身份验证——《跟我学Shiro》
身份驗(yàn)證,即在應(yīng)用中誰能證明他就是他本人。一般提供如他們的身份ID一些標(biāo)識(shí)信息來表明他就是他本人,如提供身份證,用戶名/密碼來證明。
在shiro中,用戶需要提供principals?(身份)和credentials(證明)給shiro,從而應(yīng)用能驗(yàn)證用戶身份:
principals:身份,即主體的標(biāo)識(shí)屬性,可以是任何東西,如用戶名、郵箱等,唯一即可。一個(gè)主體可以有多個(gè)principals,但只有一個(gè)Primary principals,一般是用戶名/密碼/手機(jī)號(hào)。
credentials:證明/憑證,即只有主體知道的安全值,如密碼/數(shù)字證書等。
最常見的principals和credentials組合就是用戶名/密碼了。接下來先進(jìn)行一個(gè)基本的身份認(rèn)證。
?
另外兩個(gè)相關(guān)的概念是之前提到的Subject及Realm,分別是主體及驗(yàn)證主體的數(shù)據(jù)源。
?
2.2??環(huán)境準(zhǔn)備
本文使用Maven構(gòu)建,因此需要一點(diǎn)Maven知識(shí)。首先準(zhǔn)備環(huán)境依賴:?
Java代碼??
添加junit、common-logging及shiro-core依賴即可。
?
2.3??登錄/退出
1、首先準(zhǔn)備一些用戶身份/憑據(jù)(shiro.ini)
Java代碼??
此處使用ini配置文件,通過[users]指定了兩個(gè)主體:zhang/123、wang/123。
??
2、測(cè)試用例(com.github.zhangkaitao.shiro.chapter2.LoginLogoutTest)?
Java代碼??
2.1、首先通過new IniSecurityManagerFactory并指定一個(gè)ini配置文件來創(chuàng)建一個(gè)SecurityManager工廠;
2.2、接著獲取SecurityManager并綁定到SecurityUtils,這是一個(gè)全局設(shè)置,設(shè)置一次即可;
2.3、通過SecurityUtils得到Subject,其會(huì)自動(dòng)綁定到當(dāng)前線程;如果在web環(huán)境在請(qǐng)求結(jié)束時(shí)需要解除綁定;然后獲取身份驗(yàn)證的Token,如用戶名/密碼;
2.4、調(diào)用subject.login方法進(jìn)行登錄,其會(huì)自動(dòng)委托給SecurityManager.login方法進(jìn)行登錄;
2.5、如果身份驗(yàn)證失敗請(qǐng)捕獲AuthenticationException或其子類,常見的如:?DisabledAccountException(禁用的帳號(hào))、LockedAccountException(鎖定的帳號(hào))、UnknownAccountException(錯(cuò)誤的帳號(hào))、ExcessiveAttemptsException(登錄失敗次數(shù)過多)、IncorrectCredentialsException?(錯(cuò)誤的憑證)、ExpiredCredentialsException(過期的憑證)等,具體請(qǐng)查看其繼承關(guān)系;對(duì)于頁面的錯(cuò)誤消息展示,最好使用如“用戶名/密碼錯(cuò)誤”而不是“用戶名錯(cuò)誤”/“密碼錯(cuò)誤”,防止一些惡意用戶非法掃描帳號(hào)庫;
2.6、最后可以調(diào)用subject.logout退出,其會(huì)自動(dòng)委托給SecurityManager.logout方法退出。
?
從如上代碼可總結(jié)出身份驗(yàn)證的步驟:
1、收集用戶身份/憑證,即如用戶名/密碼;
2、調(diào)用Subject.login進(jìn)行登錄,如果失敗將得到相應(yīng)的AuthenticationException異常,根據(jù)異常提示用戶錯(cuò)誤信息;否則登錄成功;
3、最后調(diào)用Subject.logout進(jìn)行退出操作。
?
如上測(cè)試的幾個(gè)問題:
1、用戶名/密碼硬編碼在ini配置文件,以后需要改成如數(shù)據(jù)庫存儲(chǔ),且密碼需要加密存儲(chǔ);
2、用戶身份Token可能不僅僅是用戶名/密碼,也可能還有其他的,如登錄時(shí)允許用戶名/郵箱/手機(jī)號(hào)同時(shí)登錄。?
?
2.4??身份認(rèn)證流程
流程如下:
1、首先調(diào)用Subject.login(token)進(jìn)行登錄,其會(huì)自動(dòng)委托給Security Manager,調(diào)用之前必須通過SecurityUtils. setSecurityManager()設(shè)置;
2、SecurityManager負(fù)責(zé)真正的身份驗(yàn)證邏輯;它會(huì)委托給Authenticator進(jìn)行身份驗(yàn)證;
3、Authenticator才是真正的身份驗(yàn)證者,Shiro API中核心的身份認(rèn)證入口點(diǎn),此處可以自定義插入自己的實(shí)現(xiàn);
4、Authenticator可能會(huì)委托給相應(yīng)的AuthenticationStrategy進(jìn)行多Realm身份驗(yàn)證,默認(rèn)ModularRealmAuthenticator會(huì)調(diào)用AuthenticationStrategy進(jìn)行多Realm身份驗(yàn)證;
5、Authenticator會(huì)把相應(yīng)的token傳入Realm,從Realm獲取身份驗(yàn)證信息,如果沒有返回/拋出異常表示身份驗(yàn)證失敗了。此處可以配置多個(gè)Realm,將按照相應(yīng)的順序及策略進(jìn)行訪問。
?
2.5? Realm
Realm:域,Shiro從從Realm獲取安全數(shù)據(jù)(如用戶、角色、權(quán)限),就是說SecurityManager要驗(yàn)證用戶身份,那么它需要從Realm獲取相應(yīng)的用戶進(jìn)行比較以確定用戶身份是否合法;也需要從Realm得到用戶相應(yīng)的角色/權(quán)限進(jìn)行驗(yàn)證用戶是否能進(jìn)行操作;可以把Realm看成DataSource,即安全數(shù)據(jù)源。如我們之前的ini配置方式將使用org.apache.shiro.realm.text.IniRealm。
?
org.apache.shiro.realm.Realm接口如下:?
Java代碼??
?
單Realm配置
1、自定義Realm實(shí)現(xiàn)(com.github.zhangkaitao.shiro.chapter2.realm.MyRealm1):??
Java代碼??
?
2、ini配置文件指定自定義Realm實(shí)現(xiàn)(shiro-realm.ini)??
Java代碼??
通過$name來引入之前的realm定義
?
3、測(cè)試用例請(qǐng)參考com.github.zhangkaitao.shiro.chapter2.LoginLogoutTest的testCustomRealm測(cè)試方法,只需要把之前的shiro.ini配置文件改成shiro-realm.ini即可。
?
多Realm配置
1、ini配置文件(shiro-multi-realm.ini)??
Java代碼??
securityManager會(huì)按照realms指定的順序進(jìn)行身份認(rèn)證。此處我們使用顯示指定順序的方式指定了Realm的順序,如果刪除“securityManager.realms=$myRealm1,$myRealm2”,那么securityManager會(huì)按照realm聲明的順序進(jìn)行使用(即無需設(shè)置realms屬性,其會(huì)自動(dòng)發(fā)現(xiàn)),當(dāng)我們顯示指定realm后,其他沒有指定realm將被忽略,如“securityManager.realms=$myRealm1”,那么myRealm2不會(huì)被自動(dòng)設(shè)置進(jìn)去。
?
2、測(cè)試用例請(qǐng)參考com.github.zhangkaitao.shiro.chapter2.LoginLogoutTest的testCustomMultiRealm測(cè)試方法。
?
Shiro默認(rèn)提供的Realm
以后一般繼承AuthorizingRealm(授權(quán))即可;其繼承了AuthenticatingRealm(即身份驗(yàn)證),而且也間接繼承了CachingRealm(帶有緩存實(shí)現(xiàn))。其中主要默認(rèn)實(shí)現(xiàn)如下:
org.apache.shiro.realm.text.IniRealm:[users]部分指定用戶名/密碼及其角色;[roles]部分指定角色即權(quán)限信息;
org.apache.shiro.realm.text.PropertiesRealm:?user.username=password,role1,role2指定用戶名/密碼及其角色;role.role1=permission1,permission2指定角色及權(quán)限信息;
org.apache.shiro.realm.jdbc.JdbcRealm:通過sql查詢相應(yīng)的信息,如“select password from users where username = ?”獲取用戶密碼,“select password, password_salt from users where username = ?”獲取用戶密碼及鹽;“select role_name from user_roles where username = ?”獲取用戶角色;“select permission from roles_permissions where role_name = ?”獲取角色對(duì)應(yīng)的權(quán)限信息;也可以調(diào)用相應(yīng)的api進(jìn)行自定義sql;
?
JDBC Realm使用
1、數(shù)據(jù)庫及依賴
Java代碼??
本文將使用mysql數(shù)據(jù)庫及druid連接池;?
?
2、到數(shù)據(jù)庫shiro下建三張表:users(用戶名/密碼)、user_roles(用戶/角色)、roles_permissions(角色/權(quán)限),具體請(qǐng)參照shiro-example-chapter2/sql/shiro.sql;并添加一個(gè)用戶記錄,用戶名/密碼為zhang/123;
?
3、ini配置(shiro-jdbc-realm.ini)?
Java代碼??
1、變量名=全限定類名會(huì)自動(dòng)創(chuàng)建一個(gè)類實(shí)例
2、變量名.屬性=值?自動(dòng)調(diào)用相應(yīng)的setter方法進(jìn)行賦值
3、$變量名?引用之前的一個(gè)對(duì)象實(shí)例?
4、測(cè)試代碼請(qǐng)參照com.github.zhangkaitao.shiro.chapter2.LoginLogoutTest的testJDBCRealm方法,和之前的沒什么區(qū)別。
?
2.6??Authenticator及AuthenticationStrategy
Authenticator的職責(zé)是驗(yàn)證用戶帳號(hào),是Shiro API中身份驗(yàn)證核心的入口點(diǎn):?
Java代碼??
如果驗(yàn)證成功,將返回AuthenticationInfo驗(yàn)證信息;此信息中包含了身份及憑證;如果驗(yàn)證失敗將拋出相應(yīng)的AuthenticationException實(shí)現(xiàn)。
?
SecurityManager接口繼承了Authenticator,另外還有一個(gè)ModularRealmAuthenticator實(shí)現(xiàn),其委托給多個(gè)Realm進(jìn)行驗(yàn)證,驗(yàn)證規(guī)則通過AuthenticationStrategy接口指定,默認(rèn)提供的實(shí)現(xiàn):
FirstSuccessfulStrategy:只要有一個(gè)Realm驗(yàn)證成功即可,只返回第一個(gè)Realm身份驗(yàn)證成功的認(rèn)證信息,其他的忽略;
AtLeastOneSuccessfulStrategy:只要有一個(gè)Realm驗(yàn)證成功即可,和FirstSuccessfulStrategy不同,返回所有Realm身份驗(yàn)證成功的認(rèn)證信息;
AllSuccessfulStrategy:所有Realm驗(yàn)證成功才算成功,且返回所有Realm身份驗(yàn)證成功的認(rèn)證信息,如果有一個(gè)失敗就失敗了。
?
ModularRealmAuthenticator默認(rèn)使用AtLeastOneSuccessfulStrategy策略。
?
假設(shè)我們有三個(gè)realm:
myRealm1:?用戶名/密碼為zhang/123時(shí)成功,且返回身份/憑據(jù)為zhang/123;
myRealm2:?用戶名/密碼為wang/123時(shí)成功,且返回身份/憑據(jù)為wang/123;
myRealm3:?用戶名/密碼為zhang/123時(shí)成功,且返回身份/憑據(jù)為zhang@163.com/123,和myRealm1不同的是返回時(shí)的身份變了;
?
1、ini配置文件(shiro-authenticator-all-success.ini)?
Java代碼??
Java代碼??
?
2、測(cè)試代碼(com.github.zhangkaitao.shiro.chapter2.AuthenticatorTest)
2.1、首先通用化登錄邏輯?
Java代碼??
?
2.2、測(cè)試AllSuccessfulStrategy成功:????
Java代碼??
即PrincipalCollection包含了zhang和zhang@163.com身份信息。
?
2.3、測(cè)試AllSuccessfulStrategy失敗:
Java代碼??
shiro-authenticator-all-fail.ini與shiro-authenticator-all-success.ini不同的配置是使用了securityManager.realms=$myRealm1,$myRealm2;即myRealm驗(yàn)證失敗。
?
對(duì)于AtLeastOneSuccessfulStrategy和FirstSuccessfulStrategy的區(qū)別,請(qǐng)參照testAtLeastOneSuccessfulStrategyWithSuccess和testFirstOneSuccessfulStrategyWithSuccess測(cè)試方法。唯一不同點(diǎn)一個(gè)是返回所有驗(yàn)證成功的Realm的認(rèn)證信息;另一個(gè)是只返回第一個(gè)驗(yàn)證成功的Realm的認(rèn)證信息。
?
自定義AuthenticationStrategy實(shí)現(xiàn),首先看其API:
Java代碼??
因?yàn)槊總€(gè)AuthenticationStrategy實(shí)例都是無狀態(tài)的,所有每次都通過接口將相應(yīng)的認(rèn)證信息傳入下一次流程;通過如上接口可以進(jìn)行如合并/返回第一個(gè)驗(yàn)證成功的認(rèn)證信息。
?
自定義實(shí)現(xiàn)時(shí)一般繼承org.apache.shiro.authc.pam.AbstractAuthenticationStrategy即可,具體可以參考代碼com.github.zhangkaitao.shiro.chapter2.authenticator.strategy包下OnlyOneAuthenticatorStrategy?和AtLeastTwoAuthenticatorStrategy。
?
到此基本的身份驗(yàn)證就搞定了,對(duì)于AuthenticationToken?、AuthenticationInfo和Realm的詳細(xì)使用后續(xù)章節(jié)再陸續(xù)介紹。
?
示例源代碼:https://github.com/zhangkaitao/shiro-example;可加群134755960探討Spring/Shiro技術(shù)。
總結(jié)
以上是生活随笔為你收集整理的身份验证——《跟我学Shiro》的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Shiro简介
- 下一篇: Realm及相关对象——《跟我学Shir