第二章 身份驗證——《跟我學Shiro》

原創 RayChiu757374816 2020-02-22 19:35

身份驗證,即在應用中誰能證明他就是他本人。一般提供如他們的身份ID一些標識信息來表明他就是他本人,如提供身份證,用戶名/密碼來證明。

在shiro中,用戶需要提供principals (身份)和credentials(證明)給shiro,從而應用能驗證用戶身份:

principals:身份,即主體的標識屬性,可以是任何東西,如用戶名、郵箱等,唯一即可。一個主體可以有多個principals,但只有一個Primary principals,一般是用戶名/密碼/手機號。

credentials:證明/憑證,即只有主體知道的安全值,如密碼/數字證書等。

最常見的principals和credentials組合就是用戶名/密碼了。接下來先進行一個基本的身份認證。

 

另外兩個相關的概念是之前提到的SubjectRealm,分別是主體及驗證主體的數據源。

 

2.2  環境準備

本文使用Maven構建,因此需要一點Maven知識。首先準備環境依賴: 

Java代碼  收藏代碼
  1. <dependencies>  
  2.     <dependency>  
  3.         <groupId>junit</groupId>  
  4.         <artifactId>junit</artifactId>  
  5.         <version>4.9</version>  
  6.     </dependency>  
  7.     <dependency>  
  8.         <groupId>commons-logging</groupId>  
  9.         <artifactId>commons-logging</artifactId>  
  10.         <version>1.1.3</version>  
  11.     </dependency>  
  12.     <dependency>  
  13.         <groupId>org.apache.shiro</groupId>  
  14.         <artifactId>shiro-core</artifactId>  
  15.         <version>1.2.2</version>  
  16.     </dependency>  
  17. </dependencies>   

添加junit、common-logging及shiro-core依賴即可。

 

2.3  登錄/退出

1、首先準備一些用戶身份/憑據(shiro.ini)

Java代碼  收藏代碼
  1. [users]  
  2. zhang=123  
  3. wang=123  

此處使用ini配置文件,通過[users]指定了兩個主體:zhang/123、wang/123。

  

2、測試用例(com.github.zhangkaitao.shiro.chapter2.LoginLogoutTest) 

Java代碼  收藏代碼
  1. @Test  
  2. public void testHelloworld() {  
  3.     //1、獲取SecurityManager工廠,此處使用Ini配置文件初始化SecurityManager  
  4.     Factory<org.apache.shiro.mgt.SecurityManager> factory =  
  5.             new IniSecurityManagerFactory("classpath:shiro.ini");  
  6.     //2、得到SecurityManager實例 並綁定給SecurityUtils  
  7.     org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();  
  8.     SecurityUtils.setSecurityManager(securityManager);  
  9.     //3、得到Subject及創建用戶名/密碼身份驗證Token(即用戶身份/憑證)  
  10.     Subject subject = SecurityUtils.getSubject();  
  11.     UsernamePasswordToken token = new UsernamePasswordToken("zhang""123");  
  12.   
  13.     try {  
  14.         //4、登錄,即身份驗證  
  15.         subject.login(token);  
  16.     } catch (AuthenticationException e) {  
  17.         //5、身份驗證失敗  
  18.     }  
  19.   
  20.     Assert.assertEquals(true, subject.isAuthenticated()); //斷言用戶已經登錄  
  21.   
  22.     //6、退出  
  23.     subject.logout();  
  24. }  
  25.    

2.1、首先通過new IniSecurityManagerFactory並指定一個ini配置文件來創建一個SecurityManager工廠;

2.2、接着獲取SecurityManager並綁定到SecurityUtils,這是一個全局設置,設置一次即可;

2.3、通過SecurityUtils得到Subject,其會自動綁定到當前線程;如果在web環境在請求結束時需要解除綁定;然後獲取身份驗證的Token,如用戶名/密碼;

2.4、調用subject.login方法進行登錄,其會自動委託給SecurityManager.login方法進行登錄;

2.5、如果身份驗證失敗請捕獲AuthenticationException或其子類,常見的如: DisabledAccountException(禁用的帳號)、LockedAccountException(鎖定的帳號)、UnknownAccountException(錯誤的帳號)、ExcessiveAttemptsException(登錄失敗次數過多)、IncorrectCredentialsException (錯誤的憑證)、ExpiredCredentialsException(過期的憑證)等,具體請查看其繼承關係;對於頁面的錯誤消息展示,最好使用如“用戶名/密碼錯誤”而不是“用戶名錯誤”/“密碼錯誤”,防止一些惡意用戶非法掃描帳號庫;

2.6、最後可以調用subject.logout退出,其會自動委託給SecurityManager.logout方法退出。

 

從如上代碼可總結出身份驗證的步驟:

1、收集用戶身份/憑證,即如用戶名/密碼;

2、調用Subject.login進行登錄,如果失敗將得到相應的AuthenticationException異常,根據異常提示用戶錯誤信息;否則登錄成功;

3、最後調用Subject.logout進行退出操作。

 

如上測試的幾個問題:

1、用戶名/密碼硬編碼在ini配置文件,以後需要改成如數據庫存儲,且密碼需要加密存儲;

2、用戶身份Token可能不僅僅是用戶名/密碼,也可能還有其他的,如登錄時允許用戶名/郵箱/手機號同時登錄。 

 

2.4  身份認證流程

流程如下:

1、首先調用Subject.login(token)進行登錄,其會自動委託給Security Manager,調用之前必須通過SecurityUtils. setSecurityManager()設置;

2、SecurityManager負責真正的身份驗證邏輯;它會委託給Authenticator進行身份驗證;

3、Authenticator纔是真正的身份驗證者,Shiro API中核心的身份認證入口點,此處可以自定義插入自己的實現;

4、Authenticator可能會委託給相應的AuthenticationStrategy進行多Realm身份驗證,默認ModularRealmAuthenticator會調用AuthenticationStrategy進行多Realm身份驗證;

5、Authenticator會把相應的token傳入Realm,從Realm獲取身份驗證信息,如果沒有返回/拋出異常表示身份驗證失敗了。此處可以配置多個Realm,將按照相應的順序及策略進行訪問。

 

2.5  Realm

Realm:域,Shiro從從Realm獲取安全數據(如用戶、角色、權限),就是說SecurityManager要驗證用戶身份,那麼它需要從Realm獲取相應的用戶進行比較以確定用戶身份是否合法;也需要從Realm得到用戶相應的角色/權限進行驗證用戶是否能進行操作;可以把Realm看成DataSource,即安全數據源。如我們之前的ini配置方式將使用org.apache.shiro.realm.text.IniRealm。

 

org.apache.shiro.realm.Realm接口如下: 

Java代碼  收藏代碼
  1. String getName(); //返回一個唯一的Realm名字  
  2. boolean supports(AuthenticationToken token); //判斷此Realm是否支持此Token  
  3. AuthenticationInfo getAuthenticationInfo(AuthenticationToken token)  
  4.  throws AuthenticationException;  //根據Token獲取認證信息  

 

單Realm配置

1、自定義Realm實現(com.github.zhangkaitao.shiro.chapter2.realm.MyRealm1):  

Java代碼  收藏代碼
  1. public class MyRealm1 implements Realm {  
  2.     @Override  
  3.     public String getName() {  
  4.         return "myrealm1";  
  5.     }  
  6.     @Override  
  7.     public boolean supports(AuthenticationToken token) {  
  8.         //僅支持UsernamePasswordToken類型的Token  
  9.         return token instanceof UsernamePasswordToken;   
  10.     }  
  11.     @Override  
  12.     public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {  
  13.         String username = (String)token.getPrincipal();  //得到用戶名  
  14.         String password = new String((char[])token.getCredentials()); //得到密碼  
  15.         if(!"zhang".equals(username)) {  
  16.             throw new UnknownAccountException(); //如果用戶名錯誤  
  17.         }  
  18.         if(!"123".equals(password)) {  
  19.             throw new IncorrectCredentialsException(); //如果密碼錯誤  
  20.         }  
  21.         //如果身份認證驗證成功,返回一個AuthenticationInfo實現;  
  22.         return new SimpleAuthenticationInfo(username, password, getName());  
  23.     }  
  24. }   

 

2、ini配置文件指定自定義Realm實現(shiro-realm.ini)  

Java代碼  收藏代碼
  1. #聲明一個realm  
  2. myRealm1=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm1  
  3. #指定securityManager的realms實現  
  4. securityManager.realms=$myRealm1   

通過$name來引入之前的realm定義

 

3、測試用例請參考com.github.zhangkaitao.shiro.chapter2.LoginLogoutTest的testCustomRealm測試方法,只需要把之前的shiro.ini配置文件改成shiro-realm.ini即可。

 

多Realm配置

1、ini配置文件(shiro-multi-realm.ini)  

Java代碼  收藏代碼
  1. #聲明一個realm  
  2. myRealm1=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm1  
  3. myRealm2=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm2  
  4. #指定securityManager的realms實現  
  5. securityManager.realms=$myRealm1,$myRealm2   

securityManager會按照realms指定的順序進行身份認證。此處我們使用顯示指定順序的方式指定了Realm的順序,如果刪除“securityManager.realms=$myRealm1,$myRealm2”,那麼securityManager會按照realm聲明的順序進行使用(即無需設置realms屬性,其會自動發現),當我們顯示指定realm後,其他沒有指定realm將被忽略,如“securityManager.realms=$myRealm1”,那麼myRealm2不會被自動設置進去。

 

2、測試用例請參考com.github.zhangkaitao.shiro.chapter2.LoginLogoutTest的testCustomMultiRealm測試方法。

 

Shiro默認提供的Realm

以後一般繼承AuthorizingRealm(授權)即可;其繼承了AuthenticatingRealm(即身份驗證),而且也間接繼承了CachingRealm(帶有緩存實現)。其中主要默認實現如下:

org.apache.shiro.realm.text.IniRealm:[users]部分指定用戶名/密碼及其角色;[roles]部分指定角色即權限信息;

org.apache.shiro.realm.text.PropertiesRealm: user.username=password,role1,role2指定用戶名/密碼及其角色;role.role1=permission1,permission2指定角色及權限信息;

org.apache.shiro.realm.jdbc.JdbcRealm:通過sql查詢相應的信息,如“select password from users where username = ?”獲取用戶密碼,“select password, password_salt from users where username = ?”獲取用戶密碼及鹽;“select role_name from user_roles where username = ?”獲取用戶角色;“select permission from roles_permissions where role_name = ?”獲取角色對應的權限信息;也可以調用相應的api進行自定義sql;

 

JDBC Realm使用

1、數據庫及依賴

Java代碼  收藏代碼
  1. <dependency>  
  2.     <groupId>mysql</groupId>  
  3.     <artifactId>mysql-connector-java</artifactId>  
  4.     <version>5.1.25</version>  
  5. </dependency>  
  6. <dependency>  
  7.     <groupId>com.alibaba</groupId>  
  8.     <artifactId>druid</artifactId>  
  9.     <version>0.2.23</version>  
  10. </dependency>   

本文將使用mysql數據庫及druid連接池; 

 

2、到數據庫shiro下建三張表:users(用戶名/密碼)、user_roles(用戶/角色)、roles_permissions(角色/權限),具體請參照shiro-example-chapter2/sql/shiro.sql;並添加一個用戶記錄,用戶名/密碼爲zhang/123;

 

3、ini配置(shiro-jdbc-realm.ini) 

Java代碼  收藏代碼
  1. jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm  
  2. dataSource=com.alibaba.druid.pool.DruidDataSource  
  3. dataSource.driverClassName=com.mysql.jdbc.Driver  
  4. dataSource.url=jdbc:mysql://localhost:3306/shiro  
  5. dataSource.username=root  
  6. #dataSource.password=  
  7. jdbcRealm.dataSource=$dataSource  
  8. securityManager.realms=$jdbcRealm   

1、變量名=全限定類名會自動創建一個類實例

2、變量名.屬性=值 自動調用相應的setter方法進行賦值

3、$變量名 引用之前的一個對象實例 

4、測試代碼請參照com.github.zhangkaitao.shiro.chapter2.LoginLogoutTest的testJDBCRealm方法,和之前的沒什麼區別。

 

2.6  Authenticator及AuthenticationStrategy

Authenticator的職責是驗證用戶帳號,是Shiro API中身份驗證核心的入口點: 

Java代碼  收藏代碼
  1. public AuthenticationInfo authenticate(AuthenticationToken authenticationToken)  
  2.             throws AuthenticationException;   

如果驗證成功,將返回AuthenticationInfo驗證信息;此信息中包含了身份及憑證;如果驗證失敗將拋出相應的AuthenticationException實現。

 

SecurityManager接口繼承了Authenticator,另外還有一個ModularRealmAuthenticator實現,其委託給多個Realm進行驗證,驗證規則通過AuthenticationStrategy接口指定,默認提供的實現:

FirstSuccessfulStrategy:只要有一個Realm驗證成功即可,只返回第一個Realm身份驗證成功的認證信息,其他的忽略;

AtLeastOneSuccessfulStrategy:只要有一個Realm驗證成功即可,和FirstSuccessfulStrategy不同,返回所有Realm身份驗證成功的認證信息;

AllSuccessfulStrategy:所有Realm驗證成功纔算成功,且返回所有Realm身份驗證成功的認證信息,如果有一個失敗就失敗了。

 

ModularRealmAuthenticator默認使用AtLeastOneSuccessfulStrategy策略。

 

假設我們有三個realm:

myRealm1: 用戶名/密碼爲zhang/123時成功,且返回身份/憑據爲zhang/123;

myRealm2: 用戶名/密碼爲wang/123時成功,且返回身份/憑據爲wang/123;

myRealm3: 用戶名/密碼爲zhang/123時成功,且返回身份/憑據爲[email protected]/123,和myRealm1不同的是返回時的身份變了;

 

1、ini配置文件(shiro-authenticator-all-success.ini) 

Java代碼  收藏代碼
  1. #指定securityManager的authenticator實現  
  2. authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator  
  3. securityManager.authenticator=$authenticator  
  4.   
  5. #指定securityManager.authenticator的authenticationStrategy  
  6. allSuccessfulStrategy=org.apache.shiro.authc.pam.AllSuccessfulStrategy  
  7. securityManager.authenticator.authenticationStrategy=$allSuccessfulStrategy  
Java代碼  收藏代碼
  1. myRealm1=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm1  
  2. myRealm2=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm2  
  3. myRealm3=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm3  
  4. securityManager.realms=$myRealm1,$myRealm3  

 

2、測試代碼(com.github.zhangkaitao.shiro.chapter2.AuthenticatorTest)

2.1、首先通用化登錄邏輯 

Java代碼  收藏代碼
  1. private void login(String configFile) {  
  2.     //1、獲取SecurityManager工廠,此處使用Ini配置文件初始化SecurityManager  
  3.     Factory<org.apache.shiro.mgt.SecurityManager> factory =  
  4.             new IniSecurityManagerFactory(configFile);  
  5.   
  6.     //2、得到SecurityManager實例 並綁定給SecurityUtils  
  7.     org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();  
  8.     SecurityUtils.setSecurityManager(securityManager);  
  9.   
  10.     //3、得到Subject及創建用戶名/密碼身份驗證Token(即用戶身份/憑證)  
  11.     Subject subject = SecurityUtils.getSubject();  
  12.     UsernamePasswordToken token = new UsernamePasswordToken("zhang""123");  
  13.   
  14.     subject.login(token);  
  15. }  

 

2.2、測試AllSuccessfulStrategy成功:    

Java代碼  收藏代碼
  1. @Test  
  2. public void testAllSuccessfulStrategyWithSuccess() {  
  3.     login("classpath:shiro-authenticator-all-success.ini");  
  4.     Subject subject = SecurityUtils.getSubject();  
  5.   
  6.     //得到一個身份集合,其包含了Realm驗證成功的身份信息  
  7.     PrincipalCollection principalCollection = subject.getPrincipals();  
  8.     Assert.assertEquals(2, principalCollection.asList().size());  
  9. }   

即PrincipalCollection包含了zhang和[email protected]身份信息。

 

2.3、測試AllSuccessfulStrategy失敗:

Java代碼  收藏代碼
  1.     @Test(expected = UnknownAccountException.class)  
  2.     public void testAllSuccessfulStrategyWithFail() {  
  3.         login("classpath:shiro-authenticator-all-fail.ini");  
  4.         Subject subject = SecurityUtils.getSubject();  
  5. }   

shiro-authenticator-all-fail.ini與shiro-authenticator-all-success.ini不同的配置是使用了securityManager.realms=$myRealm1,$myRealm2;即myRealm驗證失敗。

 

對於AtLeastOneSuccessfulStrategy和FirstSuccessfulStrategy的區別,請參照testAtLeastOneSuccessfulStrategyWithSuccess和testFirstOneSuccessfulStrategyWithSuccess測試方法。唯一不同點一個是返回所有驗證成功的Realm的認證信息;另一個是隻返回第一個驗證成功的Realm的認證信息。

 

自定義AuthenticationStrategy實現,首先看其API:

Java代碼  收藏代碼
  1. //在所有Realm驗證之前調用  
  2. AuthenticationInfo beforeAllAttempts(  
  3. Collection<? extends Realm> realms, AuthenticationToken token)   
  4. throws AuthenticationException;  
  5. //在每個Realm之前調用  
  6. AuthenticationInfo beforeAttempt(  
  7. Realm realm, AuthenticationToken token, AuthenticationInfo aggregate)   
  8. throws AuthenticationException;  
  9. //在每個Realm之後調用  
  10. AuthenticationInfo afterAttempt(  
  11. Realm realm, AuthenticationToken token,   
  12. AuthenticationInfo singleRealmInfo, AuthenticationInfo aggregateInfo, Throwable t)  
  13. throws AuthenticationException;  
  14. //在所有Realm之後調用  
  15. AuthenticationInfo afterAllAttempts(  
  16. AuthenticationToken token, AuthenticationInfo aggregate)   
  17. throws AuthenticationException;   

因爲每個AuthenticationStrategy實例都是無狀態的,所有每次都通過接口將相應的認證信息傳入下一次流程;通過如上接口可以進行如合併/返回第一個驗證成功的認證信息。

 

自定義實現時一般繼承org.apache.shiro.authc.pam.AbstractAuthenticationStrategy即可,具體可以參考代碼com.github.zhangkaitao.shiro.chapter2.authenticator.strategy包下OnlyOneAuthenticatorStrategy 和AtLeastTwoAuthenticatorStrategy。

 

到此基本的身份驗證就搞定了,對於AuthenticationToken 、AuthenticationInfo和Realm的詳細使用後續章節再陸續介紹。

 

示例源代碼:https://github.com/zhangkaitao/shiro-example;可加羣134755960探討Spring/Shiro技術。

RayChiu757374816
發佈了5 篇原創文章 · 獲贊 5 · 訪問量 3萬+
私信 關注
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

faiss簡單測試方法

先把倉庫克隆到本地,我這邊還需要改cmake環境,在project上面加 set(CMAKE_CUDA_COMPILER /usr/local/cuda-11.8/bin/nvcc) 構建 mkdir build cmake -B bui

Echo寶貝兒 2024-04-28 14:29:59

WPF & Prism

WPF編程-Prism 世有伯樂,然後有千里馬。千里馬常有,而伯樂不常有。 一、背景 Winform和WPF 1. WinForms和WPF 技術架構: WinForms是基於傳統的窗體和控件的技術,使用的是類

君莫笑-93 2024-04-28 14:25:08

一個庫幫你輕鬆的創建漂亮的.NET控制檯應用程序

前言 做過.NET控制檯應用程序的同學應該都知道原生的.NET控制檯應用程序輸出的內容都比較的單調,假如要編寫漂亮且美觀的控制檯輸出內容或者樣式可能需要花費不少的時間去編寫代碼和調試。今天大姚給大家分享一個.NET開源且免費的類庫幫你輕鬆的

追逐時光 2024-04-28 14:22:48

35K*14 薪,入職了!這公司只要不裁員,我能一直呆下去!

大家好,我是R哥。 說說最近的面試輔導,有個學員進了某個知名互聯網公司,拿到了 35K*14 薪的好成績,有不少粉絲留言問我,現在行情這麼差,他是怎麼做到的? 這篇拿他這個案例完整回顧一下吧,我管他叫小Y吧。 背景溝通 說下小Y的基本情況吧

Java技術棧 2024-04-28 14:22:17

電腦刷新率的選擇

選120hz的比60hz更護眼.

張博的博客 2024-04-28 14:20:47

Python 潮流週刊#48:Python 3.14 的發佈計劃

本週刊由 Python貓 出品,精心篩選國內外的 250+ 信息源,爲你挑選最值得分享的文章、教程、開源項目、軟件工具、播客和視頻、熱門話題等內容。願景:幫助所有讀者精進 Python 技術,並增長職業和副業的收入。 本期分享了 12 篇文

豌豆花下貓 2024-04-28 14:20:07

gpu機器沒有開啓ipv6

    參考: https://blog.csdn.net/asdfaa/article/details/137884414   檢查系統是否支持 IPv6,查看被禁用了 在啓用 IPv6 之前,首先要確保您的系統支持 IPv6。要檢查內核

馬昌偉 2024-04-28 14:14:47

pl0詞法分析器

pl/0詞法分析器 下面是這個分析器的功能: 1、 待分析的簡單語言的詞法 (1) 關鍵字: begin if then while do end 所有關鍵字都是小寫。 (2) 運算符和界符: := + – * / < <= <> > >=

孤獨的貓 2024-04-28 14:14:06

VS2008 LIB的升級改造

今天用VS2019編譯一個在VS2008下Coding的工程的時候,VS給出了一堆鏈接錯誤信息,如下圖所示的一些錯誤:   Error 47 error LNK2019: unresolved external symbol "public

孤獨的貓 2024-04-28 14:14:06

Windows平臺NASM彙編與C混合調用

Windows平臺NASM彙編與C混合調用 tonyblackwhite 之前介紹了Windows平臺下,用微軟宏彙編MASM與C混合調用的方法。MASM是微軟獨有的,Linux沒法用,我喜歡學一個能夠應用於兩種平臺的,所以還是更鐘情於開源

孤獨的貓 2024-04-28 14:14:06

程序員想通過產品掙錢,首先你產品的目標客戶得不差錢 (在線客服系統外傳1)

在線客服系統我利用業餘時間斷斷續續做了好幾年,從一開始的追求完美,到後來的集中精力解決核心問題,從一開始的在每一個用戶身上投入大量時間,到後來學會分辨什麼是有價值客戶,學到很多,成長很多。 有許多工程技術上很好,很優秀的產品,甚至一定程度上

heng.chao 2024-04-28 14:14:06

springboot~redis的hash結構爲key設置過期策略

redis配置文件開啓鍵過期 # The "notify-keyspace-events" takes as argument a string that is composed # of zero or multiple charac

張佔嶺 2024-04-28 14:13:26

如何開發一個符合人性的機器人通知功能

國內的IT企業逐漸的都有各種IM機器人,這些IM機器人會不斷的吐數據,但是這些吐數據最後都成了像垃圾消息或者周扒皮一樣的催命通知,完全沒有人性。我非常痛恨這種把IM裏不斷被催的方式,這種方式雖然能起作用,但是人在這種環境下工作真的就成了工具

ffl 2024-04-28 14:09:16

【轉】[WPF] 複製文本到剪貼板

來自:阿里的 通義靈碼 以下是幾種常見的複製數據類型到剪切板的方法: 複製文本到剪切板 using System.Windows.Forms; // 對於Windows Forms應用 // 或者 using System.Windows

z5337 2024-04-28 14:05:45

Python: Regular expressions

    @staticmethod def strSplit(textSource: str, patterns: str)->list: """ 分割字符串 :param

®Geovin Du Dream Park™ 2024-04-28 14:01:24