介绍一下Shiro中的身份认证功能,如下:
本文参考自Apache Shiro的官方文档:http://shiro.apache.org/authentication.html
本文遵循以下流程:先介绍Shiro中的身份认证,再通过一个实例来具体说明一下(基于maven)。
-------------------------------------------------------------------------------------------------------------------------------
1. 认证主体(Authenticating Subjects)
Subject认证主体包含2个信息:
Principals:身份。可以是用户名,邮件,手机号码等等,用来标识一个登录主体身份;
Credentials:凭证。常见有密码,数字证书等等。
在Shiro中可以在.ini文件中指定一个认证主体,也可以从数据库中取,这里使用.ini文件来写一个简单的认证主体;
[users]可以表示两个用户,账号为csdn1和csdn2,密码都是12345。
csdn1=12345
csdn2=12345
-----------------------------------------------------------------------------------------------------------------------------
验证一个主体的方法可以有效地细分为三个不同的步骤:
Step 1:收集主体提交的身份和凭证;
Step 2:提交该身份和凭证;
Step 3:如果提交成功,允许访问,否则重新尝试身份验证或阻止访问。
Step 4:退出
----------------------------------------------------------------------------------------------------------------------------
下面说明Shiro中的API是如何反映以上步骤的:
//Step1: Collect the Subject's principals and credentials
//根据用户名和密码获得一个令牌(token)
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
//token.setRememberMe(true); //可选用
在Step1中,我们使用了UsernamePasswordToken,支持最常用的用户名/密码验证方式。这是Shiro的AuthenticationToken接口,这是由Shiro的认证系统代表提交的主体和凭证使用的基本接口的实现。username和password就是和Subject认证主体中对应的身份和凭证做验证的。
---------------------------------------------------------------------------------------------------------------------------
在Step2中,先通过SecurityUtils工具类获取当前执行的用户,然后进行身份认证,这个认证会参考ini文件中的Subject主体(当然了,实际中是参考数据库中的信息),在下面的示例程序中可以看的出
//Step2: Submit the principals and credentials//得到当前执行的用户
Subject currentUser = SecurityUtils.getSubject();
//进行认证
currentUser.login(token);
---------------------------------------------------------------------------------------------------------------------------
在Step3中,我们要根据认证的结果来处理正确或者错误的结果,所以我们需要将currentUser.login(token)使用try/catch包起来。
---------------------------------------------------------------------------------------------------------------------------
//Step3: Handling Success or Failuretry {
currentUser.login(token);
} catch ( AuthenticationException ae ) {
//unexpected error?
//Handel error
}
//No problems, continue on as expected...
在Step3中,我们要根据认证的结果来处理正确或者错误的结果,所以我们需要将currentUser.login(token)使用try/catch包起来。
---------------------------------------------------------------------------------------------------------------------------
//Step4: Logging out
currentUser.logout();
与认证相反的是释放所有已知的确定的状态。当主体完成与应用程序交互,可以调用subject.logout()放弃所有的身份信息。subject.logout()会删除所有身份信息以及他们的会话(这里的会话指的是Shiro中的会话)。
---------------------------------------------------------------------------------------------------------------------------
2、认证过程(Authentication Sequence)
step1:应用程序代码在调用Subject.login(token)方法之后,传入代表最终用户的身份和凭证构造的AuthenticationToken实例token。
step2:将Subject实例委托给应用程序的SecurityManager(Shiro的安全管理) 通过调用securityManager.login(token)来开始实际的认证工作。
step3,4,5:然后SecurityManager就会根据具体的realm去进行安全认证了。
realm就是一个域,Shiro就是从realm中获取验证数据的,也就是我们写在.ini文件中的东西,这个realm有很多种,如text realm,jdbc realm等。