Shiro认证
一,什么是认证
认证——验证用户身份合法性。认证过程中,用户需要提供principals(身份实体信息)、credentials(凭据实体信息)。常用的是“实体/凭证”组合,即“用户名/密码”组合。
二、名词解释:
principal:身份(主体的标识属性),如:用户名、手机号、邮箱等(唯一)。
credentials:凭证(只有主体知道的安全值),如密码/数字证书等。
三、认证过程
1,收集实体/凭据信息
2,提交实体/凭据信息
3,认证处理——提交成功,允许访问;否则重新进行身份认证或阻止访问
1,收集实体/凭据信息
UsernamePasswordTokentoken = new UsernamePasswordToken(
user.getUsercode(),EncryptUtils.encryptMD5(user.getPassword()));
token.setRememberMe(true);
2,提交实体/凭据信息
SubjectcurrentUser = SecurityUtils.getSubject();
currentuser.login(token);
3,认证处理——提交成功,允许访问;否则重新进行身份认证或阻止访问
try {
currentUser.login(token);
} catch ( UnknownAccountException uae ) { ...
} catch ( IncorrectCredentialsException ice ){ ...
} catch (LockedAccountException lae ) { ...
} catch (ExcessiveAttemptsException eae ) { ...
} catch your own ...
} catch (AuthenticationException ae ) {
}
流程总结:
1、首先收集实体/凭据信息,再通过Subject.login(token)提交认证进行登录,其会自动委托给 Security Manager;
2、SecurityManager负责真正的身份验证逻辑;它会委托给 Authenticator进行身份验证(subject.isAuthenticated()判断用户是否已验证都将返回 true);若Subject.login(token)顺利执行,并没有抛出任何异常,即认证通过;
注:(1)Authenticator才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自定义插入自己的实现;
(2)Authenticator可能会委托给相应的 AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用 AuthenticationStrategy进行多 Realm 身份验证;
(3)Authenticator会把相应的 token 传入 Realm,从 Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个 Realm,将按照相应的顺序及策略进行访问。
四,部分示例代码
@Controller @RequestMapping(value= "login") public classLoginController { /* * @Autowired User user; */ /** * 用户登录 * * @param user * 登录用户 * @return */ @RequestMapping(params= "main") publicModelAndView login(User user,HttpSession session, HttpServletRequest request) { ModelAndViewmodelView = new ModelAndView(); SubjectcurrentUser = SecurityUtils.getSubject(); UsernamePasswordTokentoken = new UsernamePasswordToken( user.getUsercode(),EncryptUtils.encryptMD5(user.getPassword())); token.setRememberMe(true); try { currentUser.login(token); } catch ( UnknownAccountException uae ) { ... } catch (IncorrectCredentialsException ice ) { ... } catch (LockedAccountException lae ) { ... } catch (ExcessiveAttemptsException eae ) { ... } catchyour own ... } catch (AuthenticationException ae ) { } } 自定义Realm实现:
@Service("monitorRealm") public class MonitorRealm extends AuthorizingRealm { @Resource private UserService userService; //登录认证 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)throws AuthenticationException { UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token; String username = String.valueOf(usernamePasswordToken.getUsername()); User user = userService.findByUserName(username); //业务方法,通过用户名获取用户实体信息 AuthenticationInfo authenticationInfo = null; if (null != user) { String password = new String(usernamePasswordToken.getPassword()); if (password.equals(user.getPassword())) { authenticationInfo = new SimpleAuthenticationInfo(user.getUsername(),user.getPassword(), getName()); } } return authenticationInfo; } } 五,总结
通过shiro提供的实体及API进行身份认证。
来自:http://blog.csdn.net/hanxuemin12345/article/details/45192715