Shiro身份验证

身份验证

身份验证，即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来表明他就是本人，如提供身份证，用户名/密码来证明。

在shiro中，用户需要提供principals（身份）和 credentials（证明）给shiro，从而应用能验证用户身份：

principals：身份，即主体的标识属性，可以是任何东西，如用户名、邮箱等，唯一即可。一个主体可以有多个principals,但只有一个Primary principals，一般是用户名/密码/手机号。

credentials：证明/凭证，即只要有主体知道的安全值，如密码/数字证书等。

最常见的 principals 和 credentials 组合就是用户名 / 密码了。接下来先进行一个基本的身份认证。

另外两个相关的概念是之前提到的 Subject 及 **Realm**，分别是主体及验证主体的数据源。

环境准备

使用Maven构建，首先准备以下依赖：

<dependencies>
    <dependency>
        <groupId>junit</groupId>
        <artifactId>junit</artifactId>
        <version>4.9</version>
    </dependency>
    <dependency>
        <groupId>commons-logging</groupId>
        <artifactId>commons-logging</artifactId>
        <version>1.1.3</version>
    </dependency>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.2.2</version>
    </dependency>
</dependencies>

添加 junit、common-logging 及 shiro-core 依赖即可。

登录/退出

1、首先准备一些用户身份/凭据（shiro.ini)

[users]
zhang=123
wang=123

此处使用 ini 配置文件，通过 [users] 指定了两个主体：zhang/123、wang/123。

2、测试用例（com.shiro.test.LoginLogoutTest）

@Test
   public void testHelloworld() {
       //1.获取SecurityManager工厂，此处使用Ini配置文件初始化SecurityManager
       Factory<SecurityManager> factory = new IniSecurityManagerFactory("shiro.ini");

       //2.得到SecurityManager实例 并绑定给SecurityUtils
       SecurityManager securityManager = factory.getInstance();
       SecurityUtils.setSecurityManager(securityManager);

       //3.得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证）
       Subject  subject = SecurityUtils.getSubject();
       UsernamePasswordToken token = new UsernamePasswordToken("zhang","1234");
       try{
           //4.登录，即身份验证
           subject.login(token);
       }catch(AuthenticationException e){
           //5.身份验证失败
           System.out.println("身份验证失败");
       }

       Assert.assertEquals(true,subject.isAuthenticated());  //断言用户已经登陆

       //6. 退出
       subject.logout();
   }

• 首先通过 new IniSecurityManagerFactory 并指定一个 ini 配置文件来创建一个 SecurityManager 工厂；
• 接着获取SecurityManager并绑定到SecurityUtils，这是一个全局设置，设置一次即可；
• 通过SecurityUtils得到Subject，其会自动绑定到当前线程；如果在web环境，在请求结束时需要解除绑定；然后获取身份验证的Token，如用户名/密码；
• 调用subject.login方法进行登录，其会自动委托给SecurityManager.login方法进行登录
• 如果身份验证失败请捕获 AuthenticationException 或其子类，常见的如： DisabledAccountException（禁用的帐号）、LockedAccountException（锁定的帐号）、UnknownAccountException（错误的帐号）、ExcessiveAttemptsException（登录失败次数过多）、IncorrectCredentialsException （错误的凭证）、ExpiredCredentialsException（过期的凭证）等，具体请查看其继承关系；对于页面的错误消息展示，最好使用如 “用户名 / 密码错误” 而不是 “用户名错误”/“密码错误”，防止一些恶意用户非法扫描帐号库；
• 最后可以调用 subject.logout 退出，其会自动委托给 SecurityManager.logout 方法退出。

总结

身份验证的步骤为：

1. 收集用户身份/凭证，即如用户名/密码；
2. 调用Subject.login进行登录，如果失败，将得到相应的AuthenticationException异常，根据异常提示用户错误信息；否则登录成功；
3. 最后调用Subject.logout进行退出操作。

身份认证流程

流程如下：

1. 首先调用 Subject.login(token) 进行登录，其会自动委托给 Security Manager，调用之前必须通过 SecurityUtils.setSecurityManager() 设置；
2. SecurityManager 负责真正的身份验证逻辑；它会委托给 Authenticator 进行身份验证；
3. Authenticator 才是真正的身份验证者，Shiro API 中核心的身份认证入口点，此处可以自定义插入自己的实现；
4. Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证，默认 ModularRealmAuthenticator 会调用 AuthenticationStrategy 进行多 Realm 身份验证；
5. Authenticator 会把相应的 token 传入 Realm，从 Realm 获取身份验证信息，如果没有返回 / 抛出异常表示身份验证成功了。此处可以配置多个 Realm，将按照相应的顺序及策略进行访问。

Realm

​ Realm：域，Shiro从Realm获取安全数据（如用户、角色、权限），就是说SecurityManager要验证用户身份，那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法；也需要从 Realm 得到用户相应的角色 / 权限进行验证用户是否能进行操作；可以把 Realm 看成 DataSource，即安全数据源。如我们之前的 ini 配置方式将使用org.apache.shiro.realm.text.IniRealm。

org.apache.shiro.realm.Realm 接口如下：

String getName();  //返回一个唯一的Realm名字
boolean supports(AuthenticationToken token); //判断此Realm是否支持此token
AuthenticationInfo getAuthenticationInfo(AuthenticationToken token ) throw AuthenticationException; //根据Token获取认证信息

​ 单Realm配置

1、自定义Realm实现