager()设置;
2、SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证;
3、Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现;
4、Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证;
5、Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。
例子:
新建maven工程
首先准备一些用户身份/凭据(shiro.ini):通过[users]指定了两个主体:zhangnsan/1111 ; lisi/1111。
[users]
zhangsan=1111
lisi=1111
shiro文档关于ini的说明:
log4j配置文件
log4j.rootLogger=debug, stdout
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n
maven依赖:
<dependency><groupId>org.apache.shirogroupId><artifactId>shiro-coreartifactId> <version>1.1.0version> dependency> <dependency><groupId>commons-logginggroupId><artifactId>commons-loggingartifactId><version>1.2version>dependency> <dependency><groupId>log4jgroupId><artifactId>log4jartifactId><version>1.2.17version>dependency><dependency><groupId>org.slf4jgroupId><artifactId>slf4j-log4j12artifactId><version>1.7.5version>dependency>
AuthenticationDemo.java:
package com.lhy.shiro;import org.apache.shiro.SecurityUtils; //7 退出 }
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;public class AuthenticationDemo {public static void main(String[] args) {//1,创建SecurityManager工厂 读取shiro配置文件Factory
SecurityUtils.setSecurityManager(securityManager);//4 通过SecurityUtils获取主体subjectSubject subject &#61; SecurityUtils.getSubject();try {//5.假设登录名是zhangsan 密码是1111UsernamePasswordToken token &#61; new UsernamePasswordToken("zhangsan","1111");//6&#xff0c;登录&#xff0c;进行用户身验证
subject.login(token);//通过subject判断用户是否通过验证if(subject.isAuthenticated()){System.out.println("用户登录成功&#xff01;");}} catch (AuthenticationException e) {e.printStackTrace();System.out.println("用户名或密码错误&#xff01;");}
subject.logout();
}
OK&#xff0c;运行成功
常见的异常信息及处理&#xff1a;认证过程中的父异常-AuthenticationException
该类有几个子类&#xff0c;分别对应不同的异常情况&#xff1a;
DisabledAccountException&#xff1a;账户失效异常
LockedAccountException&#xff08;锁定的帐号&#xff09;
ExcessiveAttemptsException&#xff1a;登录失败次数过多
UnknownAccountException&#xff1a;用户名不正确
ExpiredCredentialsException&#xff1a;凭证过期异常
IncorrectCredentialsException&#xff1a;凭证不正确
虽然shiro为每一种异常都提供了准确的异常类&#xff0c;但是在编写代码时应提示模糊的信息给用户&#xff0c;这样更安全。常见的处理方式为&#xff1a;用户名错误”/“密码错误
try {//5.假设登录名是zhangsan 密码是1111UsernamePasswordToken token &#61; new UsernamePasswordToken("zhangsan","1111");//6&#xff0c;登录&#xff0c;进行用户身验证
subject.login(token);//通过subject判断用户是否通过验证if(subject.isAuthenticated()){System.out.println("用户登录成功&#xff01;");}} catch (UnknownAccountException e) {e.printStackTrace();System.out.println("用户名或密码错误&#xff01;");}catch (IncorrectCredentialsException e) {System.out.println("用户名或密码错误&#xff01;");}//其他异常处理。。。//7 退出subject.logout();
从如上代码可总结出身份验证的步骤&#xff1a;
1、收集用户身份/凭证&#xff0c;即如用户名/密码&#xff1b;
2、调用Subject.login进行登录&#xff0c;如果失败将得到相应的AuthenticationException异常&#xff0c;根据异常提示用户错误信息&#xff1b;否则登录成功&#xff1b;
3、最后调用Subject.logout进行退出操作。
执行流程&#xff1a;
具体的过程可以查看源代码 。
京公网安备 11010802041100号