通知
此博客运行在jpress系统上,如果你喜欢此博客模板,请加QQ群:1061691290(whimurmur模板/jpress插件),免费下载使用

尚硅谷shiro框架学习-认证

5135人浏览 / 0人评论 | 作者:whisper  | 分类: shiro  | 标签: 框架  | 

作者:whisper

链接:http://proprogrammar.com:443/article/87

声明:请尊重原作者的劳动,如需转载请注明出处


     认证流程

    1、首先调用 Subject.login(token) 进行登录,其会自动委托给SecurityManager

    2、 SecurityManager 负责真正的身份验证逻辑;它会委托给Authenticator 进行身份验证;

    3、 Authenticator 才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自定义插入自己的实现;

    4、 Authenticator 可能会委托给相应的 AuthenticationStrategy 进行多 Realm 身份验证,默认 ModularRealmAuthenticator 会调用AuthenticationStrategy 进行多 Realm 身份验证;

    5、 Authenticator 会把相应的 token 传入 Realm,从 Realm 获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。

    名词解释

    身份验证:一般需要提供如身份 ID 等一些标识信息来表明登录者的身份,如提供 email,用户名/密码来证明。在 shiro 中,用户需要提供 principals (身份)和 credentials(证明)给 shiro,从而应用能验证用户身份:

    principals:身份,即主体的标识属性,可以是任何属性,如用户名、邮箱等,唯一即可。一个主体可以有多个 principals,但只有一个Primary principals,一般是用户名/邮箱/手机号。

    credentials:证明/凭证,即只有主体知道的安全值,如密码/数字证书等。

    最常见的 principals 和 credentials 组合就是用户名/密码了

     Realm:Shiro 从 Realm 获取安全数据(如用户、角色、权限),即 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作

    认证示例

@RequestMapping("/login")
public String login(@RequestParam("username") String username, 
	@RequestParam("password") String password){
    Subject currentUser = SecurityUtils.getSubject();
		
    if (!currentUser.isAuthenticated()) {
        // 把用户名和密码封装为 UsernamePasswordToken 对象
        UsernamePasswordToken token = new UsernamePasswordToken(username, password);
        // rememberme
        token.setRememberMe(true);
        try {
            System.out.println("1. " + token.hashCode());
            // 执行登录. 
            currentUser.login(token);
        } 
        // ... catch more exceptions here (maybe custom ones specific to your application?
        // 所有认证时异常的父类. 
        catch (AuthenticationException ae) {
            //unexpected condition?  error?
            System.out.println("登录失败: " + ae.getMessage());
        }
    }
		
	return "redirect:/list.jsp";
}

     AuthenticationException

     如果身份验证失败请捕获 AuthenticationException 或其子类

     最好使用如“用户名/密码错误”而不是“用户名错误” /“密码错误”,防止一些恶意用户非法扫描帐号库;

    认证异常

    realm认证

     一般继承 AuthorizingRealm(授权)即可;其继承了AuthenticatingRealm(即身份验证),而且也间接继承了
CachingRealm(带有缓存实现)。

    Realm 的继承关系:

     Authenticator 的职责是验证用户帐号,是 Shiro API 中身份验证核心的入口点:如果验证成功,将返回AuthenticationInfo 验
证信息;此信息中包含了身份及凭证;如果验证失败将抛出相应的 AuthenticationException 异常

     SecurityManager 接口继承了 Authenticator,另外还有一个ModularRealmAuthenticator实现,其委托给多个Realm 进行验证,验证规则通过 AuthenticationStrategy 接口指定

    一个realm的话要在id为securityManager的bean中配置name为realm的属性,属性值为定义的realm,类似下面

    多realm认证

     配置如下

 

    这里配置了两个realm,继承了AuthorizingRealm,实现了doGetAuthenticationInfo方法,当进行身份认证时,就会调用这个方法,这里会返回一个AuthenticationInfo,包含用户相关信息(保存的密码信息),对密码的比对由shiro完成。

    认证策略

    同时可以配置认证策略,如

    (1)FirstSuccessfulStrategy:只要有一个Realm验证成功即可,只返回第一个Realm身份验证成功的认证信息,其他的忽略。

    (2)AtLeastOneSuccessfulStrategy:只要有一个Realm验证成功即可,和FirstSuccessfulStrategy不同,将返回所有Realm身份校验成功的认证信息。

    (3)AllSuccessfulStrategy:所有Realm验证成功才算成功,且返回所有Realm身份认证成功的认证信息,如果有一个失败就失败了。

    ModularRealmAuthenticator默认是AtLeastOneSuccessfulStrategy。

    密码加密

    为了安全,保存的密码要进行加密,加密可以使用不同的加密算法如md5,sha1等,

    通过属性credentialsMatcher设置密码比对使用的bean,可以使用HashedCredentialsMatcher类,要设置采用的加密的算法,加密次数等。

    注:在用户注册时,会对用户的密码进行加密,保存加密后的密码密文(明文只有用户自己知道),在用登陆时,通过用户名查到保存的密码密文,登陆的密码明文按设置的加密算法进行加密,与保存的密码密文进行对比,对用户进行认证。

    加密可以使用盐值,以提高安全性

    注:如果不使用盐值,相同密码加密后也是相同的,而使用了盐值后,即使是相同的密码,加密后也不相同,盐值一般使用不同的值,如用户的user id等,以确何不同用户即使密码相同加密后也不一样。

    这里的盐值会用于对登陆用户的密码的加密中


亲爱的读者:有时间可以点赞评论一下

点赞(0) 打赏

全部评论

还没有评论!