shiro 认证问题

Posted xylic1128

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了shiro 认证问题相关的知识,希望对你有一定的参考价值。

@RequestMapping("/login")
public String login(@RequestParam("username") String username, 
		@RequestParam("password") String password){
	Subject currentUser = SecurityUtils.getSubject();
		
	if (!currentUser.isAuthenticated()) {
        // 把用户名和密码封装为 UsernamePasswordToken 对象
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        // rememberme
        token.setRememberMe(true);
        try {
            System.out.println("1. " + token.hashCode());
            // 执行登录. 
            currentUser.login(token);
        } 
        // ... catch more exceptions here (maybe custom ones specific to your application?
        // 所有认证时异常的父类. 
        catch (AuthenticationException ae) {
            //unexpected condition?  error?
            System.out.println("登录失败: " + ae.getMessage());
        }
    }
		
    return "redirect:/list.jsp";
}

如上所示,这是一个 shiro 登录的 spring mvc 接口

protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken token) throws AuthenticationException {
	System.out.println("[SecondReaml] doGetAuthenticationInfo");
		
	//1. 把 AuthenticationToken 转换为 UsernamePasswordToken 
	UsernamePasswordToken upToken = (UsernamePasswordToken) token;
		
	//2. 从 UsernamePasswordToken 中来获取 username
	String username = upToken.getUsername();
		
	//3. 调用数据库的方法, 从数据库中查询 username 对应的用户记录
	System.out.println("从数据库中获取 username: " + username + " 所对应的用户信息.");
		
	//4. 若用户不存在, 则可以抛出 UnknownAccountException 异常
	if("unknown".equals(username)){
		throw new UnknownAccountException("用户不存在!");
	}
		
	//5. 根据用户信息的情况, 决定是否需要抛出其他的 AuthenticationException 异常. 
	if("monster".equals(username)){
		throw new LockedAccountException("用户被锁定");
	}
		
	//6. 根据用户的情况, 来构建 AuthenticationInfo 对象并返回. 通常使用的实现类为: 
    SimpleAuthenticationInfo
    //以下信息是从数据库中获取的.
	//1). principal: 认证的实体信息. 可以是 username, 也可以是数据表对应的用户的实体类对象. 
	Object principal = username;
	//2). credentials: 密码. 
	Object credentials = null; //"fc1709d0a95a6be30bc5926fdb7f22f4";
	if("admin".equals(username)){
		credentials = "ce2f6417c7e1d32c1d81a797ee0b499f87c5de06";
	}else if("user".equals(username)){
		credentials = "073d4c3ae812935f23cb3f2a71943f49e082a718";
	}
		
	//3). realmName: 当前 realm 对象的 name. 调用父类的 getName() 方法即可
	String realmName = getName();
	//4). 盐值. 
	ByteSource credentialsSalt = ByteSource.Util.bytes(username);
		
	SimpleAuthenticationInfo info = null; //new SimpleAuthenticationInfo(principal, credentials, realmName);
	info = new SimpleAuthenticationInfo("secondRealmName", credentials, credentialsSalt, realmName);
	return info;
}

这个是自定义认证方法,在spring 配置文件中配置的。

        我始终有一个疑惑,SimpleAuthenticationInfo  到底是怎么能够认证的用户是否存在,用户密码是否正确 ?在不使用spring 的时候,会有一个 shiro.ini 配置文件,这个里面有用户名密码等信息,但是在使用了 spring 这个配置文件就不需要了,然后我们自定义认证类,在自定义认证类中认证,到底是哪一步跟数据库的用户关联的?SimpleAuthenticationInfo 做认证的信息是在哪里 ?

String username = upToken.getUsername();

        这个获取的是用户登录的时候输入的用户名密码 ? 还是说我们所判断的用户不存在、密码错误、用户锁定 ,这些信息都是自己使用

throw new LockedAccountException("用户被锁定");

这种方式配判断的 ?自己手动判断 ?然后抛出异常 ?

        我感觉我上述的所有的疑惑好像都是不清楚 SimpleAuthenticationInfo 来的运作。还是 AuthenticatingRealm 类的运作我不清楚 ?

以上是关于shiro 认证问题的主要内容,如果未能解决你的问题,请参考以下文章

全栈编程系列SpringBoot整合Shiro(含KickoutSessionControlFilter并发在线人数控制以及不生效问题配置启动异常No SecurityManager...)(代码片段

debug代码解析shiro认证流程

Shiro权限管理6.Shiro认证思路分析

Apache Shiro 使用手册Shiro 认证

java shiro认证问题

Shiro01 功能点框图架构图身份认证逻辑身份认证代码实现