Shiro认证

b77m 9年前

一,什么是认证

   认证——验证用户身份合法性。认证过程中,用户需要提供principals(身份实体信息)、credentials(凭据实体信息)。常用的是“实体/凭证”组合,即“用户名/密码”组合。

 

二、名词解释:

    principal:身份(主体的标识属性),如:用户名、手机号、邮箱等(唯一)。

    credentials:凭证(只有主体知道的安全值),如密码/数字证书等。

 

三、认证过程

 

1,收集实体/凭据信息

2,提交实体/凭据信息

3,认证处理——提交成功,允许访问;否则重新进行身份认证或阻止访问

 

1,收集实体/凭据信息

             UsernamePasswordTokentoken = new UsernamePasswordToken(

user.getUsercode(),EncryptUtils.encryptMD5(user.getPassword()));

token.setRememberMe(true);

 

2,提交实体/凭据信息

           SubjectcurrentUser = SecurityUtils.getSubject();

            currentuser.login(token);

3,认证处理——提交成功,允许访问;否则重新进行身份认证或阻止访问

          try {

               currentUser.login(token);

 } catch ( UnknownAccountException uae ) { ...

 } catch ( IncorrectCredentialsException ice ){ ...

 } catch (LockedAccountException lae ) { ...

 } catch (ExcessiveAttemptsException eae ) { ...

 } catch your own ...

 } catch (AuthenticationException ae ) {

    }

 

流程总结:

1、首先收集实体/凭据信息,再通过Subject.login(token)提交认证进行登录,其会自动委托给 Security Manager;

2、SecurityManager负责真正的身份验证逻辑;它会委托给 Authenticator进行身份验证(subject.isAuthenticated()判断用户是否已验证都将返回 true);若Subject.login(token)顺利执行,并没有抛出任何异常,即认证通过;

注:(1)Authenticator才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自定义插入自己的实现;

        (2)Authenticator可能会委托给相应的 AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用 AuthenticationStrategy进行多 Realm 身份验证;

          (3)Authenticator会把相应的 token 传入 Realm,从 Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个 Realm,将按照相应的顺序及策略进行访问。

  

四,部分示例代码


Controller:通过 SecurityUtils 工具类从登陆页获取用户名、密码,通过currentUser.login(token)提交认证。 
    @Controller        @RequestMapping(value= "login")        public classLoginController {        /*        * @Autowired User user;        */        /**        * 用户登录        *        * @param user          *            登录用户        * @return        */        @RequestMapping(params= "main")        publicModelAndView login(User user,HttpSession session, HttpServletRequest request) {                 ModelAndViewmodelView = new ModelAndView();        SubjectcurrentUser = SecurityUtils.getSubject();        UsernamePasswordTokentoken = new UsernamePasswordToken(        user.getUsercode(),EncryptUtils.encryptMD5(user.getPassword()));        token.setRememberMe(true);                      try {                             currentUser.login(token);                      } catch ( UnknownAccountException uae ) { ...                      } catch (IncorrectCredentialsException ice ) { ...                      } catch (LockedAccountException lae ) { ...                      } catch (ExcessiveAttemptsException eae ) { ...                      } catchyour own ...                      } catch (AuthenticationException ae ) {                      }                }

自定义Realm实现: 

    @Service("monitorRealm")        public class MonitorRealm extends AuthorizingRealm {                     @Resource           private UserService userService;                   //登录认证           @Override           protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)throws AuthenticationException {                        UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;               String username = String.valueOf(usernamePasswordToken.getUsername());               User user = userService.findByUserName(username); //业务方法,通过用户名获取用户实体信息               AuthenticationInfo authenticationInfo = null;               if (null != user) {                   String password = new String(usernamePasswordToken.getPassword());                   if (password.equals(user.getPassword())) {                       authenticationInfo = new SimpleAuthenticationInfo(user.getUsername(),user.getPassword(), getName());                   }               }               return authenticationInfo;           }                          }

五,总结

   通过shiro提供的实体及API进行身份认证。

来自:http://blog.csdn.net/hanxuemin12345/article/details/45192715