基本概念
身份验证
即在应用中谁能证明他就是他本人。一般提供如他们的身份ID 一些标识信息来 表明他就是他本人,如提供身份证,用户名/密码来证明。
在 shiro 中,用户需要提供 principals 和 credentials 给shiro,从而应用能验证用户身份
-
principals
身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有一个Primary principals,一般是用户名/密码/手机号。
-
credentials
证明/凭证,即只有主体知道的安全值,如密码/数字证书等。
最常见的principals和credentials组合就是用户名/密码了。接下来先进行一个基本的身份认证。
认证流程
认证程序实现
shiro.ini
# 定义用户信息,如用户名密码等
[users]
admin = 123
tom = 456
LoginLogout
public class LoginLogout {
public static void main(String[] args) {
// 1、获取SecurityManager,指定配置文件初始化
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro01/shiro.ini");
SecurityManager securityManager = factory.getInstance();
// 2、SecurityManager,绑定给SecurityUtils
SecurityUtils.setSecurityManager(securityManager);
// 3、获取用户主体Subject
Subject subject = SecurityUtils.getSubject();
// 4、进行登录
UsernamePasswordToken token = new UsernamePasswordToken("admin", "123");
// UsernamePasswordToken token = new UsernamePasswordToken("aaa", "123");
// UsernamePasswordToken token = new UsernamePasswordToken("admin", "1234");
try {
System.out.println("是否认证:" + subject.isAuthenticated());
subject.login(token);
System.out.println("是否认证:" + subject.isAuthenticated());
} catch (UnknownAccountException e) {
System.out.println("未知的账户" + e.getMessage());
} catch (IncorrectCredentialsException e) {
System.out.println("错误的密码" + e.getMessage());
} catch (AuthenticationException e) {
System.out.println("认证异常" + e.getMessage());
}
// 5、注销
subject.logout();
System.out.println("是否认证:" + subject.isAuthenticated());
}
}
自定义Realm实现认证
Shiro默认使用自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,但大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义realm
最基础的是Realm接口,CachingRealm负责缓存处理,AuthenticationRealm负责认证,AuthorizingRealm负责授权,通常自定义的realm继承AuthorizingRealm,既能认证又能授权
shiro.ini
# 配置数据源
dataSource = com.alibaba.druid.pool.DruidDataSource
dataSource.driverClassName = com.mysql.jdbc.Driver
dataSource.url = jdbc:mysql://localhost:3306/shiro?useUnicode=true&characterEncoding=utf-8&useSSL=false
dataSource.username = root
dataSource.password = 123456
# 自定义realm
jdbcRealm= com.tuojun.test.TestRealm
#注入数据源
jdbcRealm.dataSource=$dataSource
# 这个可以不配置,因为默认的SecurityManager就是DefaultSecurityManager
securityManager = org.apache.shiro.mgt.DefaultSecurityManager
securityManager.realms = $jdbcRealm
@Data
public class TestRealm extends AuthorizingRealm {
/**
* 授权
* @param principals
* @return
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
return null;
}
/**
* 身份认证
* @param token
* @return
* @throws AuthenticationException
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
// 1、从token中获取身份信息 其实就是用户的登陆名
String username = (String)token.getPrincipal();
// 2、根据用户名到数据库中取出用户信息 如果查询不到 返回null 使用service层查
String password = "1111"; //假如从数据库中获取密码为1111
// 3、返回AuthenticationInfo
AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
username, // 用户信息
password, // 该密码是数据源中的真实密码
getName() // 当前Realm的名称
);
return authenticationInfo;
}
}
认证策略
针对多个realm,可以对认证realm个数进行配置
三种认证策略:
-
AtLeastOneSuccessfulStrategy
默认认证策略,只要有一个认证成功就成功,返回所有Realm验证成功的认证消息,通常使用 -
FirstSuccessfulStrategy
只要有一个认证成功就成功,返回第一个Realm验证成功的认证消息 -
AllSuccessfulStrategy
所有认证成功才成功,返回第所有Realm验证成功的认证消息
shiro.ini文件设置认证策略
# 认证器
authenticator = org.apache.shiro.authc.pam.ModularRealmAuthenticator
# 认证策略
# AtLeastOneSuccessfulStrategy策略(只要有一个认证成功就成功,返回所有Realm验证成功的认证消息,默认使用,通常使用)
# authenticationStrategy = org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy
# FirstSuccessfulStrategy策略(只要有一个认证成功就成功,返回第一个Realm验证成功的认证消息)
# authenticationStrategy = org.apache.shiro.authc.pam.FirstSuccessfulStrategy
# FirstSuccessfulStrategy策略(所有认证成功才成功,返回第所有Realm验证成功的认证消息)
authenticationStrategy = org.apache.shiro.authc.pam.AllSuccessfulStrategy
# 认证器设置认证策略
authenticator.authenticationStrategy = $authenticationStrategy
# 将认证器添加到将Realm添加到SecurityManager
securityManager.authenticator = $authenticator
# 将Realm添加到SecurityManager
# securityManager.realms = $jdbcRealm
securityManager.realms = $propertiesRealm, $jdbcRealm