Shiro 身份认证原理

身份认证原理"/>

Shiro 身份认证原理

上篇文章已经介绍了Shiro的基础功能 ，这篇文章内容会针对Shiro身份认证原理。

环境

基于SpringBoot开发

Shiro需要的依赖：

<dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-spring-boot-web-starter</artifactId><version>1.4.2</version>
</dependency>

Shiro的身份认证底层实现流程：

• SecurityUtils：它是一个抽象对象，内置了SecurityManager，而SecurityManager是Shiro的核心，Shiro所有的功能实现都由SecurityManager管理实现，SecurityUtils中的SecurityManager是静态的，这意味着SecurityManager是全局唯一的，它是由Spring容器加载时而创建的。

  SecurityUtils中还含有一个静态方法getSubject()，通过该方法可以获得Subject对象，Subject对象是外界调用Shiro的方法的桥梁。

  public abstract class SecurityUtils {private static SecurityManager securityManager;public SecurityUtils() {}public static Subject getSubject() {Subject subject = ThreadContext.getSubject();if (subject == null) {subject = (new Builder()).buildSubject();ThreadContext.bind(subject);}return subject;}
  }
  

• 当我们得到了Subject对象，就可以去使用Shiro的登录方法login()，login()方法会带着登录需要验证的信息既 用户名和密码，这里Shiro提供了AuthenticationToken对象，我们将信息放入即可。

  AuthenticationToken token = new UsernamePasswordToken(uname, pwd);
  

  login会调用Shiro集成好的登录验证方法，方法如下，AuthorizingRealm会继承AuthenticatingRealm

  AuthenticatingRealm：用于认证的Realm
  AuthorizingRealm：用于授权和认证的realm
  

  登录验证身份时，会调用AuthenticatingRealm中的doGetAuthenticationInfo()方法，验证成功会返回含有身份信息的AuthenticationInfo

  public abstract class AuthenticatingRealm extends CachingRealm implements Initializable {protected abstract AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken var1) throws AuthenticationException;
  }
  

​ 到这里可能会有疑问，上面我们把带着用户和密码的AuthenticationToken拿去登录了，它是怎么验证正不正确的，我们也没有提供用户名和密码数据啊？

​ 是这样的，Shiro验证数据配置是ini配置文件，如果我们直接这样去使用login()登录，Shiro会拿着登录名和密码去配置文件中的数据比对，配置文件如下(下面会慢慢展开数据库数据验证，这里只是分析底层)：

[users]
zhangsan=zs
lisi=ls

​ 这个配置文件就不去解释，实际开发中不会使用这个，我们知道原理即可。

• login()方法登录成功会返回AuthenticationInfo信息，登录不成功咋办？Subject的login()方法是无返回值的，登录失败会有相应的异常，我们通过异常来判断相应的登录失败信息，常见异常如下：

  异常	描述
  UnknownAccountException	账号验证错误，账号不存在
  IncorrectCredentialsException	密码错误
  UnauthorizedException	权限不足

• 到这里我们已经分析完了Shiro登录底层实现原理，实际开发中，我们并不会使用配置文件来存储用户密码，一般都是方法数据库中，那要如何实现呢？

Shiro身份验证的开发环境实现

Shiro底层验证用户身份会通过配置的用户数据，但我们实际开发中用户数据都存放在数据库，我们如果想实现就需要去重写AuthenticatingRealm和AuthorizingRealm这两个域，其中AuthorizingRealm继承了AuthenticatingRealm，我们只要去实现AuthorizingRealm的重写完成自定义的Realm域。

@Component
public class MyRealm extends AuthorizingRealm {/*** 登录认证自定义逻辑方法* 自定义登录认证的逻辑，配置生效后，当shiro的login方法被执行时，底层会* 自动的调用该方法完成登录认证，而不是使用shiro自己内置的登录认证逻辑*/@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {//获取用户的登录名String uname = token.getPrincipal().toString();//根据用户名从数据库获取用户信息User user = userService.selUserInfoService(uname);if (user != null) {AuthenticationInfo info=new SimpleAuthenticationInfo(token.getPrincipal(),user.getPwd(),token.getPrincipal().toString());return info;}return null;}/*** 自定义授权方法* 每一个授权都会走到这里验证* 该方法是有shiro自动触发，调用该方法获取当前认证成功的用户权限信息，* 然后shiro获取当前方法的返回值后，自动的进行权限效验，如果效验成功* 则正常执行对应的资源；效验失败则报错。*/@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {return null;}
}

• doGetAuthenticationInfo实现用户信息的验证，由于这里是我们自定义的Realm域，我们可以从数据库中拿到账户的信息，然后我们把账户信息放入SimpleAuthenticationInfo中，Shiro会自动帮我们去与登录的信息比对
• 这里可以使用加密，Shiro框架提供了Cryptography密码模块，可以使用MD5加密，加盐，迭代加密等待。

这个Realm怎么使用配置，会等下篇文章权限验证底层原理分析完后，一起介绍。