Shiro(二)之身份验证

2022-06-01 09:41 1124阅读 0赞

**一、身份验证**  
即在应用中谁能证明他就是他本人。一般提供如他们的身份 ID 一些标识信息来表明他就是他本人，如提供身份证，用户名/密码来证明。  
在 shiro 中，用户需要提供 principals （身份）和 credentials（证明）给 shiro，从而应用能  
验证用户身份：  
**principals：**身份，即主体的标识属性，可以是任何东西，如用户名、邮箱等，唯一即可。一个主体可以有多个 principals，但只有一个 Primary principals，一般是用户名/密码/手机号。  
**credentials：**证明/凭证，即只有主体知道的安全值，如密码/数字证书等。

最常见的 principals 和 credentials 组合就是用户名/密码了。接下来先进行一个基本的身份认

证  
**另外两个相关的概念是之前提到的 Subject 及 Realm，分别是主体及验证主体的数据源。**  
**二、环境准备**  
本文使用 Maven 构建，因此需要一点 Maven 知识。首先准备环境依赖：

<dependencies>
        <dependency>
        <groupId>junit</groupId>
        <artifactId>junit</artifactId>
        <version>4.9</version>
        </dependency>
        <dependency>
            <groupId>commons-logging</groupId>
            <artifactId>commons-logging</artifactId>
            <version>1.1.3</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.2.2</version>
        </dependency>
        </dependencies>

添加 junit、common-logging 及 shiro-core 依赖即可。

**三、登录/退出**  
1、首先准备一些用户身份/凭据（shiro.ini）

[users]
    zhang=123
    wang=123

此处使用 ini 配置文件，通过[users]指定了两个主体：zhang/123、wang/123。

2.测试用例

@Test
    public void testHelloworld() {
            //1、获取 SecurityManager 工厂，此处使用 Ini 配置文件初始化 SecurityManager
            Factory<org.apache.shiro.mgt.SecurityManager> factory =
            new IniSecurityManagerFactory("classpath:shiro.ini");
            //2、得到 SecurityManager 实例 并绑定给 SecurityUtils
            org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();
            SecurityUtils.setSecurityManager(securityManager);
            //3、得到 Subject 及创建用户名/密码身份验证 Token（即用户身份/凭证）
            Subject subject = SecurityUtils.getSubject();
            UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");
            try {
            //4、登录，即身份验证
            subject.login(token);
            } catch (AuthenticationException e) {
            //5、身份验证失败
            }
            Assert.assertEquals(true, subject.isAuthenticated()); //断言用户已经登录
            //6、退出
            subject.logout();
    }

2.1 首先通过 new IniSecurityManagerFactory 并指定一个 ini 配置文件来创建一个SecurityManager 工厂；  
2.2 接着获取 SecurityManager 并绑定到 SecurityUtils，这是一个全局设置，设置一次即可；  
2.3 通过 SecurityUtils 得到 Subject，其会自动绑定到当前线程；如果在 web 环境在请求结  
束时需要解除绑定；然后获取身份验证的 Token，如用户名/密码；  
2.4 调用 subject.login 方法进行登录，其会自动委托给 SecurityManager.login 方法进行登录；  
2.5 如 果 身 份 验 证 失 败 请 捕 获 AuthenticationException 或 其 子 类 ， 常 见 的 如：DisabledAccountException（禁用的帐号）、LockedAccountException（锁定的帐号）、UnknownAccountException（错误的帐号）、ExcessiveAttemptsException（登录失败次数过  
多）、IncorrectCredentialsException （错误的凭证）、ExpiredCredentialsException（过期的  
凭证）等，具体请查看其继承关系；对于页面的错误消息展示，最好使用如“用户名/密码  
错误”而不是“用户名错误”/“密码错误”，防止一些恶意用户非法扫描帐号库；  
2.6 最后可以调用 subject.logout 退出，其会自动委托给 SecurityManager.logout 方法退出。

**从如上代 码 可总结出 身份验证的 步骤 ：**  
1.收集用户身份/凭证，即如用户名/密码；  
2.调用 Subject.login 进行登录，如果失败将得到相应的 AuthenticationException 异常，根据异常提示用户错误信息；否则登录成功  
3.最后调用 Subject.logout 进行退出操作。

**如上测试的几个问题：**  
1.用户名/密码硬编码在 ini 配置文件，以后需要改成如数据库存储，且密码需要加密存储；  
2.用户身份 Token 可能不仅仅是用户名/密码，也可能还有其他的，如登录时允许用户名/邮箱/手机号同时登录。

**三、身份验证的流程**  
![这里写图片描述][SouthEast]

主要的流程如下：  
1.首先调用 Subject.login(token)进行登录，其会自动委托给 Security Manager，调用之前必须通过 SecurityUtils. setSecurityManager()设置；

2.SecurityManager 负责真正的身份验证逻辑；它会委托给 Authenticator 进行身份验证；

3.Authenticator 才是真正的身份验证者，Shiro API 中核心的身份认证入口点，此处可以自定义插入自己的实现

4.Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证，默认ModularRealmAuthenticator 会调用 AuthenticationStrategy 进行多 Realm 身份验证；

5.Authenticator 会把相应的 token 传入 Realm，从 Realm 获取身份验证信息，如果没有返  
回/抛出异常表示身份验证失败了。此处可以配置多个 Realm，将按照相应的顺序及策略进  
行访问。

**四、Realm**  
Realm：域，Shiro 从从 Realm 获取安全数据（如用户、角色、权限），就是说 SecurityManager  
要验证用户身份，那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法；也需要从 Realm 得到用户相应的角色/权限进行验证用户是否能进行操作；可以把 Realm 看成 DataSource ， 即 安 全 数 据 源 。 如 我 们 之 前 的 ini 配 置 方 式 将 使 用。

org.apache.shiro.realm.Realm 接口如下：

String getName(); //返回一个唯一的 Realm 名字
    boolean supports(AuthenticationToken token); //判断此 Realm 是否支持此 Token
    AuthenticationInfo getAuthenticationInfo(AuthenticationToken token)
    throws AuthenticationException; //根据 Token 获取认证信息

**2.单 Realm**  
1、自定义 Realm 实现（com.github.zhangkaitao.shiro.chapter2.realm.MyRealm1）：

public class MyRealm1 implements Realm { 
    @Override
    public String getName() {
    return "myrealm1";
    }
    @Override
    public boolean supports(AuthenticationToken token) {
            //仅支持 UsernamePasswordToken 类型的 Token
            return token instanceof UsernamePasswordToken;
            }
            @Override
            public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws
            AuthenticationException {
            String username = (String)token.getPrincipal(); //得到用户名
            String password = new String((char[])token.getCredentials()); //得到密码
            if(!"zhang".equals(username)) {
            throw new UnknownAccountException(); //如果用户名错误
            }
            if(!"123".equals(password)) {
            throw new IncorrectCredentialsException(); //如果密码错误
            }
            //如果身份认证验证成功，返回一个 AuthenticationInfo 实现；
            return new SimpleAuthenticationInfo(username, password, getName());
            }
    }

**3、JDBC Realm 使用**

1、数据库及依赖

<dependency>
        <groupId>mysql</groupId>
        <artifactId>mysql-connector-java</artifactId>
        <version>5.1.25</version>
    </dependency>
    <dependency>
        <groupId>com.alibaba</groupId>
        <artifactId>druid</artifactId>
        <version>0.2.23</version>
    </dependency>

这里将使用 mysql 数据库及 druid 连接池；

2、到数据库 shiro 下建三张表：users （用户名/密码）、user\_roles （用户/角色）、roles\_permissions  
（角色/权限），具体请参照 shiro-example-chapter2/sql/shiro.sql；并添加一个用户记录，用  
户名/密码为 zhang/123；

3、ini 配置（shiro-jdbc-realm.ini）

**四、Authenticator 及 AuthenticationStrategy**  
Authenticator 的职责是验证用户帐号，是 Shiro API 中身份验证核心的入口点：

public AuthenticationInfo authenticate(AuthenticationToken authenticationToken)
    throws AuthenticationException;

如果验证成功，将返回 AuthenticationInfo 验证信息；此信息中包含了身份及凭证；如果验证失败将抛出相应的 AuthenticationException 实现。

[SouthEast]: /images/20220601/ea4f7b0d6a5c42b795c6daec66f92990.png