文章出處

Shiro系列文章: 
【Shiro】Apache Shiro架構之權限認證(Authorization) 
【Shiro】Apache Shiro架構之集成web 
【Shiro】Apache Shiro架構之自定義realm 
【Shiro】Apache Shiro架構之實際運用(整合到Spring中)

 

 

Apache Shiro是一個強大易用的Java安全框架,提供了認證、授權、加密和會話管理功能,可為任何應用提供安全保障。本文主要介紹一下Shiro中的身份認證功能,如下: 
shiro 
  本文參考自Apache Shiro的官方文檔:http://shiro.apache.org/authentication.html。 
  本文遵循以下流程:先介紹Shiro中的身份認證,再通過一個實例來具體說明一下(基于maven)。

 

1. 認證主體(Authenticating Subjects)

  Subject 認證主體包含兩個信息:

 

Principals:身份。可以是用戶名,郵件,手機號碼等等,用來標識一個登錄主體身份; 
Credentials:憑證。常見有密碼,數字證書等等。

 

在Shiro中可以在.ini文件中指定一個認證主體,也可以從數據庫中取,這里使用.ini文件來寫一個簡單的認證主體:

[users]
csdn1=12345
csdn2=12345

可以表示兩個用戶,賬號為csdn1和csdn2,密碼都是12345。至于這個文件怎么用,后面我會在實例中介紹。 
  驗證一個主體的方法可以有效地細分為三個不同的步驟:

 

Step 1:收集主體提交的身份和憑證; 
Step 2:提交該身份和憑證; 
Step 3:如果提交成功,允許訪問,否則重新嘗試身份驗證或阻止訪問。 
Step 4:退出

 

下面說明Shiro中的API是如何反映以上步驟的:

//Step1: Collect the Subject's principals and credentials
//根據用戶名和密碼獲得一個令牌(token)
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
//token.setRememberMe(true); //可選用

在Step1中,我們使用UsernamePasswordToken,支持最常用的用戶名/密碼認證方式。這是Shiro的org.apache.shiro.authc.AuthenticationToken接口,這是由Shiro的認證系統代表提交的主體和憑證使用的基本接口的實現。username和password就是和Subject認證主體中對應的身份和憑證做驗證的。當然也可以記住該用戶,這個可有可無,關于RememberMe將在后續文章中介紹。

 

1 //Step2: Submit the principals and credentials
2 //得到當前執行的用戶
3 Subject currentUser = SecurityUtils.getSubject();
4 //進行認證
5 currentUser.login(token);

 

在Step2中,先通過SecurityUtils工具類獲取當前執行的用戶,然后進行身份認證,這個認證會參考ini文件中的Subject主體(當然了,實際中是參考數據庫中的信息),在下面的示例程序中可以看的出。

//Step3: Handling Success or Failure
try {
    currentUser.login(token);
} catch ( AuthenticationException ae ) {
    //unexpected error?
    //Handel error
}
//No problems, continue on as expected...

在Step3中,我們要根據認證的結果來處理正確或者錯誤的結果,所以我們需要將currentUser.login(token)使用try/catch包起來。

//Step4: Logging out
currentUser.logout();

 與認證相反的是釋放所有已知的確定的狀態。當主體完成與應用程序交互,可以調用subject.logout()放棄所有的身份信息,subject.logout()會刪除所有身份信息以及他們的會話(這里的會話指的是Shiro中的會話)。

2. 認證過程(Authentication Sequence)

  上文介紹了認證主體,以及從代碼的角度來分析了一下身份認證過程。下面來看一下在身份認證中,Shiro里面都干了些啥。圖出自官方文檔: 
Authentication  

    Step1:應用程序代碼在調用Subject.login(token)方法后,傳入代表最終用戶的身份和憑證構造的AuthenticationToken實例token。 
  Step2:將Subject實例委托給應用程序的SecurityManager(Shiro的安全管理)通過調用securityManager.login(token)來開始實際的認證工作。這里開始真正的認證工作了。 
  Step3,4,5:然后SecurityManager就會根據具體的reaml去進行安全認證了。 
  這個realm到底是啥呢?realm就是一個域,Shiro就是從realm中獲取驗證數據的,也就是我們寫在.ini文件中的東西,當然了,這個realm有很多種,如text realm、jdbc realm、jndi realm等,text realm比較簡單,這一節主要總結一下jdbc realm的使用,text realm也會提到。

 

3. 身份認證示例

 

  示例的工程結構如下: 
工程結構 
  pom.xml中的包如下:

 

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
  <modelVersion>4.0.0</modelVersion>
  <groupId>demo.shiro</groupId>
  <artifactId>Shiro02</artifactId>
  <version>0.0.1-SNAPSHOT</version>
  <name>Shiro02</name>
  <description>Shiro02</description>
  <build/>

  <dependencies>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.2.5</version>
    </dependency>
    <dependency>
        <groupId>org.slf4j</groupId>
        <artifactId>slf4j-log4j12</artifactId>
        <version>1.7.21</version>
    </dependency>
    <dependency>
        <groupId>c3p0</groupId>
        <artifactId>c3p0</artifactId>
        <version>0.9.1.2</version>
    </dependency>
    <dependency>
        <groupId>commons-logging</groupId>
        <artifactId>commons-logging</artifactId>
        <version>1.2</version>
    </dependency>
    <dependency>
    <groupId>mysql</groupId>
        <artifactId>mysql-connector-java</artifactId>
        <version>5.1.38</version>
    </dependency>
  </dependencies>
</project>

 

log4j.properties文件如下:

 

log4j.rootLogger=INFO, stdout
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n
# General Apache libraries
log4j.logger.org.apache=WARN
# Spring
log4j.logger.org.springframework=WARN
# Default Shiro logging
log4j.logger.org.apache.shiro=TRACE
# Disable verbose logging
log4j.logger.org.apache.shiro.util.ThreadContext=WARN
log4j.logger.org.apache.shiro.cache.ehcache.EhCache=WARN

 

首先寫一個shiro.ini文件,文件內容很簡單,只放一個用戶信息:

 

1 [users]
2 csdn=123

 

然后開始寫身份認證的java代碼了,如下:

 

public class TextRealm {

    public static void main(String[] args) {
        // 讀取配置文件,初始化SecurityManager工廠
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        // 獲取securityManager實例
        SecurityManager securityManager = factory.getInstance();
        // 把securityManager實例綁定到SecurityUtils
        SecurityUtils.setSecurityManager(securityManager);
        // 創建token令牌,用戶名/密碼
        UsernamePasswordToken token = new UsernamePasswordToken("csdn", "123");
        // 得到當前執行的用戶
        Subject currentUser = SecurityUtils.getSubject();
        try{
            // 身份認證
            currentUser.login(token);   
            System.out.println("身份認證成功!");
        }catch(AuthenticationException e){
            e.printStackTrace();
            System.out.println("身份認證失敗!");
        }
        // 退出
        currentUser.logout();
    }
}

 

運行該程序就可以根據傳入的參數和realm中的數據進行匹對,完成身份認證,從而打印認證成功,如果用戶名和密碼填寫一個錯誤的,則會驗證失敗。 
  接下來再分析一下jdbc realm的寫法,首先新建一個JdbcRealm.ini文件,如下:

 

#數據源選擇的是c3p0
dataSource=com.mchange.v2.c3p0.ComboPooledDataSource
dataSource.driverClass=com.mysql.jdbc.Driver
dataSource.jdbcUrl=jdbc:mysql://localhost:3306/db_shiro
dataSource.user=root
dataSource.password=root

#定義一個jdbc的realm,取名為jdbcRealm
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm

#jdbcRealm中有個屬性是dataSource,選擇我們上邊定義的dataSource
jdbcRealm.dataSource=$dataSource

#SecurityManager中的realm選擇上面定義的jdbcRealm
securityManager.realms=$jdbcRealm

 

然后需要準備數據庫的數據,我新建了一個數據庫db_shiro,里面有個users表,兩個字段username和password,我就放了三個數據用來測試的,如下: 
表 
  然后寫JdbcRealm.java代碼,和上面的一樣的,只不過讀取的配置文件不同

 

public class JdbcRealm {

    public static void main(String[] args) {
        // 讀取配置文件,初始化SecurityManager工廠
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:jdbc_realm.ini");
        // 獲取securityManager實例
        SecurityManager securityManager = factory.getInstance();
        // 把securityManager實例綁定到SecurityUtils
        SecurityUtils.setSecurityManager(securityManager);
        // 得到當前執行的用戶
        Subject currentUser = SecurityUtils.getSubject();
        // 創建token令牌,用戶名/密碼
        UsernamePasswordToken token = new UsernamePasswordToken("倪升武2", "123");
        try{
            // 身份認證
            currentUser.login(token);   
            System.out.println("身份認證成功!");
        }catch(AuthenticationException e){
            e.printStackTrace();
            System.out.println("身份認證失敗!");
        }
        // 退出
        currentUser.logout();
    }
}

 

 這樣Shiro就會根據這個jdbc realm從數據庫中獲取驗證數據對傳入的參數進行身份驗證,驗證通過則打印出通過的語句,否則不予通過。這就是Shiro中簡單的身份認證,下一節將總結一下Shiro中的權限認證,即授權。

 

 轉載CSDN  如需幫助請留言

 


文章列表


不含病毒。www.avast.com
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 大師兄 的頭像
    大師兄

    IT工程師數位筆記本

    大師兄 發表在 痞客邦 留言(0) 人氣()