IT虾米网

通过Shiro完成基础的身份认证

developer 2022年06月30日 编程语言 168 0

我们通过Shiro完成基础的身份认证,我们使用的项目环境如下:
1、项目环境:
①、web+shiro
②、添加资源文件shiro.ini
[users]  admin=hello  login=java
③、进行shiro的认证编写:本次的操作一定要通过shiro.ini文件进行信息的取得;
如果要想进行shiro的认证信息的读取,那么首先需要使用一个org.apache.shiro.util.Factory接口,在这个接口里面定义有取得一个SecuruityManager接口对象的方法:
public T getInstance();此方法可以取得一个org.apache.shiro.mgt.SecurityManager接口对象;
Factory是接口,本次将通过一个ini文件进行读取,所以应该使用“org.apache.shiro.config.IniSecurityManagerFactory”,子类,这个子类里面只需要关注构造方法:
public IniSecurityManagerFactory(String iniResourcePath),资源定位通过classpath取得:
// 取得Factory接口对象,主要的目的是通过配置文件加载文件之中的信息,这些信息暂时不能够成为认证信息  

Factory<org.apache.shiro.mgt.SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");

Factory接口中保管的是SecurityManager接口对象,是进行所有认证信息的处理的,读取进来的资源文件在个接口里面将转换为认证数据(用户名、密码):     
// 取得里面所保存的所有的认证数据信息  

org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();

具体的认证信息一定要通过Subject接口来实现,而SecurityManager只是一个综合的认证信息集合。
所以为了解决这个问题可以使用“org.apache.shiro.SecurityUtils”,在这个类中有如下两个方法:
设置SecurityManager接口对象:

public static void setSecurityManager(SecurityManager securityManager);

取得一个要进行认证的Subject接口:

public static Subject getSubject();

// 利用一个专门的认证操作的处理类,实现认证处理的具体的实现

SecurityUtils.setSecurityManager(securityManager);

// 获取进行用户名和密码认证的接口对象

Subject subject = SecurityUtils.getSubject() ;

本次使用的是用户名和密码的组合进行的认证处理,所以需要将用户名和密码包装为一个Token,因为在Subject接口下定义有如下的方法:
登录验证:

public void login(AuthenticationToken token) throws AuthenticationException;

登录注销:

public void logout()。

使用“org.apache.shiro.authc.UsernamePasswordToken”,只需要创建这个类的对象,创建的时候传递用户名和密码即可实现;  
// 定义了一个Token,里面保存要登录的用户名和密码信息
UsernamePasswordToken token = new  UsernamePasswordToken("admin","hello") ;
利用Subject实现用户的登录处理操作:

public class TestLoginDemo {  
    public static void main(String[] args) {  
        // 取得Factory接口对象,主要的目的是通过配置文件加载文件之中的信息,这些信息暂时不能够成为认证信息 
        Factory<org.apache.shiro.mgt.SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");  
        // 取得里面所保存的所有的认证数据信息  
        org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();  
        // 利用一个专门的认证操作的处理类,实现认证处理的具体的实现 
        SecurityUtils.setSecurityManager(securityManager);  
        // 获取进行用户名和密码认证的接口对象 Subject subject = SecurityUtils.getSubject() ;  
        // 定义了一个Token,里面保存要登录的用户名和密码信息  
        UsernamePasswordToken token = new UsernamePasswordToken("admin","hello") ;  
        // 实现用户登录处理  
        subject.login(token);  
        System.out.println(subject.getPrincipal());  
        // 取得用户名  
    }  
}

在保证用户名和密码正确的前提下就可以轻松的实现登录控制,而如果说你的用户名或密码出现了错误,那么程序就将抛出异常,实际上异常的内容比较多:  
密码输入错误,但是用户名正确:

Exception in thread "main" org.apache.shiro.authc.IncorrectCredentialsException:  
Submitted credentials for token [org.apache.shiro.authc.UsernamePasswordToken - 
admin, rememberMe=false] did not match the expected credentials.

用户名错误,密码输入正确:

Exception in thread "main" org.apache.shiro.authc.UnknownAccountException:  
Realm [org.apache.shiro.realm.text.IniRealm@136432db] was unable to find 
account data for the submitted AuthenticationToken 
[org.apache.shiro.authc.UsernamePasswordToken - xx,rememberMe=false].

在shiro里面如果账户出现了错误,那么密码将不会验证,对于这一点一定要清楚,否则在使用自定义数据库认证的时候流程上就会出现问题。
shiro认证流程
在整个程序里面,必须要进行验证数据的信息加载,而后所有的认证信息交由SecuritManager 管理,而用户要想进行用户名或密码的认证操作必须通过Subject 接口完成,随后使用AuthenticationToken 保存所有的认证信息,本处为普通的用户名和密码,所以使用了一个UsernamePasswordToken 子类进行配置。
如果登录成功则不会抛出异常,如果登录失败,则会根据失败的类型抛出不同的异常子类。

评论关闭
IT虾米网

微信公众号号:IT虾米 (左侧二维码扫一扫)欢迎添加!

Shiro的主要功能点和构成