一,身份验证
证明自己是自己,需要提供用户名/密码来证明
1.身份(principals):主体的标识,比如用户名,邮箱等。需要唯一。
2.凭证(credentials):主体知道的安全值,比如密码
二.登录/退出
1.登录的过程
1、首先通过new IniSecurityManagerFactory并指定一个ini配置文件来创建一个SecurityManager工厂;
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
2、接着获取SecurityManager并绑定到SecurityUtils,这是一个全局设置,设置一次即可;
SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
3、通过SecurityUtils得到Subject,其会自动绑定到当前线程;如果在web环境在请求结束时需要解除绑定;
Subject subject = SecurityUtils.getSubject();
然后获取身份验证的Token,如用户名/密码;
UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");
try {
4、调用subject.login方法进行登录,其会自动委托给SecurityManager.login方法进行登录;
subject.login(token);
} catch (AuthenticationException e) { 、
5、如果身份验证失败请捕获AuthenticationException或其子类,常见的如:
UnknownAccountException(错误的帐号),IncorrectCredentialsException (错误的凭证)
}
6、最后可以调用subject.logout退出,其会自动委托给SecurityManager.logout方法退出。
subject.logout();
三,认证流程
1、首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前必须通过SecurityUtils. setSecurityManager()设置;
2、SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证;
3、Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现;
4、Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证;
5、Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。
四,Realm
Shiro从Realm获取安全数据(用户,角色,权限),也就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较来确认用户
身份是否合法。也要从Reaml得到用户相应的角色/权限进行验证用户是否能进行操作。
1.Realm接口:
String getName(); //返回一个唯一的Realm名字
boolean supports(AuthenticationToken token); //判断此Realm是否支持此Token
AuthenticationInfo getAuthenticationInfo(AuthenticationToken token)throws AuthenticationException; //根据Token获取认证信息
2.Realm实现类
一般继承AuthorizingRealm(授权)即可;其继承了AuthenticatingRealm(即身份验证),而且也间接继承了CachingRealm(带有缓存实现)。
我们的代码:public class UserRealm extends AuthorizingRealm
2.6 Authenticator及AuthenticationStrategy