shiro之身份驗證

時間  2019-11-24
標籤 shiro 身份 驗證 简体版
原文   原文鏈接

身份驗證,即在應用中誰能證實他就是他本人。通常提供如他們的身份ID一些標識信息來代表他就是他本人,如提供身份證,用戶名/密碼來證實。java

在shiro中,用戶須要提供principals (身份)和credentials(證實)給shiro,從而應用能驗證用戶身份:mysql

principals:身份,即主體的標識屬性,能夠是任何東西,如用戶名、郵箱等,惟一便可。一個主體能夠有多個principals,但只有一個Primary principals,通常是用戶名/密碼/手機號。web

credentials:證實/憑證,即只有主體知道的安全值,如密碼/數字證書等。sql

最多見的principals和credentials組合就是用戶名/密碼了。接下來先進行一個基本的身份認證。數據庫

另外兩個相關的概念是以前提到的SubjectRealm,分別是主體及驗證主體的數據源。apache

1.  環境準備

本文使用Maven構建,所以須要一點Maven知識。首先準備環境依賴: api

Java代碼緩存

  1. <dependencies>  
  2.     <dependency>  
  3.         <groupId>junit</groupId>  
  4.         <artifactId>junit</artifactId>  
  5.         <version>4.9</version>  
  6.     </dependency>  
  7.     <dependency>  
  8.         <groupId>commons-logging</groupId>  
  9.         <artifactId>commons-logging</artifactId>  
  10.         <version>1.1.3</version>  
  11.     </dependency>  
  12.     <dependency>  
  13.         <groupId>org.apache.shiro</groupId>  
  14.         <artifactId>shiro-core</artifactId>  
  15.         <version>1.2.2</version>  
  16.     </dependency>  
  17. </dependencies>   

添加junit、common-logging及shiro-core依賴便可。安全

 

2.  登陸/退出

一、首先準備一些用戶身份/憑據(shiro.ini)ide

Java代碼

  1. [users]  
  2. jack=111  
  3. tom=222  

此處使用ini配置文件,經過[users]指定了兩個主體:jack/1十一、tom/222。

二、測試用例

Java代碼

  1. @Test  
  2. public void test() {  
  3.     //一、獲取SecurityManager工廠,此處使用Ini配置文件初始化SecurityManager  
  4.     Factory<org.apache.shiro.mgt.SecurityManager> factory =  
  5.             new IniSecurityManagerFactory("classpath:shiro.ini");  
  6.     //二、獲得SecurityManager實例 並綁定給SecurityUtils  
  7.     org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();  
  8.     SecurityUtils.setSecurityManager(securityManager);  
  9.     //三、獲得Subject及建立用戶名/密碼身份驗證Token(即用戶身份/憑證)  
  10.     Subject subject = SecurityUtils.getSubject();  
  11.     UsernamePasswordToken token = new UsernamePasswordToken("jack", "111");  
  12.   
  13.     try {  
  14.         //四、登陸,即身份驗證  
  15.         subject.login(token);  
  16.     } catch (AuthenticationException e) {  
  17.         //五、身份驗證失敗  
  18.     }  
  19.   
  20.     Assert.assertEquals(true, subject.isAuthenticated()); //斷言用戶已經登陸  
  21.   
  22.     //六、退出  
  23.     subject.logout();  
  24. }  
  25.    

2.一、首先經過new IniSecurityManagerFactory並指定一個ini配置文件來建立一個SecurityManager工廠;

2.二、接着獲取SecurityManager並綁定到SecurityUtils,這是一個全局設置,設置一次便可;

2.三、經過SecurityUtils獲得Subject,其會自動綁定到當前線程;若是在web環境在請求結束時須要解除綁定;而後獲取身份驗證的Token,如用戶名/密碼;

2.四、調用subject.login方法進行登陸,其會自動委託給SecurityManager.login方法進行登陸;

2.五、若是身份驗證失敗請捕獲AuthenticationException或其子類,常見的如:

DisabledAccountException(禁用的賬號)、LockedAccountException(鎖定的賬號)、UnknownAccountException(錯誤的賬號)、ExcessiveAttemptsException(登陸失敗次數過多)、IncorrectCredentialsException (錯誤的憑證)、ExpiredCredentialsException(過時的憑證)等,具體請查看其繼承關係;對於頁面的錯誤消息展現,最好使用如「用戶名/密碼錯誤」而不是「用戶名錯誤」/「密碼錯誤」,防止一些惡意用戶非法掃描賬號庫;

2.六、最後能夠調用subject.logout退出,其會自動委託給SecurityManager.logout方法退出。

從如上代碼可總結出身份驗證的步驟:

一、收集用戶身份/憑證,即如用戶名/密碼;

二、調用Subject.login進行登陸,若是失敗將獲得相應的AuthenticationException異常,根據異常提示用戶錯誤信息;不然登陸成功;

三、最後調用Subject.logout進行退出操做。

如上測試的幾個問題:

一、用戶名/密碼硬編碼在ini配置文件,之後須要改爲如數據庫存儲,且密碼須要加密存儲;

二、用戶身份Token可能不只僅是用戶名/密碼,也可能還有其餘的,如登陸時容許用戶名/郵箱/手機號同時登陸。 

 

3.  身份認證流程

流程以下:

一、首先調用Subject.login(token)進行登陸,其會自動委託給Security Manager,調用以前必須經過SecurityUtils. setSecurityManager()設置;

二、SecurityManager負責真正的身份驗證邏輯;它會委託給Authenticator進行身份驗證;

三、Authenticator纔是真正的身份驗證者,Shiro API中核心的身份認證入口點,此處能夠自定義插入本身的實現;

四、Authenticator可能會委託給相應的AuthenticationStrategy進行多Realm身份驗證,默認ModularRealmAuthenticator會調用AuthenticationStrategy進行多Realm身份驗證;

五、Authenticator會把相應的token傳入Realm,從Realm獲取身份驗證信息,若是沒有返回/拋出異常表示身份驗證失敗了。此處能夠配置多個Realm,將按照相應的順序及策略進行訪問。

4.  Realm

Realm:域,Shiro從從Realm獲取安全數據(如用戶、角色、權限),就是說SecurityManager要驗證用戶身份,那麼它須要從Realm獲取相應的用戶進行比較以肯定用戶身份是否合法;也須要從Realm獲得用戶相應的角色/權限進行驗證用戶是否能進行操做;能夠把Realm當作DataSource,即安全數據源。如以前的ini配置方式將使用org.apache.shiro.realm.text.IniRealm。

org.apache.shiro.realm.Realm接口以下: 

Java代碼 

  1. String getName(); //返回一個惟一的Realm名字  
  2. boolean supports(AuthenticationToken token); //判斷此Realm是否支持此Token  
  3. AuthenticationInfo getAuthenticationInfo(AuthenticationToken token)  throws 
  4. AuthenticationException;  //根據Token獲取認證信息  

 

Realm配置

一、自定義Realm實現:  

Java代碼 

  1. public class MyRealm implements Realm {  
  2.     @Override  
  3.     public String getName() {  
  4.         return "myrealm";  
  5.     }  
  6.     @Override  
  7.     public boolean supports(AuthenticationToken token) {  
  8.         //僅支持UsernamePasswordToken類型的Token  
  9.         return token instanceof UsernamePasswordToken;   
  10.     }  
  11.     @Override  
  12.     public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {  
  13.         String username = (String)token.getPrincipal();  //獲得用戶名  
  14.         String password = new String((char[])token.getCredentials()); //獲得密碼  
  15.         if(!"jack".equals(username)) {  
  16.             throw new UnknownAccountException(); //若是用戶名錯誤  
  17.         }  
  18.         if(!"111".equals(password)) {  
  19.             throw new IncorrectCredentialsException(); //若是密碼錯誤  
  20.         }  
  21.         //若是身份認證驗證成功,返回一個AuthenticationInfo實現;  
  22.         return new SimpleAuthenticationInfo(username, password, getName());  
  23.     }  
  24. }   

 

二、ini配置文件指定自定義Realm實現(shiro-realm.ini)  

Java代碼

  1. #聲明一個realm  
  2. myRealm=com.shiro.realm.MyRealm
  3. #指定securityManager的realms實現  
  4. securityManager.realms=$myRealm  

經過$name來引入以前的realm定義

Realm配置

一、ini配置文件(shiro-multi-realm.ini)  

Java代碼

  1. #聲明一個realm  
  2. myRealmA=com.shiro.realm.MyRealmA
  3. myRealmB=com.shiro.realm.MyRealmB
  4. #指定securityManager的realms實現  
  5. securityManager.realms=$myRealmA,$myRealmB

securityManager會按照realms指定的順序進行身份認證。此處咱們使用顯示指定順序的方式指定了Realm的順序,若是刪除「securityManager.realms=$myRealmA,$myRealmB」,那麼securityManager會按照realm聲明的順序進行使用(即無需設置realms屬性,其會自動發現),當咱們顯示指定realm後,其餘沒有指定realm將被忽略,如「securityManager.realms=$myRealmA」,那麼myRealmB不會被自動設置進去。

Shiro默認提供的Realm

之後通常繼承AuthorizingRealm(受權)便可;其繼承了AuthenticatingRealm(即身份驗證),並且也間接繼承了CachingRealm(帶有緩存實現)。其中主要默認實現以下:

org.apache.shiro.realm.text.IniRealm[users]部分指定用戶名/密碼及其角色;[roles]部分指定角色即權限信息;

org.apache.shiro.realm.text.PropertiesRealm user.username=password,role1,role2指定用戶名/密碼及其角色;role.role1=permission1,permission2指定角色及權限信息;

org.apache.shiro.realm.jdbc.JdbcRealm經過sql查詢相應的信息,如「select password from users where username = ?」獲取用戶密碼,「select password, password_salt from users where username = ?」獲取用戶密碼及鹽;「select role_name from user_roles where username = ?」獲取用戶角色;「select permission from roles_permissions where role_name = ?」獲取角色對應的權限信息;也能夠調用相應的api進行自定義sql;

 

JDBC Realm使用

一、數據庫及依賴

Java代碼

  1. <dependency>  
  2.     <groupId>mysql</groupId>  
  3.     <artifactId>mysql-connector-java</artifactId>  
  4.     <version>5.1.25</version>  
  5. </dependency>  
  6. <dependency>  
  7.     <groupId>com.alibaba</groupId>  
  8.     <artifactId>druid</artifactId>  
  9.     <version>0.2.23</version>  
  10. </dependency>   

本文將使用mysql數據庫及druid鏈接池; 

二、到數據庫shiro下建三張表:users(用戶名/密碼)、user_roles(用戶/角色)、roles_permissions(角色/權限),具體請參照shiro-example-chapter2/sql/shiro.sql;並添加一個用戶記錄,用戶名/密碼爲:jack/111;

三、ini配置(shiro-jdbc-realm.ini) 

Java代碼

  1. jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm  
  2. dataSource=com.alibaba.druid.pool.DruidDataSource  
  3. dataSource.driverClassName=com.mysql.jdbc.Driver  
  4. dataSource.url=jdbc:mysql://localhost:3306/shiro  
  5. dataSource.username=root  
  6. #dataSource.password=  
  7. jdbcRealm.dataSource=$dataSource  
  8. securityManager.realms=$jdbcRealm   

一、變量名=全限定類名會自動建立一個類實例

二、變量名.屬性=值 自動調用相應的setter方法進行賦值

三、$變量名 引用以前的一個對象實例 

5.  Authenticator及AuthenticationStrategy

Authenticator的職責是驗證用戶賬號,是Shiro API中身份驗證核心的入口點: 

Java代碼

  1. public AuthenticationInfo authenticate(AuthenticationToken authenticationToken)  
  2.             throws AuthenticationException;   

若是驗證成功,將返回AuthenticationInfo驗證信息;此信息中包含了身份及憑證;若是驗證失敗將拋出相應的AuthenticationException實現。

SecurityManager接口繼承了Authenticator,另外還有一個ModularRealmAuthenticator實現,其委託給多個Realm進行驗證,驗證規則經過AuthenticationStrategy接口指定,默認提供的實現:

FirstSuccessfulStrategy:只要有一個Realm驗證成功便可,只返回第一個Realm身份驗證成功的認證信息,其餘的忽略;

AtLeastOneSuccessfulStrategy:只要有一個Realm驗證成功便可,和FirstSuccessfulStrategy不一樣,返回全部Realm身份驗證成功的認證信息;

AllSuccessfulStrategy:全部Realm驗證成功纔算成功,且返回全部Realm身份驗證成功的認證信息,若是有一個失敗就失敗了。

ModularRealmAuthenticator默認使用AtLeastOneSuccessfulStrategy策略。

假設咱們有三個realm:

myRealmA: 用戶名/密碼爲jack/111時成功,且返回身份/憑據爲jack/111;

myRealmB: 用戶名/密碼爲tom/222時成功,且返回身份/憑據爲tom/222;

myRealmC: 用戶名/密碼爲jack/111時成功,且返回身份/憑據爲jack@sina.com/111,和myRealmA不一樣的是返回時的身份變了;

一、ini配置文件(shiro-authenticator-all-success.ini) 

Java代碼

  1. #指定securityManager的authenticator實現  
  2. authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator  
  3. securityManager.authenticator=$authenticator  
  4. #指定securityManager.authenticator的authenticationStrategy  
  5. allSuccessfulStrategy=org.apache.shiro.authc.pam.AllSuccessfulStrategy  
  6. securityManager.authenticator.authenticationStrategy=$allSuccessfulStrategy  

Java代碼

  1. myRealmA=com.shiro.realm.MyRealmA
  2. myRealmB=com.shiro.realm.MyRealmB
  3. myRealmC=com.shiro.realm.MyRealmC
  4. securityManager.realms=$myRealmA,$myRealmC

 

二、測試代碼

2.一、首先通用化登陸邏輯 

Java代碼

  1. private void login(String configFile) {  
  2.     //一、獲取SecurityManager工廠,此處使用Ini配置文件初始化SecurityManager  
  3.     Factory<org.apache.shiro.mgt.SecurityManager> factory =  
  4.             new IniSecurityManagerFactory(configFile);  
  5.   
  6.     //二、獲得SecurityManager實例 並綁定給SecurityUtils  
  7.     org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();  
  8.     SecurityUtils.setSecurityManager(securityManager);  
  9.   
  10.     //三、獲得Subject及建立用戶名/密碼身份驗證Token(即用戶身份/憑證)  
  11.     Subject subject = SecurityUtils.getSubject();  
  12.     UsernamePasswordToken token = new UsernamePasswordToken("jack", "111");  
  13.     subject.login(token);  
  14. }  

2.二、測試AllSuccessfulStrategy成功:    

Java代碼

  1. @Test  
  2. public void testAllSuccessfulStrategyWithSuccess() {  
  3.     login("classpath:shiro-authenticator-all-success.ini");  
  4.     Subject subject = SecurityUtils.getSubject();  
  5.     //獲得一個身份集合,其包含了Realm驗證成功的身份信息  
  6.     PrincipalCollection principalCollection = subject.getPrincipals();  
  7.     Assert.assertEquals(2, principalCollection.asList().size());  
  8. }   

即PrincipalCollection包含了jack和jack@sina.com身份信息。

2.三、測試AllSuccessfulStrategy失敗:

Java代碼 

  1.     @Test(expected = UnknownAccountException.class)  
  2.     public void testAllSuccessfulStrategyWithFail() {  
  3.         login("classpath:shiro-authenticator-all-fail.ini");  
  4.         Subject subject = SecurityUtils.getSubject();  
  5. }   

shiro-authenticator-all-fail.ini與shiro-authenticator-all-success.ini

不一樣的配置是使用了securityManager.realms=$myRealmA,$myRealmB;即myRealm驗證失敗。

對於AtLeastOneSuccessfulStrategy和FirstSuccessfulStrategy的惟一不一樣點,一個是返回全部驗證成功的Realm的認證信息;另外一個是隻返回第一個驗證成功的Realm的認證信息。

自定義AuthenticationStrategy實現,首先看其API:

Java代碼 

  1. //在全部Realm驗證以前調用  
  2. AuthenticationInfo beforeAllAttempts(  
  3. Collection<? extends Realm> realms, AuthenticationToken token)   
  4. throws AuthenticationException;  
  5. //在每一個Realm以前調用  
  6. AuthenticationInfo beforeAttempt(  
  7. Realm realm, AuthenticationToken token, AuthenticationInfo aggregate)   
  8. throws AuthenticationException;  
  9. //在每一個Realm以後調用  
  10. AuthenticationInfo afterAttempt(  
  11. Realm realm, AuthenticationToken token,   
  12. AuthenticationInfo singleRealmInfo, AuthenticationInfo aggregateInfo, Throwable t)  
  13. throws AuthenticationException;  
  14. //在全部Realm以後調用  
  15. AuthenticationInfo afterAllAttempts(  
  16. AuthenticationToken token, AuthenticationInfo aggregate)   
  17. throws AuthenticationException;   

由於每一個AuthenticationStrategy實例都是無狀態的,全部每次都經過接口將相應的認證信息傳入下一次流程;經過如上接口能夠進行如合併/返回第一個驗證成功的認證信息。

自定義實現時通常繼承org.apache.shiro.authc.pam.AbstractAuthenticationStrategy便可。

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程