前言
上一章主要對(duì)Shiro功能,運(yùn)行原理,架構(gòu)設(shè)計(jì)進(jìn)行了介紹缓熟,這一章我們主要學(xué)習(xí)Shiro的身份驗(yàn)證。本章的代碼我會(huì)上傳至GitHub摔笤,鏈接見文末够滑。
身份驗(yàn)證:即在應(yīng)用中誰能證明他就是他本人。一般提供如他們的身份ID一些標(biāo)識(shí)信息來表明他就是他本人吕世,如提供身份證彰触,用戶名/密碼來證明。
在shiro中命辖,用戶需要提供principals (身份)和credentials(證明)給shiro况毅,從而應(yīng)用能驗(yàn)證用戶身份:
principals:身份,即主體的標(biāo)識(shí)屬性尔艇,可以是任何東西俭茧,如用戶名、郵箱等漓帚,唯一即可母债。一個(gè)主體可以有多個(gè)principals,但只有一個(gè)Primary principals尝抖,一般是用戶名/密碼/手機(jī)號(hào)毡们。
credentials:證明/憑證,即只有主體知道的安全值昧辽,如密碼/數(shù)字證書等衙熔。
最常見的principals和credentials組合就是用戶名/密碼了。接下來先進(jìn)行一個(gè)基本的身份認(rèn)證搅荞。
2.1環(huán)境準(zhǔn)備
引入相關(guān)依賴
<dependencies>
<dependency>
<groupId>junit</groupId>
<artifactId>junit</artifactId>
<version>4.9</version>
</dependency>
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<version>1.16.10</version>
</dependency>
<dependency>
<groupId>ch.qos.logback</groupId>
<artifactId>logback-classic</artifactId>
<version>1.0.13</version>
</dependency>
<dependency>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
<version>1.1.3</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.2.2</version>
</dependency>
</dependencies>
2.2登錄/登出
-
首先準(zhǔn)備一些 用戶身份/憑據(jù)(shiro.ini)
[users] zhang=123 wang=123這里使用ini配置文件红氯,[users]指定了兩個(gè)主體:zhang/123框咙、wang/123。
-
測(cè)試用例(com.zhaojun.shiro.chapter2.LoginLogoutTest)
@Test public void testHelloWorld() { //1. 獲取SecurityManagerFactory痢甘,此處使用ini配置文件初始化SecurityManager Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini"); /* 2. 得到SecurityManager實(shí)例喇嘱,并綁定到SecurityUtils上 接著獲取SecurityManager并綁定到SecurityUtils,這是一個(gè)全局設(shè)置塞栅,設(shè)置一次即可 SecurityManager是在org.apache.shiro.mgt包下 */ SecurityManager securityManager = factory.getInstance(); SecurityUtils.setSecurityManager(securityManager); /* 3. 得到Subject及創(chuàng)建用戶名/密碼身份驗(yàn)證Token(即用戶身份/憑證) 通過SecurityUtils得到Subject者铜,其會(huì)自動(dòng)綁定到當(dāng)前線程; 如果在web環(huán)境在請(qǐng)求結(jié)束時(shí)需要解除綁定放椰;然后獲取身份驗(yàn)證的Token作烟,如用戶名/密碼 */ Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken("wang", "123"); try { /* 4. 登錄,即驗(yàn)證身份 調(diào)用subject.login方法進(jìn)行登錄砾医,其會(huì)自動(dòng)委托給SecurityManager.login方法進(jìn)行登錄 */ subject.login(token); log.info("用戶登錄成功"); } catch (AuthenticationException e) { /* 如果身份驗(yàn)證失敗請(qǐng)捕獲AuthenticationException或其子類拿撩,常見的如: DisabledAccountException(禁用的帳號(hào))、 LockedAccountException(鎖定的帳號(hào))如蚜、UnknownAccountException(錯(cuò)誤的帳號(hào))压恒、 ExcessiveAttemptsException(登錄失敗次數(shù)過多)、IncorrectCredentialsException (錯(cuò)誤的憑證)怖亭、 ExpiredCredentialsException(過期的憑證)等,具體請(qǐng)查看其繼承關(guān)系坤检;對(duì)于頁面的錯(cuò)誤消息展示兴猩, 最好使用如“用戶名/密碼錯(cuò)誤”而不是“用戶名錯(cuò)誤”/“密碼錯(cuò)誤”,防止一些惡意用戶非法掃描帳號(hào)庫 */ log.error("身份驗(yàn)證失敗:{}", e.getLocalizedMessage()); } Assert.assertEquals(true, subject.isAuthenticated()); //6. 退出 subject.logout(); }從以上代碼可以總結(jié)出身份驗(yàn)證的步驟:
- 收集用戶身份/憑證早歇,即如用戶名/密碼倾芝;
- 調(diào)用Subject.login進(jìn)行登錄,如果失敗將得到相應(yīng)的AuthenticationException異常箭跳,根據(jù)異常提示用戶錯(cuò)誤信息晨另;否則登錄成功;
- 最后調(diào)用Subject.logout進(jìn)行退出操作谱姓。
如上測(cè)試的幾個(gè)問題:
- 用戶名/密碼硬編碼在ini配置文件借尿,以后需要改成如數(shù)據(jù)庫存儲(chǔ),且密碼需要加密存儲(chǔ)屉来;
- 用戶身份Token可能不僅僅是用戶名/密碼路翻,也可能還有其他的,如登錄時(shí)允許用戶名/郵箱/手機(jī)號(hào)同時(shí)登錄茄靠。
2.3身份認(rèn)證流程
流程如下:
- 首先調(diào)用Subject.login(token)進(jìn)行登錄茂契,其會(huì)自動(dòng)委托給Security Manager,調(diào)用之前必須通過SecurityUtils. setSecurityManager()設(shè)置慨绳;
- SecurityManager負(fù)責(zé)真正的身份驗(yàn)證邏輯掉冶;它會(huì)委托給Authenticator進(jìn)行身份驗(yàn)證真竖;
- Authenticator才是真正的身份驗(yàn)證者,Shiro API中核心的身份認(rèn)證入口點(diǎn)厌小,此處可以自定義插入自己的實(shí)現(xiàn)恢共;
- Authenticator可能會(huì)委托給相應(yīng)的AuthenticationStrategy進(jìn)行多Realm身份驗(yàn)證,默認(rèn)ModularRealmAuthenticator會(huì)調(diào)用AuthenticationStrategy進(jìn)行多Realm身份驗(yàn)證召锈;
- Authenticator會(huì)把相應(yīng)的token傳入Realm旁振,從Realm獲取身份驗(yàn)證信息,如果沒有返回/拋出異常表示身份驗(yàn)證失敗了涨岁。此處可以配置多個(gè)Realm拐袜,將按照相應(yīng)的順序及策略進(jìn)行訪問。
2.4Realm
Realm:域梢薪,Shiro從從Realm獲取安全數(shù)據(jù)(如用戶蹬铺、角色、權(quán)限)秉撇,就是說SecurityManager要驗(yàn)證用戶身份甜攀,那么它需要從Realm獲取相應(yīng)的用戶進(jìn)行比較以確定用戶身份是否合法;也需要從Realm得到用戶相應(yīng)的角色/權(quán)限進(jìn)行驗(yàn)證用戶是否能進(jìn)行操作琐馆;可以把Realm看成DataSource规阀,即安全數(shù)據(jù)源。如我們之前的ini配置方式將使用org.apache.shiro.realm.text.IniRealm瘦麸。
org.apache.shiro.realm.Realm接口如下:
String getName(); //返回一個(gè)唯一的Realm名字
boolean supports(AuthenticationToken token); //判斷此Realm是否支持此Token
AuthenticationInfo getAuthenticationInfo(AuthenticationToken token)
throws AuthenticationException; //根據(jù)Token獲取認(rèn)證信息
2.4.1單Realm配置
-
自定義Realm實(shí)現(xiàn):
@Slf4j public class MyRealm1 implements Realm { public String getName() { return "myRealm1"; } public boolean supports(AuthenticationToken authenticationToken) { //僅支持UsernamePasswordToken類型的token return authenticationToken instanceof UsernamePasswordToken; } public AuthenticationInfo getAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { String username = (String) authenticationToken.getPrincipal(); String password = new String((char[])authenticationToken.getCredentials()); log.info("username:{},password:{}",username,password); if(!"zhang".equals(username)){ log.info("用戶名錯(cuò)誤"); throw new UnknownAccountException(); } if(!"123".equals(password)){ log.info("密碼錯(cuò)誤"); throw new IncorrectCredentialsException(); } //若身份認(rèn)證成功谁撼,返回一個(gè)AuthenticationInfo實(shí)現(xiàn) return new SimpleAuthenticationInfo(username,password,getName()); } } -
ini配置文件指定自定義Realm實(shí)現(xiàn)(shiro-realm.ini)
#申明一個(gè)realm myRealm1= com.zhaojun.shiro.chapter2.realm.MyRealm1 #指定securityManager的realms實(shí)現(xiàn) securityManager.realms=$myRealm1通過$name來引入之前的realm定義
測(cè)試用例請(qǐng)參考com.zhaojun.shiro.chapter2.LoginLogoutTest的testCustomRealm測(cè)試方法,只需要把之前的shiro.ini配置文件改成shiro-realm.ini即可滋饲。
2.4.2多Realm配置
-
ini配置文件(shiro-multi-realm.ini)
#申明多個(gè)realm myRealm1= com.zhaojun.shiro.chapter2.realm.MyRealm1 myRealm2= com.zhaojun.shiro.chapter2.realm.MyRealm2 #指定securityManager的realms實(shí)現(xiàn) securityManager.realms=$myRealm1,$myRealm2securityManager會(huì)按照realms指定的順序進(jìn)行身份認(rèn)證厉碟。此處我們使用顯示指定順序的方式指定了Realm的順序,如果刪除“securityManager.realms=$myRealm1$myRealm2”屠缭,那么securityManager會(huì)按照realm聲明的順序進(jìn)行使用(即無需設(shè)置realms屬性箍鼓,其會(huì)自動(dòng)發(fā)現(xiàn)),當(dāng)我們顯示指定realm后呵曹,其他沒有指定realm將被忽略款咖,如“securityManager.realms=$myRealm1”,那么myRealm2不會(huì)被自動(dòng)設(shè)置進(jìn)去奄喂。
測(cè)試用例請(qǐng)參考com.zhaojun.shiro.chapter2.LoginLogoutTest的testCustomMultiRealm測(cè)試方法之剧,只需要把之前的shiro.ini配置文件改成shiro-multi-realm.ini即可。
2.4.3Shiro默認(rèn)提供的Realm
以后一般繼承AuthorizingRealm(授權(quán))即可砍聊;其繼承了AuthenticatingRealm(即身份驗(yàn)證)背稼,而且也間接繼承了CachingRealm(帶有緩存實(shí)現(xiàn))。其中主要默認(rèn)實(shí)現(xiàn)如下:
org.apache.shiro.realm.text.IniRealm:[users]部分指定用戶名/密碼及其角色玻蝌;[roles]部分指定角色即權(quán)限信息蟹肘;
org.apache.shiro.realm.text.PropertiesRealm: user.username=password,role1,role2指定用戶名/密碼及其角色词疼;role.role1=permission1,permission2指定角色及權(quán)限信息;
org.apache.shiro.realm.jdbc.JdbcRealm:通過sql查詢相應(yīng)的信息帘腹,如“select password from users where username = ?”獲取用戶密碼贰盗,“select password, password_salt from users where username = ?”獲取用戶密碼及鹽;“select role_name from user_roles where username = ?”獲取用戶角色阳欲;“select permission from roles_permissions where role_name = ?”獲取角色對(duì)應(yīng)的權(quán)限信息舵盈;也可以調(diào)用相應(yīng)的api進(jìn)行自定義sql;
2.4.4JdbcRealm使用
-
引入數(shù)據(jù)庫相關(guān)依賴
<dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>5.1.25</version> </dependency> <dependency> <groupId>com.alibaba</groupId> <artifactId>druid</artifactId> <version>0.2.23</version> </dependency> 新建數(shù)據(jù)庫shiro球化,并新建三張表秽晚,users(用戶名/密碼)、user_roles(用戶/角色)筒愚、roles_permissions(角色/權(quán)限)赴蝇。具體請(qǐng)參照/shiro-example-chapter2/src/main/sql/shiro.sql。并添加一條用戶記錄:zhang/123巢掺。
-
ini配置(shiro-jdbc-realm.ini)
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm dataSource=com.alibaba.druid.pool.DruidDataSource dataSource.driverClassName=com.mysql.jdbc.Driver dataSource.url=jdbc:mysql://localhost:3306/shiro dataSource.username=root dataSource.password=123 jdbcRealm.dataSource=$dataSource securityManager.realms=$jdbcRealm -
測(cè)試用例參照com.zhaojun.shiro.chapter2.LoginLogoutTest的testJDBCRealm方法句伶。與之前的方法基本一致,只是替換引用的配置文件即可陆淀。
JdbcRealm會(huì)自己進(jìn)行數(shù)據(jù)庫查詢考余,JdbcRealm.java相關(guān)源碼如下:
//查詢語句 protected String authenticationQuery = "select password from users where username = ?"; //獲取認(rèn)證信息 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken upToken = (UsernamePasswordToken)token; String username = upToken.getUsername(); if (username == null) { throw new AccountException("Null usernames are not allowed by this realm."); } else { Connection conn = null; SimpleAuthenticationInfo info = null; try { String salt; try { conn = this.dataSource.getConnection(); String password = null; salt = null; switch(this.saltStyle) { case NO_SALT: password = this.getPasswordForUser(conn, username)[0]; break; case CRYPT: throw new ConfigurationException("Not implemented yet"); case COLUMN: String[] queryResults = this.getPasswordForUser(conn, username); password = queryResults[0]; salt = queryResults[1]; break; case EXTERNAL: password = this.getPasswordForUser(conn, username)[0]; salt = this.getSaltForUser(username); } //查詢結(jié)果為空,拋出賬戶錯(cuò)誤異常 if (password == null) { throw new UnknownAccountException("No account found for user [" + username + "]"); } //若查詢結(jié)果不為空轧苫,則創(chuàng)建一個(gè)用戶認(rèn)證信息 info = new SimpleAuthenticationInfo(username, password.toCharArray(), this.getName()); if (salt != null) { info.setCredentialsSalt(Util.bytes(salt)); } } catch (SQLException var12) { salt = "There was a SQL error while authenticating user [" + username + "]"; if (log.isErrorEnabled()) { log.error(salt, var12); } throw new AuthenticationException(salt, var12); } } finally { JdbcUtils.closeConnection(conn); } return info; } } //通過用戶名查詢密碼楚堤,判斷用戶是否存在 private String[] getPasswordForUser(Connection conn, String username) throws SQLException { boolean returningSeparatedSalt = false; String[] result; switch(this.saltStyle) { case NO_SALT: case CRYPT: case EXTERNAL: result = new String[1]; break; case COLUMN: default: result = new String[2]; returningSeparatedSalt = true; } PreparedStatement ps = null; ResultSet rs = null; try { ps = conn.prepareStatement(this.authenticationQuery); ps.setString(1, username); //執(zhí)行查詢 rs = ps.executeQuery(); for(boolean foundResult = false; rs.next(); foundResult = true) { if (foundResult) { throw new AuthenticationException("More than one user row found for user [" + username + "]. Usernames must be unique."); } result[0] = rs.getString(1); if (returningSeparatedSalt) { result[1] = rs.getString(2); } } } finally { JdbcUtils.closeResultSet(rs); JdbcUtils.closeStatement(ps); } return result; }
2.5Authenticator及AuthenticationStrategy
Authenticator的職責(zé)是驗(yàn)證用戶帳號(hào),是Shiro API中身份驗(yàn)證核心的入口點(diǎn):
public AuthenticationInfo authenticate(AuthenticationToken authenticationToken)
throws AuthenticationException;
如果驗(yàn)證成功浸剩,將返回AuthenticationInfo驗(yàn)證信息钾军;此信息中包含了身份及憑證鳄袍;如果驗(yàn)證失敗將拋出相應(yīng)的AuthenticationException實(shí)現(xiàn)绢要。
SecurityManager接口繼承了Authenticator,另外還有一個(gè)ModularRealmAuthenticator實(shí)現(xiàn)拗小,其委托給多個(gè)Realm進(jìn)行驗(yàn)證重罪,驗(yàn)證規(guī)則通過AuthenticationStrategy接口指定,默認(rèn)提供的實(shí)現(xiàn):
FirstSuccessfulStrategy:只要有一個(gè)Realm驗(yàn)證成功即可哀九,只返回第一個(gè)Realm身份驗(yàn)證成功的認(rèn)證信息剿配,其他的忽略;
AtLeastOneSuccessfulStrategy:只要有一個(gè)Realm驗(yàn)證成功即可阅束,和FirstSuccessfulStrategy不同呼胚,返回所有Realm身份驗(yàn)證成功的認(rèn)證信息;
AllSuccessfulStrategy:所有Realm驗(yàn)證成功才算成功息裸,且返回所有Realm身份驗(yàn)證成功的認(rèn)證信息蝇更,如果有一個(gè)失敗就失敗了沪编。
ModularRealmAuthenticator默認(rèn)使用AtLeastOneSuccessfulStrategy策略。
假設(shè)我們有三個(gè)realm:
myRealm1: 用戶名/密碼為zhang/123時(shí)成功年扩,且返回身份/憑據(jù)為zhang/123蚁廓;
myRealm2: 用戶名/密碼為wang/123時(shí)成功,且返回身份/憑據(jù)為wang/123厨幻;
myRealm3: 用戶名/密碼為zhang/123時(shí)成功相嵌,且返回身份/憑據(jù)為zhang@163.com/123,和myRealm1不同的是返回時(shí)的身份變了况脆;
-
ini配置文件(shiro-authenticator-all-success.ini)
#指定securityManager的authenticator實(shí)現(xiàn) authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator securityManager.authenticator=$authenticator #指定securityManager.authenticator的authenticationStrategy allSuccessfulStrategy=org.apache.shiro.authc.pam.AllSuccessfulStrategy securityManager.authenticator.authenticationStrategy=$allSuccessfulStrategy #申明多個(gè)realm myRealm1= com.zhaojun.shiro.chapter2.realm.MyRealm1 myRealm2= com.zhaojun.shiro.chapter2.realm.MyRealm2 myRealm3= com.zhaojun.shiro.chapter2.realm.MyRealm3 #指定securityManager的realms實(shí)現(xiàn) securityManager.realms=$myRealm1,$myRealm2,$myRealm3 -
測(cè)試代碼(com.zhaojun.shiro.chapter2.AuthenticatorTest)
private void login(String configFile){ //獲取SecurityManager工廠饭宾,使用配置文件初始化工廠 Factory<SecurityManager> factory = new IniSecurityManagerFactory(configFile); //得到SecurityManager實(shí)例,并綁定到SecurityUtils SecurityManager securityManager = factory.getInstance(); SecurityUtils.setSecurityManager(securityManager); //獲取Subject Subject subject = SecurityUtils.getSubject(); //創(chuàng)建Token UsernamePasswordToken token = new UsernamePasswordToken("zhang","123"); //登錄 subject.login(token); } @Test public void testAllSuccessfulStrategy(){ login("classpath:shiro-authenticator-all-success.ini"); Subject subject = SecurityUtils.getSubject(); //得到一個(gè)身份集合 PrincipalCollection principals = subject.getPrincipals(); List list = principals.asList(); for(Object i : list){ log.info(i.toString()); } }這時(shí)程序會(huì)拋出UnknownAccountException異常漠另,因?yàn)槲覀冇玫氖茿llSuccessfulStrategy捏雌,需要所有Realm驗(yàn)證成功才算成功。
-
新建配置文件(shiro-authenticator-least-one-success.ini)
#指定securityManager的authenticator實(shí)現(xiàn) authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator securityManager.authenticator=$authenticator #指定securityManager.authenticator的authenticationStrategy atLeastOneSuccessfulStrategy=org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy securityManager.authenticator.authenticationStrategy=$atLeastOneSuccessfulStrategy #申明多個(gè)realm myRealm1= com.zhaojun.shiro.chapter2.realm.MyRealm1 myRealm2= com.zhaojun.shiro.chapter2.realm.MyRealm2 myRealm3= com.zhaojun.shiro.chapter2.realm.MyRealm3 #指定securityManager的realms實(shí)現(xiàn) securityManager.realms=$myRealm1,$myRealm2,$myRealm3 -
測(cè)試代碼(com.zhaojun.shiro.chapter2.AuthenticatorTest)
@Test public void testAtLeastOneSuccessfulStrategy(){ login("classpath:shiro-authenticator-least-one-success.ini"); Subject subject = SecurityUtils.getSubject(); //得到一個(gè)身份集合 PrincipalCollection principals = subject.getPrincipals(); List list = principals.asList(); for(Object i : list){ log.info(i.toString()); } }可以看到輸出日志,返回了兩個(gè)身份信息
00:40:32.294 [main] INFO c.z.shiro.chapter2.AuthenticatorTest - zhang 00:40:32.294 [main] INFO c.z.shiro.chapter2.AuthenticatorTest - zhang@163.com
到此笆搓,身份驗(yàn)證就基本搞定了性湿,重點(diǎn)是身份驗(yàn)證的基本流程,以及常用的Realm的用法满败,如何自定義Realm和常用的認(rèn)證策略肤频。
-
張開濤的博客:http://jinnianshilongnian.iteye.com/category/305053
