认证,身份验证,验证用户是否合法

在shiro中,用户需要提供principals (身份)和credentials(证明)给shiro,从而应用能验证用户身份:

principals:用户的身份信息,是subject的标识属性,能够唯一标识subject,如电话号码,电子邮箱,身份证号等。

credentials:凭证:密码,是只被subject知道的秘密值。如密码/数字证书等。

最常见的principals和credentials组合就是用户名/密码。shiro中通常使用UsernamePasswordToken指定身份和凭证信息。

身份认证流程:

流程如下:

1、首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前必须通过SecurityUtils. setSecurityManager()设置;

2、SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证;

3、Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现;

4、Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证;

5、Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。

例子:

新建maven工程

首先准备一些用户身份/凭据(shiro.ini):通过[users]指定了两个主体:zhangnsan/1111 ; lisi/1111。

[users]

zhangsan=1111

lisi=1111

shiro文档关于ini的说明:

log4j配置文件

log4j.rootLogger=debug, stdout
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n

maven依赖:

<dependency>

        <groupId>org.apache.shiro</groupId>

        <artifactId>shiro-core</artifactId>

        <version>1.1.0</version>

    </dependency> 

    <dependency>

        <groupId>commons-logging</groupId>

        <artifactId>commons-logging</artifactId>

        <version>1.2</version>

    </dependency>  

    <dependency>

        <groupId>log4j</groupId>

        <artifactId>log4j</artifactId>

        <version>1.2.17</version>

    </dependency>

    <dependency>

        <groupId>org.slf4j</groupId>

        <artifactId>slf4j-log4j12</artifactId>

        <version>1.7.5</version>

    </dependency>

AuthenticationDemo.java:

package com.lhy.shiro;

import org.apache.shiro.SecurityUtils;

import org.apache.shiro.authc.AuthenticationException;

import org.apache.shiro.authc.UsernamePasswordToken;

import org.apache.shiro.config.IniSecurityManagerFactory;

import org.apache.shiro.mgt.SecurityManager;

import org.apache.shiro.subject.Subject;

import org.apache.shiro.util.Factory;

public class AuthenticationDemo {

    public static void main(String[] args) {

        //1,创建SecurityManager工厂  读取shiro配置文件

        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");

        //2  通过securityManager工厂获取SecurityManager实例

        SecurityManager securityManager = factory.getInstance();

        //3 将SecurityManager 对象设置到运行环境

        SecurityUtils.setSecurityManager(securityManager);

        //4 通过SecurityUtils获取主体subject

        Subject subject = SecurityUtils.getSubject();

        try {

            //5.假设登录名是zhangsan  密码是1111

            UsernamePasswordToken token = new UsernamePasswordToken("zhangsan","1111");

            //6,登录,进行用户身验证

            subject.login(token);

            //通过subject判断用户是否通过验证

            if(subject.isAuthenticated()){

                System.out.println("用户登录成功!");

            }

        } catch (AuthenticationException e) {

            e.printStackTrace();

            System.out.println("用户名或密码错误!");

        }

      //7 退出
      subject.logout();


    }

}

OK,运行成功

常见的异常信息及处理:认证过程中的父异常-AuthenticationException

该类有几个子类,分别对应不同的异常情况:

DisabledAccountException:账户失效异常

  LockedAccountException(锁定的帐号)

ExcessiveAttemptsException:登录失败次数过多

UnknownAccountException:用户名不正确

ExpiredCredentialsException:凭证过期异常

IncorrectCredentialsException:凭证不正确

虽然shiro为每一种异常都提供了准确的异常类,但是在编写代码时应提示模糊的信息给用户,这样更安全。常见的处理方式为:用户名错误”/“密码错误

try {

            //5.假设登录名是zhangsan  密码是1111

            UsernamePasswordToken token = new UsernamePasswordToken("zhangsan","1111");

            //6,登录,进行用户身验证

            subject.login(token);

            //通过subject判断用户是否通过验证

            if(subject.isAuthenticated()){

                System.out.println("用户登录成功!");

            }

        } catch (UnknownAccountException e) {

            e.printStackTrace();

            System.out.println("用户名或密码错误!");

        }catch (IncorrectCredentialsException e) {

            System.out.println("用户名或密码错误!");

        }

        //其他异常处理。。。

        //7 退出

        subject.logout();

从如上代码可总结出身份验证的步骤:

1、收集用户身份/凭证,即如用户名/密码;

2、调用Subject.login进行登录,如果失败将得到相应的AuthenticationException异常,根据异常提示用户错误信息;否则登录成功;

3、最后调用Subject.logout进行退出操作。

执行流程:

具体的过程可以查看源代码 。

shiro学习笔记_0200_认证的更多相关文章

  1. Shiro学习笔记 三(认证授权)

    第一种首先基于角色的权限控制 1.由于不断的创建SecurityFactory工程等步骤重复多次,所以应该将这些步骤封装成一个工具类 还是首先看一下目录结构 主要用到文件 首先贴一下工具类的方法 pa ...

  2. Shiro学习笔记总结,附加" 身份认证 "源码案例(一)

    Shiro学习笔记总结 内容介绍: 一.Shiro介绍 二.subject认证主体 三.身份认证流程 四.Realm & JDBC reaml介绍 五.Shiro.ini配置介绍 六.源码案例 ...

  3. shiro学习笔记_0600_自定义realm实现授权

    博客shiro学习笔记_0400_自定义Realm实现身份认证 介绍了认证,这里介绍授权. 1,仅仅通过配置文件来指定权限不够灵活且不方便.在实际的应用中大多数情况下都是将用户信息,角色信息,权限信息 ...

  4. Shiro学习笔记(5)——web集成

    Web集成 shiro配置文件shiroini 界面 webxml最关键 Servlet 測试 基于 Basic 的拦截器身份验证 Web集成 大多数情况.web项目都会集成spring.shiro在 ...

  5. shiro学习笔记_0300_jdbcRealm和认证策略

    使用shiro框架来完成认证工作,默认是iniRealm,如果需要使用其他的realm,需要配置. ini配置文件详解,官方文档的说明如下: [main] section 是你配置应用程序的 Secu ...

  6. Shiro 学习笔记(一)——shiro简介

    Apache Shiro 是一个安全框架.说白了,就是进行一下 权限校验,判断下这个用户是否登录了,是否有权限去做这件事情. Shiro 可以帮助我们完成:认证.授权.加密.会话管理.与web 集成. ...

  7. apache shiro学习笔记

    一.权限概述 1.1 认证与授权 认证:系统提供的用于识别用户身份的功能,通常登录功能就是认证功能-----让系统知道你是谁?? 授权:系统授予用户可以访问哪些功能的许可(证书)----让系统知道你能 ...

  8. shiro学习笔记_0400_自定义realm实现身份认证

     自定义Realm实现身份认证 先来看下Realm的类继承关系: Realm接口有三个方法,最重要的是第三个方法: a) String getName():返回此realm的名字 b) boolean ...

  9. [shiro学习笔记]第二节 shiro与web融合实现一个简单的授权认证

    本文地址:http://blog.csdn.net/sushengmiyan/article/details/39933993 shiro官网:http://shiro.apache.org/ shi ...

随机推荐

  1. 监控小工具(jconsole)

    偶然发现的一个监控小工具 配置好Jmeter运行的环境,在CMD命令中输入:jconsole 即可弹出一个[java监视和管理控制台]

  2. [label][JavaScript]读nowmagic - js词法作用域、调用对象与闭包

     原文链接:                 http://www.nowamagic.net/librarys/veda/detail/1305 作用域(scope) JavaScript 中的函数 ...

  3. Android-Activity启动模式(launchMode)

    Activity启动模式是非常重要的一块内容,启动模式直接关系到用户的体验 和 性能的提升等 Activity启动模式分为四种: 如果不配置:launchMode,默认就是:standard 标准的 ...

  4. Android-bindService本地服务-初步-Service返回对象

    在Android开发过程中,Android API 已经有了startService方式,为什么还需要bindService呢? 答:是因为bindService可以实现Activity-->S ...

  5. D3.js的基础部分之数组的处理 映射(v3版本)

    映射(Map)   映射(Map)是十分常见的一种数据结构,由一系列键(key)和值(value)组成的.每个key对应一个value,根据key可以获取和设定value,也可以根据key来查询val ...

  6. C#基础之流程控制语句详解

    C#程序的执行都是一行接一行.自上而下地进行,不遗漏任何代码.为了让程序能按照开发者所设计的流程进行执行,必然需要进行条件判断.循环和跳转等过程,这就需要实现流程控制.C#中的流程控制包含了条件语句. ...

  7. Visifire图表

    引用DLL: WPFToolkit WPFVisifire.Charts.dll WPFVisifire.Gauges.dll 1.柱状图 代码: public void BindChart1() { ...

  8. EF6 使用SQLite Code First

    SQLite是一款轻型关系型数据库,做一个小网站,用来替代sql server或者access数据库应该会是一个不错的选择. ASP.NET Entity Framework 6是微软平台的著名ORM ...

  9. Python3.5 学习一

    初期学习,离不了环境搭建及语言的基本语法等. Python属于动态解析.跨平台. 前期了解了Pyhon环境搭建,在Linux(ubuntu)和windows上都有所学习了解,由于不再当前所学资料教程内 ...

  10. Java笔记(一)GC及类加载

    垃圾回收器(GC)    垃圾回收器:java中有一个线程,专门负责JVM中垃圾内存的释放    垃圾:没有引用的内存节点    垃圾回收的算法    注意:垃圾回收有自己的算法,我们是不能控制垃圾回 ...