【Shiro】Apache Shiro架構之身份認證（Authentication）

Shiro系列文章：
【Shiro】Apache Shiro架構之權限認證（Authorization）
【Shiro】Apache Shiro架構之集成web
【Shiro】Apache Shiro架構之自定義realm
【Shiro】Apache Shiro架構之實際運用（整合到Spring中)

　　
　　Apache Shiro是一個強大易用的Java安全框架，提供了認證、受權、加密和會話管理功能，可爲任何應用提供安全保障。本文主要介紹一下Shiro中的身份認證功能，以下：

　　本文參考自Apache Shiro的官方文檔：http://shiro.apache.org/authentication.html。
　　本文遵循如下流程：先介紹Shiro中的身份認證，再經過一個實例來具體說明一下（基於maven）。

1. 認證主體（Authenticating Subjects）

　　Subject 認證主體包含兩個信息：

Principals：身份。能夠是用戶名，郵件，手機號碼等等，用來標識一個登陸主體身份；
Credentials：憑證。常見有密碼，數字證書等等。

　　在Shiro中能夠在.ini文件中指定一個認證主體，也能夠從數據庫中取，這裏使用.ini文件來寫一個簡單的認證主體：

[users] csdn1=12345 csdn2=12345

• 1
• 2
• 3

• 1
• 2
• 3

　　能夠表示兩個用戶，帳號爲csdn1和csdn2，密碼都是12345。至於這個文件怎麼用，後面我會在實例中介紹。
　　驗證一個主體的方法能夠有效地細分爲三個不一樣的步驟：

Step 1：收集主體提交的身份和憑證；
Step 2：提交該身份和憑證；
Step 3：若是提交成功，容許訪問，不然從新嘗試身份驗證或阻止訪問。
Step 4：退出

　　下面說明Shiro中的API是如何反映以上步驟的：

//Step1: Collect the Subject's principals and credentials //根據用戶名和密碼得到一個令牌（token） UsernamePasswordToken token = new UsernamePasswordToken(username, password); //token.setRememberMe(true); //可選用

• 1
• 2
• 3
• 4

• 1
• 2
• 3
• 4

　　在Step1中，咱們使用UsernamePasswordToken，支持最經常使用的用戶名/密碼認證方式。這是Shiro的org.apache.shiro.authc.AuthenticationToken接口，這是由Shiro的認證系統表明提交的主體和憑證使用的基本接口的實現。username和password就是和Subject認證主體中對應的身份和憑證作驗證的。固然也能夠記住該用戶，這個無關緊要，關於RememberMe將在後續文章中介紹。

//Step2: Submit the principals and credentials //獲得當前執行的用戶 Subject currentUser = SecurityUtils.getSubject(); //進行認證 currentUser.login(token);

• 1
• 2
• 3
• 4
• 5

• 1
• 2
• 3
• 4
• 5

　　在Step2中，先經過SecurityUtils工具類獲取當前執行的用戶，而後進行身份認證，這個認證會參考ini文件中的Subject主體（固然了，實際中是參考數據庫中的信息），在下面的示例程序中能夠看的出。

//Step3: Handling Success or Failure try { currentUser.login(token); } catch ( AuthenticationException ae ) { //unexpected error? //Handel error } //No problems, continue on as expected...

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8

　　在Step3中，咱們要根據認證的結果來處理正確或者錯誤的結果，因此咱們須要將currentUser.login(token)使用try/catch包起來。

//Step4: Logging out currentUser.logout();

• 1
• 2

• 1
• 2

　　與認證相反的是釋放全部已知的肯定的狀態。當主體完成與應用程序交互，能夠調用subject.logout（）放棄全部的身份信息，subject.logout（）會刪除全部身份信息以及他們的會話（這裏的會話指的是Shiro中的會話）。

2. 認證過程（Authentication Sequence）

　　上文介紹了認證主體，以及從代碼的角度來分析了一下身份認證過程。下面來看一下在身份認證中，Shiro裏面都幹了些啥。圖出自官方文檔：

　　Step1：應用程序代碼在調用Subject.login(token)方法後，傳入表明最終用戶的身份和憑證構造的AuthenticationToken實例token。
　　Step2：將Subject實例委託給應用程序的SecurityManager（Shiro的安全管理）經過調用securityManager.login（token）來開始實際的認證工做。這裏開始真正的認證工做了。
　　Step3，4，5：而後SecurityManager就會根據具體的reaml去進行安全認證了。
　　這個realm究竟是啥呢？realm就是一個域，Shiro就是從realm中獲取驗證數據的，也就是咱們寫在.ini文件中的東西，固然了，這個realm有不少種，如text realm、jdbc realm、jndi realm等，text realm比較簡單，這一節主要總結一下jdbc realm的使用，text realm也會提到。

3. 身份認證示例

　　示例的工程結構以下：

　　pom.xml中的包以下：

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <groupId>demo.shiro</groupId> <artifactId>Shiro02</artifactId> <version>0.0.1-SNAPSHOT</version> <name>Shiro02</name> <description>Shiro02</description> <build/> <dependencies> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.2.5</version> </dependency> <dependency> <groupId>org.slf4j</groupId> <artifactId>slf4j-log4j12</artifactId> <version>1.7.21</version> </dependency> <dependency> <groupId>c3p0</groupId> <artifactId>c3p0</artifactId> <version>0.9.1.2</version> </dependency> <dependency> <groupId>commons-logging</groupId> <artifactId>commons-logging</artifactId> <version>1.2</version> </dependency> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>5.1.38</version> </dependency> </dependencies> </project>

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16
• 17
• 18
• 19
• 20
• 21
• 22
• 23
• 24
• 25
• 26
• 27
• 28
• 29
• 30
• 31
• 32
• 33
• 34
• 35
• 36
• 37

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16
• 17
• 18
• 19
• 20
• 21
• 22
• 23
• 24
• 25
• 26
• 27
• 28
• 29
• 30
• 31
• 32
• 33
• 34
• 35
• 36
• 37

　　log4j.properties文件以下：

log4j.rootLogger=INFO, stdout log4j.appender.stdout=org.apache.log4j.ConsoleAppender log4j.appender.stdout.layout=org.apache.log4j.PatternLayout log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n # General Apache libraries log4j.logger.org.apache=WARN # Spring log4j.logger.org.springframework=WARN # Default Shiro logging log4j.logger.org.apache.shiro=TRACE # Disable verbose logging log4j.logger.org.apache.shiro.util.ThreadContext=WARN log4j.logger.org.apache.shiro.cache.ehcache.EhCache=WARN

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13

　　首先寫一個shiro.ini文件，文件內容很簡單，只放一個用戶信息：

[users] csdn=123

• 1
• 2

• 1
• 2

　　而後開始寫身份認證的java代碼了，以下：

public class TextRealm { public static void main(String[] args) { // 讀取配置文件，初始化SecurityManager工廠 Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini"); // 獲取securityManager實例 SecurityManager securityManager = factory.getInstance(); // 把securityManager實例綁定到SecurityUtils SecurityUtils.setSecurityManager(securityManager); // 建立token令牌，用戶名/密碼 UsernamePasswordToken token = new UsernamePasswordToken("csdn", "123"); // 獲得當前執行的用戶 Subject currentUser = SecurityUtils.getSubject(); try{ // 身份認證 currentUser.login(token); System.out.println("身份認證成功！"); }catch(AuthenticationException e){ e.printStackTrace(); System.out.println("身份認證失敗！"); } // 退出 currentUser.logout(); } }

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16
• 17
• 18
• 19
• 20
• 21
• 22
• 23
• 24
• 25

 

　　運行該程序就能夠根據傳入的參數和realm中的數據進行匹對，完成身份認證，從而打印認證成功，若是用戶名和密碼填寫一個錯誤的，則會驗證失敗。
　　接下來再分析一下jdbc realm的寫法，首先新建一個JdbcRealm.ini文件，以下：

[main] #數據源選擇的是c3p0 dataSource=com.mchange.v2.c3p0.ComboPooledDataSource dataSource.driverClass=com.mysql.jdbc.Driver dataSource.jdbcUrl=jdbc:mysql://localhost:3306/db_shiro dataSource.user=root dataSource.password=root #定義一個jdbc的realm，取名爲jdbcRealm jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm #jdbcRealm中有個屬性是dataSource，選擇咱們上邊定義的dataSource jdbcRealm.dataSource=$dataSource #SecurityManager中的realm選擇上面定義的jdbcRealm securityManager.realms=$jdbcRealm 

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 116

　　而後須要準備數據庫的數據，我新建了一個數據庫db_shiro，裏面有個users表，兩個字段username和password，我就放了三個數據用來測試的，以下：

　　而後寫JdbcRealm.java代碼，和上面的同樣的，只不過讀取的配置文件不一樣

public class JdbcRealm { public static void main(String[] args) { // 讀取配置文件，初始化SecurityManager工廠 Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:jdbc_realm.ini"); // 獲取securityManager實例 SecurityManager securityManager = factory.getInstance(); // 把securityManager實例綁定到SecurityUtils SecurityUtils.setSecurityManager(securityManager); // 獲得當前執行的用戶 Subject currentUser = SecurityUtils.getSubject(); // 建立token令牌，用戶名/密碼 UsernamePasswordToken token = new UsernamePasswordToken("倪升武2", "123"); try{ // 身份認證 currentUser.login(token); System.out.println("身份認證成功！"); }catch(AuthenticationException e){ e.printStackTrace(); System.out.println("身份認證失敗！"); } // 退出 currentUser.logout(); } }

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16
• 125

　這樣Shiro就會根據這個jdbc realm從數據庫中獲取驗證數據對傳入的參數進行身份驗證，驗證經過則打印出經過的語句，不然不予經過。這就是Shiro中簡單的身份認證，下一節將總結一下Shiro中的權限認證，即受權。

轉載地址：http://blog.csdn.net/eson_15/article/details/51770685