shrio初体验(1)

时间:2023-02-09 09:15:14

p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #e6427a }
p.p2 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; min-height: 15.0px }
p.p3 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #ffa6a4 }
p.p4 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #e0edf9; min-height: 15.0px }
p.p5 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #757575 }
p.p6 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #b4eb2a }
p.p7 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #8ff3f8 }
p.p8 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #a4ec4f }
p.p9 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #4abaeb }
p.p10 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #00a2ce }
p.p11 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #ffc930 }
p.p12 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #00ceb2 }
p.p13 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #8ef5b6 }
p.p14 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #e0edf9 }
p.p15 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #fafbf6 }
span.s1 { color: #e0edf9 }
span.s2 { color: #00a2ce }
span.s3 { color: #fafbf6 }
span.s4 { color: #15be51 }
span.s5 { color: #8ff3f8 }
span.s6 { color: #ebecfb }
span.s7 { color: #e09791 }
span.s8 { color: #f29359 }
span.s9 { color: #e6427a }
span.s10 { color: #00ceb2 }
span.s11 { color: #ffc930 }
span.s12 { color: #8ef5b6 }
span.s13 { color: #4abaeb }
span.s14 { color: #a4ec4f }
span.s15 { color: #b4eb2a }
span.s16 { color: #7aa8c7 }
span.s17 { color: #9ce1fa }
span.Apple-tab-span { white-space: pre }

public class LoginTest {

@Test

public void testLogin(){

//1.获取SecurityManager工厂,使用初始化文件初始化测试用户

Factory<SecurityManager> factory=new IniSecurityManagerFactory("classpath:shiro.ini");

//2.创建SecurityManager实例,并绑定到SecurityUtils上面

SecurityManager securityManager=factory.getInstance();

SecurityUtils.setSecurityManager(securityManager);

//3.通过SecurityUtils可以获得Subject

Subject subject=SecurityUtils.getSubject();

//在Subject可以获得登录的用户名的用户密码,创建一个访问令牌

UsernamePasswordToken token=new UsernamePasswordToken("LV",123+"");

//身份验证

subject.login(token);

System.out.println("session===="+subject.getSession());

//测试是否登录

Assert.assertTrue(subject.isAuthenticated());

subject.logout();

//Assert.assertTrue(subject.isAuthenticated());

整个过程:

1、首先通过new IniSecurityManagerFactory并指定一个ini配置文件来创建一个SecurityManager工厂;

2、接着获取SecurityManager并绑定到SecurityUtils,这是一个全局设置,设置一次即可;

3、通过SecurityUtils得到Subject,其会自动绑定到当前线程;如果在web环境在请求结束时需要解除绑定;然后获取身份验证的Token,如用户名/密码;

4、调用subject.login方法进行登录,其会自动委托给SecurityManager.login方法进行登录;

5、如果身份验证失败请捕获AuthenticationException或其子类,常见的如: DisabledAccountException(禁用的帐号)、LockedAccountException(锁定的帐号)、UnknownAccountException(错误的帐号)、ExcessiveAttemptsException(登录失败次数过多)、IncorrectCredentialsException (错误的凭证)、ExpiredCredentialsException(过期的凭证)等,具体请查看其继承关系;对于页面的错误消息展示,最好使用如“用户名/密码错误”而不是“用户名错误”/“密码错误”,防止一些恶意用户非法扫描帐号库;

6、最后可以调用subject.logout退出,其会自动委托给SecurityManager.logout方法退出。

从如上代码可总结出身份验证的步骤:

1、收集用户身份/凭证,即如用户名/密码;

2、调用Subject.login进行登录,如果失败将得到相应的AuthenticationException异常,根据异常提示用户错误信息;否则登录成功;

3、最后调用Subject.logout进行退出操作。

如上测试的几个问题:

1、用户名/密码硬编码在ini配置文件,以后需要改成如数据库存储,且密码需要加密存储;

2、用户身份Token可能不仅仅是用户名/密码,也可能还有其他的,如登录时允许用户名/邮箱/手机号同时登录。

身份认证流程

流程如下:

1、首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前必须通过SecurityUtils. setSecurityManager()设置;

2、SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证;

3、Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现;

4、Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证;

5、Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。

}

}