ShiroApache Shiro认证

Posted Java全栈从0到1

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ShiroApache Shiro认证相关的知识,希望对你有一定的参考价值。

配置好并获取到SecurityManager,代表Shiro正常运行起来了,可以使用Shiro的其它功能。

1、认证流程(API的使用流程)

 认证的数据:

  Principals:标识

  ·识别Subject的数据

  ·如:用户名、身份证号等

  ·Primary Principal:Subject唯一主编号

  Credentials:凭证

  ·Subject私密数据

  ·如:密码、指纹、视网膜等

认证的步骤:

  收集数据→提交验证→结果处理

  收集数据方式:

    1、自行实现Shiro的AuthenticationToken接口

    2、使用Shiro提供的一些默认AuthenticationToken接口实现,如UsernamePasswordToken实现

  提交验证:

    Subject代表当前用户,调用Subject的登录方法Subject.login()

  结果处理

    成功:使用Subject的isAuthenticated()方法查看

    失败:抛出异常,可以捕获异常进行处理。

  认证的代码示例:

//收集数据
UsernamePasswordToken token = 
    new UsernamePasswordToken(username,password);
token.setRememberMe(true);//默认实现提供的一些辅助功能

//提交验证
Subject currentUser = SecurityUtils.getSubject(); 
currentUser.login(token);

//验证是否成功
Subject loginUser = SecutiryUtils.getSubject(); 
loginUser.isAuthenticated() == true;

//登录失败时处理异常
try{
    currentUser.login(token);
} catch ( ExType1 ex1){
} catch ( ExType2 ex2){
} catch ( ExType3 ex3){
}....

Remember Me

Remembered

  ·认证信息非空

  ·认证信息来自上一个Session的认证结果

  ·subject.isRememebered() = true 判断上次是否使用RememberMe

Authenticated

  ·认证信息来自当前Session的认证结果

  ·subject.isAuthenticated() = true 判断本次认证是否通过

使用场景:

  商城购物车

  1、上次登录了,这次开启浏览器未登录,想把一个货品加入到购物车(如果此时要求先登录,用户体验不好,现在的网站都是可以先加入购物车,然后付款时再登录付款的)

  这时候,使用isRememebered(),获取上次的认证信息,把购物车数据直接存到上次认证的用户中。

  2、需要下单付款了

  此时再要求登录,然后使用isAuthenticated(),确定本次登录的用户是否正确。

Loggin out

//使Session无效,清空所有认证信息
currentUser.logout();

2、认证架构(框架的内部运作)

1、调用Subject.login(token)方法

2、找Security Manager(门面模式)

3、调用Authenticator组件

4、组件中有很多策略,这些策略会调用Realm获取数据,最终用来判断是否通过验证

5、通过Realm访问数据库等获取数据,用于判断是否通过认证

Authenticator

单个Realm

  ModularRealmAuthenticator:仅有一个Realm,仅通过这个Realm就可以知道是否通过认证

多个Realm

  AuthenticationStrategy:当有多个Realm时,通过某种策略去判断怎样才算认证通过

自定义Authenticator

  当上面都无法满足的时候,我们可以自定义实现一个Authenticator

  然后如下面代码一样,把这个Authenticator赋值给Security Manager即可

[main]
...
authenticator = com.foo.bar.CustomAuthenticator

securityManager.authenticator = $authenticator

AuthenticationStrategy

AtLeastOneSuccessfulStrategy[默认值]

  只要有一个Realm验证成功即可,返回所有Realm身份验证成功的认证信息。

FirstSuccessfulStrategy

  只要有一个Reaml验证成功即可,只返回第一个Reaml身份验证成功的认证信息,其它忽略。

AllSuccessfulStrategy

  所有Realm验证成功才算成功,切返回所有Realm身份验证成功的认证信息,如果有一个失败就失败。

[main]
...
authcStrategy = org.apache.shiro.authc.pam.FirstSuccessfulStrategy

securityManager.authenticator.authenticationStrategy = $authcStrategy 

Realm认证顺序

多个Realm认证顺序

  迭代认证

隐式顺序

  按照配置书写代码的顺序来认证

blahRealm = com.company.blah.Realm
fooRealm = com.company.foo.Realm
barRealm = com.company.another.Realm

显式顺序

  使用securityManager.realms

blahRealm = com.company.blah.Realm
fooRealm = com.company.foo.Realm
barRealm = com.company.another.Realm
securityManager.realms = $fooRealm,$barRealm,$blahRealm

以上是关于ShiroApache Shiro认证的主要内容,如果未能解决你的问题,请参考以下文章

ShiroApache Shiro架构之权限认证(Authorization)

ShiroApache Shiro架构之身份认证(Authentication)

ShiroApache Shiro架构之集成web

ShiroApache Shiro授权

ShiroApache Shiro Session管理

ShiroApache Shiro架构之自定义realm