一,身份验证
证明自己是自己,需要提供用户名/密码来证明1.身份(principals):主体的标识,比如用户名,邮箱等。需要唯一。2.凭证(credentials):主体知道的安全值,比如密码二.登录/退出1.登录的过程1、首先通过new IniSecurityManagerFactory并指定一个ini配置文件来创建一个SecurityManager工厂;Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini"); 2、接着获取SecurityManager并绑定到SecurityUtils,这是一个全局设置,设置一次即可;SecurityManager securityManager = factory.getInstance(); SecurityUtils.setSecurityManager(securityManager); 3、通过SecurityUtils得到Subject,其会自动绑定到当前线程;如果在web环境在请求结束时需要解除绑定;Subject subject = SecurityUtils.getSubject(); 然后获取身份验证的Token,如用户名/密码; UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123"); try { 4、调用subject.login方法进行登录,其会自动委托给SecurityManager.login方法进行登录; subject.login(token); } catch (AuthenticationException e) { 、5、如果身份验证失败请捕获AuthenticationException或其子类,常见的如: UnknownAccountException(错误的帐号),IncorrectCredentialsException (错误的凭证)} 6、最后可以调用subject.logout退出,其会自动委托给SecurityManager.logout方法退出。subject.logout(); 三,认证流程1、首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前必须通过SecurityUtils. setSecurityManager()设置;2、SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证;3、Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现;4、Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证;5、Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。四,RealmShiro从Realm获取安全数据(用户,角色,权限),也就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较来确认用户身份是否合法。也要从Reaml得到用户相应的角色/权限进行验证用户是否能进行操作。1.Realm接口: String getName(); //返回一个唯一的Realm名字 boolean supports(AuthenticationToken token); //判断此Realm是否支持此Token AuthenticationInfo getAuthenticationInfo(AuthenticationToken token)throws AuthenticationException; //根据Token获取认证信息 2.Realm实现类
一般继承AuthorizingRealm(授权)即可;其继承了AuthenticatingRealm(即身份验证),而且也间接继承了CachingRealm(带有缓存实现)。
我们的代码:public class UserRealm extends AuthorizingRealm
2.6 Authenticator及AuthenticationStrategy