這是致力于Apache Shiro的系列文章的第二部分。 我們從簡(jiǎn)單的不安全Web應(yīng)用程序開(kāi)始了上一部分 。 完成后，該應(yīng)用程序具有基本的身份驗(yàn)證和授權(quán)。 用戶可以登錄和注銷。 所有網(wǎng)頁(yè)和按鈕均已分配和實(shí)施訪問(wèn)權(quán)限。 授權(quán)和身份驗(yàn)證數(shù)據(jù)都已存儲(chǔ)在靜態(tài)配置文件中。

正如我們?cè)谧詈笠徊糠种谐兄Z的，我們將用戶帳戶數(shù)據(jù)移至數(shù)據(jù)庫(kù)。 此外，我們將為用戶提供通過(guò)PGP證書(shū)進(jìn)行身份驗(yàn)證的選項(xiàng)。 因此，我們的應(yīng)用程序?qū)⒕哂卸鄠€(gè)備用登錄選項(xiàng)：使用用戶名/密碼登錄和使用證書(shū)登錄。 最后，我們將強(qiáng)制啟用備用登錄選項(xiàng)。

換句話說(shuō)，我們將展示如何創(chuàng)建自定義領(lǐng)域以及如何處理多領(lǐng)域方案。 我們將創(chuàng)建三個(gè)不同版本的SimpleShiroSecuredApplication：

• 版本，并將所有帳戶信息移至數(shù)據(jù)庫(kù) ，
• 允許PGP證書(shū)作為替代身份驗(yàn)證機(jī)制的版本 ，
• 需要同時(shí)輸入用戶名/密碼和PGP證書(shū)的版本 。

每個(gè)版本都有測(cè)試類RunWaitTest。 該類使用在http：// localhost：9180 / simpleshirosecuredapplication / url上部署的應(yīng)用程序啟動(dòng)Web服務(wù)器。

注意：自第一版以來(lái)，我們更新了上一部分。 最顯著的變化是新部分 ，該部分顯示了如何向登錄頁(yè)面添加錯(cuò)誤消息。 感謝大家的反饋。

境界

首先，我們解釋什么是領(lǐng)域以及如何創(chuàng)建它們。 如果您對(duì)理論不感興趣，請(qǐng)繼續(xù)下一章 。
領(lǐng)域負(fù)責(zé)身份驗(yàn)證和授權(quán)。 每當(dāng)用戶想要登錄到應(yīng)用程序時(shí)，都會(huì)收集身份驗(yàn)證信息并將其傳遞到領(lǐng)域。 Realm驗(yàn)證提供的數(shù)據(jù)并決定是否應(yīng)允許用戶登錄，訪問(wèn)資源或擁有特定角色。 認(rèn)證信息包括兩個(gè)部分：

• 主體–代表帳戶唯一標(biāo)識(shí)符，例如用戶名，帳戶ID，PGP證書(shū)，…
• 憑證–證明用戶身份，例如密碼，PGP證書(shū)，指紋等。

Shiro提供了能夠從活動(dòng)目錄 ， ldap ， ini文件 ， 屬性文件和數(shù)據(jù)庫(kù)中讀取授權(quán)數(shù)據(jù)的領(lǐng)域。 在Shiro.ini文件的主要部分中配置領(lǐng)域：

realmName=org.apache.shiro.realm.jdbc.JdbcRealm

認(rèn)證方式

所有領(lǐng)域都實(shí)現(xiàn)Realm接口。 有兩種重要的接口方法：supports和getAuthenticationInfo。 兩者都在身份驗(yàn)證令牌對(duì)象中接收主體和憑據(jù)。
Supports方法根據(jù)提供的身份驗(yàn)證令牌確定領(lǐng)域是否能夠?qū)τ脩暨M(jìn)行身份驗(yàn)證。 例如，如果我的領(lǐng)域檢查用戶名和密碼，則僅使用X509證書(shū)拒絕身份驗(yàn)證令牌。 方法getAuthenticationInfo本身執(zhí)行身份驗(yàn)證。 如果來(lái)自身份驗(yàn)證令牌的主體和憑據(jù)表示有效的登錄信息，則該方法返回身份驗(yàn)證信息對(duì)象。 否則，領(lǐng)域返回null。

授權(quán)書(shū)

如果領(lǐng)域也希望進(jìn)行授權(quán)，則必須實(shí)現(xiàn)Authorizer接口。 每個(gè)Authorizer方法都將主體作為參數(shù)，并檢查角色或權(quán)限。 重要的是要理解，該領(lǐng)域會(huì)獲得所有授權(quán)請(qǐng)求，即使它們來(lái)自另一個(gè)領(lǐng)域進(jìn)行了身份驗(yàn)證的用戶也是如此。 當(dāng)然，領(lǐng)域可以決定忽略任何授權(quán)請(qǐng)求。
權(quán)限以字符串或權(quán)限對(duì)象的形式提供。 除非有充分的理由，否則請(qǐng)使用WildcardPermissionResolver將字符串轉(zhuǎn)換為權(quán)限對(duì)象。

其他選擇

Shiro框架在運(yùn)行時(shí)調(diào)查其他接口的領(lǐng)域。 如果領(lǐng)域?qū)崿F(xiàn)了它們，則可以使用：

• 有關(guān)用戶注銷的信息，
• 有關(guān)系統(tǒng)啟動(dòng)的信息，
• 全局緩存
• 在配置文件中配置的名稱 ，
• 在權(quán)限字符串和權(quán)限對(duì)象之間配置的轉(zhuǎn)換器 。

這些功能可用于實(shí)現(xiàn)其他接口的任何領(lǐng)域。 無(wú)需其他配置。
自定義領(lǐng)域

創(chuàng)建新領(lǐng)域的最簡(jiǎn)單方法是擴(kuò)展AuthenticatingRealm或AuthorizingRealm類。 它們具有上一節(jié)中提到的所有有用接口的合理實(shí)現(xiàn)。 如果它們不能滿足您的需求，則可以擴(kuò)展CachingRealm或從頭開(kāi)始創(chuàng)建新領(lǐng)域。

移至數(shù)據(jù)庫(kù)

當(dāng)前版本的SimpleShiroSecuredApplication使用默認(rèn)領(lǐng)域進(jìn)行身份驗(yàn)證和授權(quán)。 默認(rèn)領(lǐng)域– IniRealm從配置文件讀取用戶帳戶信息。 這樣的存儲(chǔ)僅對(duì)于最簡(jiǎn)單的應(yīng)用是可接受的。 任何稍微復(fù)雜的事情都需要將憑據(jù)存儲(chǔ)在更好的持久性存儲(chǔ)中。
新要求：帳戶憑據(jù)和訪問(wèn)權(quán)限存儲(chǔ)在數(shù)據(jù)庫(kù)中。 存儲(chǔ)的密碼經(jīng)過(guò)哈希處理和加鹽處理。 在本章中，我們將應(yīng)用程序連接到數(shù)據(jù)庫(kù)并創(chuàng)建表以存儲(chǔ)所有用戶帳戶數(shù)據(jù)。 然后，我們將IniRealm替換為能夠從數(shù)據(jù)庫(kù)和salt密碼讀取的領(lǐng)域。

數(shù)據(jù)庫(kù)基礎(chǔ)架構(gòu)

本節(jié)介紹示例應(yīng)用程序基礎(chǔ)結(jié)構(gòu)。 它不包含有關(guān)Shiro的信息，因此您可以自由地跳過(guò)它 。
示例應(yīng)用程序以嵌入式模式使用Apache Derby數(shù)據(jù)庫(kù)。
我們使用Liquibase進(jìn)行數(shù)據(jù)庫(kù)部署和升級(jí)。 它是開(kāi)源庫(kù)，用于跟蹤，管理和應(yīng)用數(shù)據(jù)庫(kù)更改。 數(shù)據(jù)庫(kù)更改（新表，新列，外鍵）存儲(chǔ)在數(shù)據(jù)庫(kù)更改日志文件中。 啟動(dòng)后，Liquibase會(huì)調(diào)查數(shù)據(jù)庫(kù)并應(yīng)用所有新更改。 結(jié)果，數(shù)據(jù)庫(kù)始終保持一致并且是最新的，而我們卻沒(méi)有付出任何努力。 將對(duì)Derby和Liquibase的依賴項(xiàng)添加到SimpleShiroSecuredApplication pom.xml中 ：

<dependency><groupid>org.apache.derby</groupid><artifactid>derby</artifactid><version>10.7.1.1</version> </dependency> <dependency><groupid>org.liquibase</groupid><artifactid>liquibase-core</artifactid><version>2.0.1</version> </dependency>

將jndi添加到碼頭：

<dependency><groupid>org.mortbay.jetty</groupid><artifactid>jetty-naming</artifactid><version>${jetty.version}</version><scope>test</scope> </dependency> <dependency><groupid>org.mortbay.jetty</groupid><artifactid>jetty-plus</artifactid><version>${jetty.version}</version><scope>test</scope> </dependency>

使用數(shù)據(jù)庫(kù)結(jié)構(gòu)描述創(chuàng)建db.changelog.xml文件。 它創(chuàng)建用于存儲(chǔ)用戶，角色和權(quán)限的表。 它還用初始數(shù)據(jù)填充這些表。 我們使用random_salt_value_username作為鹽，并使用以下方法創(chuàng)建哈希加鹽的密碼：

public static String simpleSaltedHash(String username, String password) {Sha256Hash sha256Hash = new Sha256Hash(password, (new SimpleByteSource('random_salt_value_' + username)).getBytes());String result = sha256Hash.toHex();System.out.println(username + ' simple salted hash: ' + result);return result; }

在WEB-INF / jetty-web.xml文件中創(chuàng)建指向derby的數(shù)據(jù)源：

<configure class='org.mortbay.jetty.webapp.WebAppContext' id='SimpleShiroSecuredApplication'><new class='org.mortbay.jetty.plus.naming.Resource' id='SimpleShiroSecuredApplication'><arg>jdbc/SimpleShiroSecuredApplicationDB</arg><arg><new class='org.apache.derby.jdbc.EmbeddedDataSource'><set name='DatabaseName'>../SimpleShiroSecuredApplicationDatabase</set><set name='createDatabase'>create</set></new></arg></new> </configure>

在web.xml文件中配置數(shù)據(jù)源和liquibase：

<resource-ref><description>Derby Connection</description><res-ref-name>jdbc/SimpleShiroSecuredApplicationDB</res-ref-name><res-type>javax.sql.DataSource</res-type><res-auth>Container</res-auth> </resource-ref><context-param><param-name>liquibase.changelog</param-name><param-value>src/main/resources/db.changelog.xml</param-value> </context-param><context-param><param-name>liquibase.datasource</param-name><param-value>jdbc/SimpleShiroSecuredApplicationDB</param-value> </context-param><listener><listener-class>liquibase.integration.servlet.LiquibaseServletListener</listener-class> </listener>

最終，在啟用了jndi的情況下配置為讀取jetty-web.xml的jetty在AbstractContainerTest類中。

創(chuàng)建新領(lǐng)域

Shiro提供的JDBCRealm能夠執(zhí)行身份驗(yàn)證和授權(quán)。 它使用可配置的SQL查詢從數(shù)據(jù)庫(kù)中讀取用戶名，密碼，權(quán)限和角色。 不幸的是，該領(lǐng)域有兩個(gè)缺點(diǎn)：

• 它無(wú)法從JNDI加載數(shù)據(jù)源（ 未解決的問(wèn)題 ）。
• 它無(wú)法添加密碼（ 未解決的問(wèn)題 ）。

我們對(duì)其進(jìn)行擴(kuò)展，并創(chuàng)建新的類JNDIAndSaltAwareJdbcRealm 。 由于所有屬性都可以在ini文件中進(jìn)行配置，因此新屬性jndiDataSourceName也將自動(dòng)進(jìn)行配置。 只要設(shè)置了新屬性，該領(lǐng)域就會(huì)在JNDI中查找數(shù)據(jù)源：

protected String jndiDataSourceName;public String getJndiDataSourceName() {return jndiDataSourceName; }public void setJndiDataSourceName(String jndiDataSourceName) {this.jndiDataSourceName = jndiDataSourceName;this.dataSource = getDataSourceFromJNDI(jndiDataSourceName); }private DataSource getDataSourceFromJNDI(String jndiDataSourceName) {try {InitialContext ic = new InitialContext();return (DataSource) ic.lookup(jndiDataSourceName);} catch (NamingException e) {log.error('JNDI error while retrieving ' + jndiDataSourceName, e);throw new AuthorizationException(e);} }

方法doGetAuthenticationInfo從數(shù)據(jù)庫(kù)讀取帳戶身份驗(yàn)證信息，并將其轉(zhuǎn)換為身份驗(yàn)證信息對(duì)象。 如果找不到帳戶信息，則返回null。 父類AuthenticatingRealm將身份驗(yàn)證信息對(duì)象與原始用戶提供的數(shù)據(jù)進(jìn)行比較。
我們重寫(xiě)doGetAuthenticationInfo以從數(shù)據(jù)庫(kù)中讀取密碼哈希和鹽，并將它們存儲(chǔ)在身份驗(yàn)證信息對(duì)象中：

doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {...// read password hash and salt from db PasswdSalt passwdSalt = getPasswordForUser(username);...// return salted credentialsSimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, passwdSalt.password, getName());info.setCredentialsSalt(new SimpleByteSource(passwdSalt.salt));return info; }

這里的示例僅包含最重要的代碼段。 完整的課程在Github上可用。

配置新領(lǐng)域

在Shiro.ini文件中配置領(lǐng)域和jndi名稱：

[main] # realm to be used saltedJdbcRealm=org.meri.simpleshirosecuredapplication.realm.JNDIAndSaltAwareJdbcRealm # any object property is automatically configurable in Shiro.ini file saltedJdbcRealm.jndiDataSourceName=jdbc/SimpleShiroSecuredApplicationDB # the realm should handle also authorization saltedJdbcRealm.permissionsLookupEnabled=true

配置SQL查詢：

# If not filled, subclasses of JdbcRealm assume 'select password from users where username = ?' # first result column is password, second result column is salt saltedJdbcRealm.authenticationQuery = select password, salt from sec_users where name = ? # If not filled, subclasses of JdbcRealm assume 'select role_name from user_roles where username = ?' saltedJdbcRealm.userRolesQuery = select role_name from sec_users_roles where user_name = ? # If not filled, subclasses of JdbcRealm assume 'select permission from roles_permissions where role_name = ?' saltedJdbcRealm.permissionsQuery = select permission from sec_roles_permissions where role_name = ?

JdbcRealm使用credetials匹配器的方式與IniRealm完全相同：

# password hashing specification sha256Matcher = org.apache.shiro.authc.credential.HashedCredentialsMatcher sha256Matcher.hashAlgorithmName=SHA-256 saltedJdbcRealm.credentialsMatcher = $sha256Matcher

注意：我們從配置文件中刪除了[用戶]和[角色]部分。 否則，Shiro將同時(shí)使用IniRealm和JdbcRealm。 這將創(chuàng)建超出本章范圍的多領(lǐng)域方案。

從用戶的角度來(lái)看，應(yīng)用程序的工作方式與以前完全相同。 他可以登錄到與以前相同的用戶帳戶。 但是，用戶名，密碼，鹽，權(quán)限和角色現(xiàn)在存儲(chǔ)在數(shù)據(jù)庫(kù)中。

完整的源代碼可在Github上的'authentication_stored_in_database'分支中找到。

備用登錄–證書(shū)

某些系統(tǒng)允許用戶登錄使用多種身份驗(yàn)證方式。例如，用戶可以提供用戶名/密碼，使用Google帳戶，Facebook帳戶或其他任何方式登錄。 我們將添加與簡(jiǎn)單應(yīng)用程序類似的內(nèi)容。 我們將為用戶提供使用PGP證書(shū)進(jìn)行身份驗(yàn)證的選項(xiàng)。
新要求：應(yīng)用程序支持PGP證書(shū)作為替代身份驗(yàn)證機(jī)制。 僅當(dāng)用戶不具有與應(yīng)用程序帳戶關(guān)聯(lián)的有效證書(shū)時(shí)，才會(huì)顯示登錄屏幕。 如果用戶具有有效的已知PGP證書(shū)，則會(huì)自動(dòng)登錄。 用戶嘗試登錄應(yīng)用程序時(shí)，必須提供身份驗(yàn)證數(shù)據(jù)。 這些數(shù)據(jù)由servlet過(guò)濾器捕獲。 篩選器將數(shù)據(jù)轉(zhuǎn)換為身份驗(yàn)證令牌，并將令牌傳遞給領(lǐng)域。 如果有任何領(lǐng)域希望對(duì)用戶進(jìn)行身份驗(yàn)證，它將身份驗(yàn)證令牌轉(zhuǎn)換為身份驗(yàn)證信息對(duì)象。 如果該領(lǐng)域不希望這樣做，則返回null。 開(kāi)箱即用Shiro框架過(guò)濾器會(huì)忽略請(qǐng)求中的PGP證書(shū)。 可用的身份驗(yàn)證令牌無(wú)法保存它們，并且領(lǐng)域完全不知道PGP證書(shū)。 因此，我們必須創(chuàng)建：

• 身份驗(yàn)證令牌來(lái)移動(dòng)證書(shū)，
• Servlet過(guò)濾器能夠讀取證書(shū)，
• 驗(yàn)證證書(shū)并將其與用戶帳戶匹配的領(lǐng)域。

我們的應(yīng)用程序?qū)⒂袃蓚€(gè)不同的領(lǐng)域。 一種使用名稱標(biāo)識(shí)帳戶和密碼來(lái)驗(yàn)證用戶身份，另一種使用PGP證書(shū)兩者都進(jìn)行。
在開(kāi)始編碼之前，我們必須處理應(yīng)用程序周圍的PGP證書(shū)和基礎(chǔ)結(jié)構(gòu)。 如果您對(duì)設(shè)置的PGP證書(shū)不感興趣，

基礎(chǔ)設(shè)施

當(dāng)用戶訪問(wèn)Web應(yīng)用程序時(shí)，他的Web瀏覽器可能會(huì)將PGP證書(shū)的副本發(fā)送到Web服務(wù)器。 證書(shū)由某個(gè)證書(shū)頒發(fā)機(jī)構(gòu)或證書(shū)本身（自簽名證書(shū)）簽名。 Web服務(wù)器將其信任的證書(shū)列表保存在稱為truststore的存儲(chǔ)中。 如果信任庫(kù)包含用戶證書(shū)或?qū)ζ溥M(jìn)行簽名的授權(quán)證書(shū)，則Web服務(wù)器將信任用戶證書(shū)。 受信任的證書(shū)將傳遞到應(yīng)用程序。
我們會(huì)：

• 為每個(gè)用戶創(chuàng)建證書(shū)，
• 創(chuàng)建信任庫(kù)，
• 配置Web服務(wù)器，
• 將證書(shū)與用戶帳戶關(guān)聯(lián)。

在portecle中創(chuàng)建和管理證書(shū)。 SimpleShiroSecuredApplication的示例證書(shū)位于src \ test \ resources \ clients目錄中。 所有商店和證書(shū)都具有通用密碼“秘密”。

創(chuàng)建證書(shū)

為portecle中的每個(gè)用戶創(chuàng)建自簽名證書(shū)：

• 創(chuàng)建新的jks密鑰庫(kù)：在File-> New Keystore中，選擇jks。
• 生成新證書(shū)：工具->生成密鑰對(duì)。 將密碼字段保留為空，證書(shū)將繼承密鑰庫(kù)的密碼。
• 導(dǎo)出公共證書(shū)：選擇新證書(shū)->右鍵單擊->導(dǎo)出，選擇“頭證書(shū)”。 這將創(chuàng)建.cer文件。
• 導(dǎo)出私鑰和證書(shū)：選擇新證書(shū)->右鍵單擊->導(dǎo)出，選擇私鑰和證書(shū)。 這將創(chuàng)建.p12文件。

.cer文件僅包含公共證書(shū)，因此您可以將其提供給任何人。 另一方面，.p12文件包含用戶私鑰，因此必須保密。 僅將其分發(fā)給用戶（例如，將其導(dǎo)入瀏覽器進(jìn)行測(cè)試）。

創(chuàng)建信任庫(kù)

創(chuàng)建新的信任庫(kù)并將公共證書(shū).cer文件導(dǎo)入到其中：

• 在文件->新密鑰庫(kù)中，選擇jks。
• 工具->導(dǎo)入可信證書(shū)。

配置Web服務(wù)器

Web服務(wù)器必須請(qǐng)求證書(shū)，并根據(jù)信任庫(kù)驗(yàn)證它們。 無(wú)法從Java請(qǐng)求證書(shū)。 每個(gè)Web服務(wù)器的配置都不同。 Github上的Look at AbstractContainerTest類中提供了Jetty配置。

將證書(shū)與帳戶關(guān)聯(lián)

每個(gè)證書(shū)由序列號(hào)和簽署證書(shū)的證書(shū)頒發(fā)機(jī)構(gòu)的名稱唯一標(biāo)識(shí)。 我們將它們與用戶名和密碼一起存儲(chǔ)在數(shù)據(jù)庫(kù)表中。 數(shù)據(jù)庫(kù)更改位于db.changelog.xml文件中，有關(guān)新列，請(qǐng)參見(jiàn)changeset 3 ，有關(guān)數(shù)據(jù)初始化，請(qǐng)參見(jiàn)changeset 4 。

認(rèn)證令牌

身份驗(yàn)證令牌表示身份驗(yàn)證嘗試期間的用戶數(shù)據(jù)和憑據(jù)。 它必須實(shí)現(xiàn)身份驗(yàn)證令牌接口，并保存我們希望在servlet過(guò)濾器和領(lǐng)域之間傳遞的所有數(shù)據(jù)。
由于我們希望同時(shí)使用用戶名/密碼和證書(shū)進(jìn)行身份驗(yàn)證，因此我們擴(kuò)展了UsernamePasswordToken類，并向其添加了證書(shū)屬性。 新的身份驗(yàn)證令牌X509CertificateUsernamePasswordToken實(shí)現(xiàn)了新的接口X509CertificateAuthenticationToken ，兩者在Github上都可用：

public class X509CertificateUsernamePasswordToken extends UsernamePasswordToken implements X509CertificateAuthenticationToken {private X509Certificate certificate;@Overridepublic X509Certificate getCertificate() {return certificate;}public void setCertificate(X509Certificate certificate) {this.certificate = certificate;}}

Servlet過(guò)濾器

Shiro過(guò)濾器將用戶數(shù)據(jù)轉(zhuǎn)換為身份驗(yàn)證令牌。 到目前為止，我們使用了FormAuthenticationFilter 。 如果傳入的請(qǐng)求來(lái)自登錄的用戶，則過(guò)濾器允許用戶進(jìn)入。如果用戶正嘗試對(duì)其進(jìn)行身份驗(yàn)證，則過(guò)濾器將創(chuàng)建身份驗(yàn)證令牌并將其傳遞給框架。 否則，它將用戶重定向到登錄屏幕。
我們的過(guò)濾器CertificateOrFormAuthenticationFilter擴(kuò)展了FormAuthenticationFilter 。

首先，我們必須說(shuō)服它，不僅具有用戶名和密碼的請(qǐng)求，而且具有PGP證書(shū)的任何請(qǐng)求都可以視為嘗試登錄。 其次，我們必須修改過(guò)濾器以在身份驗(yàn)證令牌中發(fā)送PGP證書(shū)以及用戶名和密碼。
方法isLoginSubmission確定請(qǐng)求是否表示身份驗(yàn)證嘗試：

@Overrideprotected boolean isLoginSubmission(ServletRequest request, ServletResponse response) {return super.isLoginSubmission(request, response) || isCertificateLogInAttempt(request, response);}private boolean isCertificateLogInAttempt(ServletRequest request, ServletResponse response) {return hasCertificate(request) && !getSubject(request, response).isAuthenticated();}private boolean hasCertificate(ServletRequest request) {return null != getCertificate(request);}private X509Certificate getCertificate(ServletRequest request) {X509Certificate[] attribute = (X509Certificate[]) request.getAttribute('javax.servlet.request.X509Certificate');return attribute==null? null : attribute[0];}

方法createToken創(chuàng)建身份驗(yàn)證令牌：

@Overrideprotected AuthenticationToken createToken(String username, String password, ServletRequest request, ServletResponse response) {boolean rememberMe = isRememberMe(request);String host = getHost(request);X509Certificate certificate = getCertificate(request);return createToken(username, password, rememberMe, host, certificate);}protected AuthenticationToken createToken(String username, String password, boolean rememberMe, String host, X509Certificate certificate) {return new X509CertificateUsernamePasswordToken(username, password, rememberMe, host, certificate);}

在配置文件中用CertificateOrFormAuthenticationFilter過(guò)濾器替換FormAuthenticationFilter：

[main] # filter configuration certificateFilter = org.meri.simpleshirosecuredapplication.servlet.CertificateOrFormAuthenticationFilter # specify login page certificateFilter.loginUrl = /simpleshirosecuredapplication/account/login.jsp # name of request parameter with username; if not present filter assumes 'username' certificateFilter.usernameParam = user # name of request parameter with password; if not present filter assumes 'password' certificateFilter.passwordParam = pass # does the user wish to be remembered?; if not present filter assumes 'rememberMe' certificateFilter.rememberMeParam = remember # redirect after successful login certificateFilter.successUrl = /simpleshirosecuredapplication/account/personalaccountpage.jsp

將所有URL重定向到新的過(guò)濾器：

[urls] # force ssl for login page /simpleshirosecuredapplication/account/login.jsp=ssl[8443], certificateFilter# only users with some roles are allowed to use role-specific pages /simpleshirosecuredapplication/repairmen/**=certificateFilter, roles[repairman] /simpleshirosecuredapplication/sales/**=certificateFilter, roles[sales] /simpleshirosecuredapplication/scientists/**=certificateFilter, roles[scientist] /simpleshirosecuredapplication/adminarea/**=certificateFilter, roles[Administrator]# enable certificateFilter filter for all application pages /simpleshirosecuredapplication/**=certificateFilter

自定義領(lǐng)域

我們的新領(lǐng)域?qū)H負(fù)責(zé)身份驗(yàn)證。 授權(quán)（訪問(wèn)權(quán)限）將由JNDIAndSaltAwareJdbcRealm處理。 只要PGP證書(shū)將用戶身份驗(yàn)證為與用戶名/密碼相同的帳戶，這種配置就起作用。 否則，新領(lǐng)域返回的主要主體必須與JNDIAndSaltAwareJdbcRealm返回的主要主體相同。
我們的領(lǐng)域不需要緩存，也不需要可選接口提供的任何其他服務(wù)。 因此，我們只需要實(shí)現(xiàn)兩個(gè)接口：Realm和Nameable。 X509CertificateRealm僅支持帶有PGP證書(shū)的身份驗(yàn)證令牌：

@Overridepublic boolean supports(AuthenticationToken token) {if (token!=null)return token instanceof X509CertificateAuthenticationToken;return false;}

方法getAuthentcationInfo負(fù)責(zé)身份驗(yàn)證。 如果提供的證書(shū)有效并且與用戶帳戶關(guān)聯(lián)，則領(lǐng)域?qū)?chuàng)建認(rèn)證信息對(duì)象。 請(qǐng)記住，主要主體必須與JNDIAndSaltAwareJdbcRealm返回的主體相同：

@Override public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {// the cast is legal, since Shiro will let in only X509CertificateAuthenticationToken tokensX509CertificateAuthenticationToken certificateToken = (X509CertificateAuthenticationToken) token;X509Certificate certificate = certificateToken.getCertificate();// verify certificateif (!certificateOK(certificate)) {return null;}// the issuer name and serial number uniquely identifies certificateBigInteger serialNumber = certificate.getSerialNumber();String issuerName = certificate.getIssuerDN().getName();// find account associated with certificateString username = findUsernameToCertificate(issuerName, serialNumber);if (username == null) {// return null as no account was foundreturn null;}// sucesfull verification, return authentication inforeturn new SimpleAuthenticationInfo(username, certificate, getName()); }

請(qǐng)注意，領(lǐng)域具有兩個(gè)新屬性：trustStore和trustStorePassword。 兩者都是PGP證書(shū)驗(yàn)證所必需的。 與其他任何屬性一樣，兩者都可以在配置文件中進(jìn)行配置。
將新的領(lǐng)域添加到Shiro.ini文件中：

[main] certificateRealm = org.meri.simpleshirosecuredapplication.realm.X509CertificateRealm certificateRealm.trustStore=src/main/resources/truststore certificateRealm.trustStorePassword=secret

現(xiàn)在可以使用PGP證書(shū)登錄到應(yīng)用程序。 如果證書(shū)不可用，則用戶名和密碼也可以使用。

應(yīng)用程序源代碼在Github上的'certificates_as_alternative_log_in_method'分支中可用。

多個(gè)領(lǐng)域

如果配置文件包含多個(gè)領(lǐng)域，則將全部使用。 在這種情況下，Shiro嘗試使用所有已配置的領(lǐng)域?qū)τ脩暨M(jìn)行身份驗(yàn)證，并將身份驗(yàn)證結(jié)果合并在一起。 負(fù)責(zé)合并的對(duì)象稱為身份驗(yàn)證策略。 框架提供了三種身份驗(yàn)證策略：

• 所有成功的策略
• 至少一項(xiàng)成功的策略 ，
• 第一個(gè)成功的策略 。

默認(rèn)情況下，使用“至少一個(gè)成功的策略”，這非常適合我們的目的。 同樣，可以創(chuàng)建自定義身份驗(yàn)證策略。 例如，我們可能要求用戶同時(shí)提供PGP證書(shū)和用戶名/密碼憑據(jù)才能登錄。
新要求：用戶必須同時(shí)提供PGP證書(shū)和用戶名/密碼憑據(jù)才能登錄。

換句話說(shuō)，我們需要的策略是：

• 如果某些領(lǐng)域不支持令牌，則失敗，
• 如果某些領(lǐng)域無(wú)法驗(yàn)證用戶身份，則失敗，
• 如果兩個(gè)領(lǐng)域認(rèn)證不同的主體，則失敗。

認(rèn)證策略是一個(gè)實(shí)現(xiàn)認(rèn)證策略接口的對(duì)象。 在身份驗(yàn)證嘗試之后和之前調(diào)用接口方法。 我們從“所有成功策略”（可用的最接近策略）創(chuàng)建“ 主要主體相同的身份驗(yàn)證策略 ”。 在每次領(lǐng)域身份驗(yàn)證嘗試之后，我們將比較主體：

@Override public AuthenticationInfo afterAttempt(...) {validatePrimaryPrincipals(info, aggregate, realm);return super.afterAttempt(realm, token, info, aggregate, t); }private void validatePrimaryPrincipals(...) {...Object aggregPrincipal = aggregPrincipals.getPrimaryPrincipal();Object infoPrincipal = infoPrincipals.getPrimaryPrincipal();if (!aggregPrincipal.equals(infoPrincipal)) {String message = 'All realms are required to return the same primary principal. Offending realm: ' + realm.getName();log.debug(message);throw new AuthenticationException(message);} }

身份驗(yàn)證策略在Shiro.ini文件中配置：

# multi-realms strategy authenticationStrategy=org.meri.simpleshirosecuredapplication.authc. PrimaryPrincipalSameAuthenticationStrategy securityManager.authenticator.authenticationStrategy = $authenticationStrategy

最后，我們必須改回CertificateOrFormAuthenticationFilter的isLoginSubmission方法。 現(xiàn)在僅將具有用戶名和密碼的請(qǐng)求視為登錄嘗試。 證書(shū)不足：

@Override protected boolean isLoginSubmission(ServletRequest request, ServletResponse response) {return super.isLoginSubmission(request, response); }

如果立即運(yùn)行該應(yīng)用程序，則必須同時(shí)使用證書(shū)和用戶名/密碼登錄方法。

這個(gè)版本可以在Github的'certificates_as_mandatory_log_in_method'分支中找到。

結(jié)束

此部分專用于Shiro領(lǐng)域。 我們創(chuàng)建了三個(gè)不同的應(yīng)用程序版本，所有版本都可以在Github上獲得。 它們涵蓋了基本且可能是最重要的領(lǐng)域功能。

如果您需要了解更多信息，請(qǐng)從此處鏈接的類開(kāi)始并閱讀其javadocs。 他們寫(xiě)得很好，內(nèi)容廣泛。

參考： Apache Shiro第2部分–我們的JCG合作伙伴 Maria Jurcovicova在This is Stuff博客上獲得的領(lǐng)域，數(shù)據(jù)庫(kù)和PGP證書(shū) 。

翻譯自: https://www.javacodegeeks.com/2012/05/apache-shiro-part-2-realms-database-and.html

總結(jié)

以上是生活随笔為你收集整理的Apache Shiro第2部分–领域，数据库和PGP证书的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。