`
李大宝
  • 浏览: 14755 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

shiro-身份认证(Authentication)

阅读更多

Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障。本文主要介绍一下Shiro中的身份认证功能,如下: 



 本文参考自Apache Shiro的官方文档:http://shiro.apache.org/authentication.html

1. 认证主体(Authenticating Subjects)

  Subject 认证主体包含两个信息:

Principals:身份。可以是用户名,邮件,手机号码等等,用来标识一个登录主体身份; 
Credentials:凭证。常见有密码,数字证书等等。

  在Shiro中可以在.ini文件中指定一个认证主体,也可以从数据库中取,这里使用.ini文件来写一个简单的认证主体:

[users]
csdn1=12345
csdn2=12345

 可以表示两个用户,账号为csdn1和csdn2,密码都是12345。至于这个文件怎么用,后面我会在实例中介绍。 

  验证一个主体的方法可以有效地细分为三个不同的步骤:

Step 1:收集主体提交的身份和凭证; 
Step 2:提交该身份和凭证; 
Step 3:如果提交成功,允许访问,否则重新尝试身份验证或阻止访问。 
Step 4:退出

  下面说明Shiro中的API是如何反映以上步骤的:

//Step1: Collect the Subject's principals and credentials
//根据用户名和密码获得一个令牌(token)
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
//token.setRememberMe(true); //可选用

 

 

  在Step1中,我们使用UsernamePasswordToken,支持最常用的用户名/密码认证方式。这是Shiro的org.apache.shiro.authc.AuthenticationToken接口,这是由Shiro的认证系统代表提交的主体和凭证使用的基本接口的实现。username和password就是和Subject认证主体中对应的身份和凭证做验证的。当然也可以记住该用户,这个可有可无,关于RememberMe将在后续文章中介绍。

 

//Step2: Submit the principals and credentials
//得到当前执行的用户
Subject currentUser = SecurityUtils.getSubject();
//进行认证
currentUser.login(token);

 

  在Step2中,先通过SecurityUtils工具类获取当前执行的用户,然后进行身份认证,这个认证会参考ini文件中的Subject主体(当然了,实际中是参考数据库中的信息),在下面的示例程序中可以看的出。

 

//Step3: Handling Success or Failure
try {
    currentUser.login(token);
} catch ( AuthenticationException ae ) {
    //unexpected error?
    //Handel error
}
//No problems, continue on as expected...

 

 

  在Step3中,我们要根据认证的结果来处理正确或者错误的结果,所以我们需要将currentUser.login(token)使用try/catch包起来。

//Step4: Logging out
currentUser.logout();

  与认证相反的是释放所有已知的确定的状态。当主体完成与应用程序交互,可以调用subject.logout()放弃所有的身份信息,subject.logout()会删除所有身份信息以及他们的会话(这里的会话指的是Shiro中的会话)。

2. 认证过程(Authentication Sequence)

 

上文介绍了认证主体,以及从代码的角度来分析了一下身份认证过程。下面来看一下在身份认证中,Shiro里面都干了些啥。图出自官方文档: 

 

 

        Step1:应用程序代码在调用Subject.login(token)方法后,传入代表最终用户的身份和凭证构造的AuthenticationToken实例token。 

  Step2:将Subject实例委托给应用程序的SecurityManager(Shiro的安全管理)通过调用securityManager.login(token)来开始实际的认证工作。这里开始真正的认证工作了。 
  Step3,4,5:然后SecurityManager就会根据具体的reaml去进行安全认证了。 
  这个realm到底是啥呢?realm就是一个域,Shiro就是从realm中获取验证数据的,也就是我们写在.ini文件中的东西,当然了,这个realm有很多种,如text realm、jdbc realm、jndi realm等,text realm比较简单,这一节主要总结一下jdbc realm的使用,text realm也会提到。

3. 身份认证示例

pom.xml中的包如下:

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
  <modelVersion>4.0.0</modelVersion>
  <groupId>demo.shiro</groupId>
  <artifactId>Shiro02</artifactId>
  <version>0.0.1-SNAPSHOT</version>
  <name>Shiro02</name>
  <description>Shiro02</description>
  <build/>

  <dependencies>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.2.5</version>
    </dependency>
    <dependency>
        <groupId>org.slf4j</groupId>
        <artifactId>slf4j-log4j12</artifactId>
        <version>1.7.21</version>
    </dependency>
    <dependency>
        <groupId>c3p0</groupId>
        <artifactId>c3p0</artifactId>
        <version>0.9.1.2</version>
    </dependency>
    <dependency>
        <groupId>commons-logging</groupId>
        <artifactId>commons-logging</artifactId>
        <version>1.2</version>
    </dependency>
    <dependency>
    <groupId>mysql</groupId>
        <artifactId>mysql-connector-java</artifactId>
        <version>5.1.38</version>
    </dependency>
  </dependencies>
</project>

 log4j.properties文件如下:

 

log4j.rootLogger=INFO, stdout
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n
# General Apache libraries
log4j.logger.org.apache=WARN
# Spring
log4j.logger.org.springframework=WARN
# Default Shiro logging
log4j.logger.org.apache.shiro=TRACE
# Disable verbose logging
log4j.logger.org.apache.shiro.util.ThreadContext=WARN
log4j.logger.org.apache.shiro.cache.ehcache.EhCache=WARN

 

首先写一个shiro.ini文件,文件内容很简单,只放一个用户信息:

[users]

csdn=1234

 

然后开始写身份认证的java代码了,如下:

public class TextRealm {

    public static void main(String[] args) {
        // 读取配置文件,初始化SecurityManager工厂
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        // 获取securityManager实例
        SecurityManager securityManager = factory.getInstance();
        // 把securityManager实例绑定到SecurityUtils
        SecurityUtils.setSecurityManager(securityManager);
        // 创建token令牌,用户名/密码
        UsernamePasswordToken token = new UsernamePasswordToken("csdn", "123");
        // 得到当前执行的用户
        Subject currentUser = SecurityUtils.getSubject();
        try{
            // 身份认证
            currentUser.login(token);   
            System.out.println("身份认证成功!");
        }catch(AuthenticationException e){
            e.printStackTrace();
            System.out.println("身份认证失败!");
        }
        // 退出
        currentUser.logout();
    }
}

 运行该程序就可以根据传入的参数和realm中的数据进行匹对,完成身份认证,从而打印认证成功,如果用户名和密码填写一个错误的,则会验证失败。 

  接下来再分析一下jdbc realm的写法,首先新建一个JdbcRealm.ini文件,如下:

 

[main]
#数据源选择的是c3p0
dataSource=com.mchange.v2.c3p0.ComboPooledDataSource
dataSource.driverClass=com.mysql.jdbc.Driver
dataSource.jdbcUrl=jdbc:mysql://localhost:3306/db_shiro
dataSource.user=root
dataSource.password=root

#定义一个jdbc的realm,取名为jdbcRealm
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm

#jdbcRealm中有个属性是dataSource,选择我们上边定义的dataSource
jdbcRealm.dataSource=$dataSource

#SecurityManager中的realm选择上面定义的jdbcRealm
securityManager.realms=$jdbcRealm

 

然后需要准备数据库的数据,我新建了一个数据库db_shiro,里面有个users表,两个字段username和password,我就放了三个数据用来测试的,如下: 

 

 

 然后写JdbcRealm.java代码,和上面的一样的,只不过读取的配置文件不同

 

 

public class JdbcRealm {

    public static void main(String[] args) {
        // 读取配置文件,初始化SecurityManager工厂
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:jdbc_realm.ini");
        // 获取securityManager实例
        SecurityManager securityManager = factory.getInstance();
        // 把securityManager实例绑定到SecurityUtils
        SecurityUtils.setSecurityManager(securityManager);
        // 得到当前执行的用户
        Subject currentUser = SecurityUtils.getSubject();
        // 创建token令牌,用户名/密码
        UsernamePasswordToken token = new UsernamePasswordToken("倪升武2", "123");
        try{
            // 身份认证
            currentUser.login(token);   
            System.out.println("身份认证成功!");
        }catch(AuthenticationException e){
            e.printStackTrace();
            System.out.println("身份认证失败!");
        }
        // 退出
        currentUser.logout();
    }
}

 

 这样Shiro就会根据这个jdbc realm从数据库中获取验证数据对传入的参数进行身份验证,验证通过则打印出通过的语句,否则不予通过。这就是Shiro中简单的身份认证,下一节将总结一下Shiro中的权限认证,即授权。

 

  • 大小: 20.1 KB
  • 大小: 76.4 KB
  • 大小: 5.2 KB
分享到:
评论

相关推荐

    shiro-1.7.1.zip

    Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证(Authentication)、授权(Authorization)、会话管理(Session Management)和加密(Cryptography)等核心功能。`shiro-1.7.1.zip`是一个包含...

    shiro-root-1.2.3-source-release zipa包 和相关jar包

    Shiro提供了多种身份验证策略,如记住我(Remember Me)服务,支持与数据库、缓存或任何其他后端服务交互。 2. **授权(Authorization)**:即权限控制,确定用户是否有执行特定操作的权限。Shiro提供角色(Role)...

    shiro-root-1.2.2-source-release.zip

    - **Authentication(认证)**:验证用户身份,确保登录的用户是谁声称的那个人。 - **Authorization(授权)**:决定已认证的用户可以访问哪些资源或执行哪些操作。 - **Cryptography(加密)**:提供加密工具,...

    shiro-all jar

    3. **org.apache.shiro.authc**: 这是Shiro的身份验证(Authentication)模块,负责验证用户身份。它包括了登录验证、密码加密、记住我(Remember Me)服务等功能。 4. **org.apache.shiro.authz**: 授权...

    shiro-all-1.2.3.jar

    Shiro 提供了多种方式实现身份验证,如基于表单的认证、基于令牌的认证等。 2. **授权(Authorization)**:授权是确定用户是否有执行特定操作的权限。Shiro 提供了角色和权限的概念,可以通过配置或者编程方式来...

    shiro项目基本运行架包以及全部的架包shiro-all.jar

    1. **身份验证(Authentication)**:这是确认用户身份的过程,即验证用户提供的身份凭证是否有效。在Shiro中,你可以通过UsernamePasswordToken或者自定义的身份凭证类来完成这个过程。 2. **授权(Authorization...

    shiro-attack-4.7.0-SNAPSHOT-all.zip

    Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能,广泛应用于各种类型的Java应用程序中。标题提到的"shiro-attack-...

    shiro1.7.1全包修补漏洞.rar

    Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证、授权、会话管理和加密服务。这个"shiro1.7.1全包修补漏洞.rar"文件包含了针对Apache Shiro 1.7.1版本的一些安全修复和更新,旨在解决可能存在的...

    shiro-root-1.3.2-source-release

    1. **认证**(Authentication):这是验证用户身份的过程,确保用户是他们声称的那个人。在Shiro中,`Subject`接口是与安全相关的操作的主要入口点,它代表了当前用户或实体。`Realm`是认证信息的来源,比如数据库、...

    shiro-shiro-root-1.5.3.zip

    1. **身份验证(Authentication)**:这是确认用户身份的过程。Shiro提供了一个灵活的身份验证机制,可以处理多种认证方式,如用户名/密码、数字证书等。它支持记住我(Remember Me)服务,允许用户在一段时间内免...

    shiro-cas-1.2.1.jar

    在本案例中,我们关注的是 Shiro 集成 CAS(Central Authentication Service)的实现,这通常用于实现单点登录(Single Sign-On, SSO)功能。 "shiro-cas-1.2.1.jar" 是一个专门针对 Shiro 与 CAS 集成的库,版本为...

    单点登录sso-shiro-cas-maven

    其中shiro.loginUrl 跟 shiro.logoutUrl的前面是cas验证的地址,后面的是我们应用系统的地址,这样配置的方式是为了在访问我们的应用系统的时候,先到cas进行验证,如果验证成功了,cas将重定向到shiro.successUrl ...

    shiro-main.zip

    1. **认证(Authentication)**:Shiro 提供了用户身份验证的能力,即确认用户是谁。这通常涉及用户提交凭证(如用户名/密码)给系统,Shiro 验证这些凭证的有效性。一旦验证成功,Shiro 就知道谁是当前的用户,并为...

    shiro-root-1.4.1-source-release.zip

    1. **身份认证(Authentication)**:验证用户的身份。这个过程涉及用户提交凭证(如用户名/密码),Shiro 验证这些凭证是否匹配存储在系统中的凭证。如果匹配,Shiro 认为用户已通过身份验证。 2. **授权...

    shiro所有jar包

    Apache Shiro是一个强大的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能,使得在Java应用中处理安全性变得更加简单。Shiro不仅适合大型企业级应用,也适用于小型项目,因为它的API设计直观易用。当...

    shiro-web例子源代码

    Apache Shiro是一个强大的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能,用于构建安全的应用程序。本例子的源代码是基于Shiro-web实现的一个简单的Web应用,配合前端Bootstrap-table和Knockout.js库...

    shiro-root-1.7.0_ROOT_shirocore1.7_shiro1.7源码_

    1. **Authentication(认证)**:这是验证用户身份的过程,即确认用户是谁。Shiro 提供了Subject接口作为与Shiro交互的主要方式,包括登录、登出等操作。内部通过Realm来获取和验证用户的凭证, Realm是Shiro与应用...

    shiro-all-1.2.2.jar

    1. **身份验证(Authentication)**:Shiro提供了全面的身份验证机制,允许用户通过用户名和密码、数字证书或其他凭证进行登录。它支持记住我功能,可以在用户下次访问时自动登录。此外,Shiro还支持跨域会话管理,...

    shiro-all-1.3.2.jar && slf4j-api-1.7.24.jar

    Apache Shiro 是一个强大且易用的 Java 安全框架,提供了身份验证(Authentication)、授权(Authorization)、会话管理(Session Management)以及加密(Cryptography)等功能。在 Java SE(标准版)环境中,Shiro ...

    shiro-1.8.0.zip

    1. **shiro-core-1.8.0.jar**:这是Shiro的核心模块,包含了主体(Subject)、安全管理者(SecurityManager)、认证(Authentication)、授权(Authorization)和会话管理(Session Management)的基础实现。...

Global site tag (gtag.js) - Google Analytics