身份认证原理"/>
Shiro 身份认证原理
上篇文章已经介绍了Shiro的基础功能 ,这篇文章内容会针对Shiro身份认证原理。
环境
基于SpringBoot开发
Shiro需要的依赖:
<dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-spring-boot-web-starter</artifactId><version>1.4.2</version>
</dependency>
Shiro的身份认证底层实现流程:
-
SecurityUtils:它是一个抽象对象,内置了SecurityManager,而SecurityManager是Shiro的核心,Shiro所有的功能实现都由SecurityManager管理实现,SecurityUtils中的SecurityManager是静态的,这意味着SecurityManager是全局唯一的,它是由Spring容器加载时而创建的。
SecurityUtils中还含有一个静态方法getSubject(),通过该方法可以获得Subject对象,Subject对象是外界调用Shiro的方法的桥梁。
public abstract class SecurityUtils {private static SecurityManager securityManager;public SecurityUtils() {}public static Subject getSubject() {Subject subject = ThreadContext.getSubject();if (subject == null) {subject = (new Builder()).buildSubject();ThreadContext.bind(subject);}return subject;} }
-
当我们得到了Subject对象,就可以去使用Shiro的登录方法login(),login()方法会带着登录需要验证的信息既 用户名和密码,这里Shiro提供了AuthenticationToken对象,我们将信息放入即可。
AuthenticationToken token = new UsernamePasswordToken(uname, pwd);
login会调用Shiro集成好的登录验证方法,方法如下,AuthorizingRealm会继承AuthenticatingRealm
AuthenticatingRealm:用于认证的Realm AuthorizingRealm:用于授权和认证的realm
登录验证身份时,会调用AuthenticatingRealm中的doGetAuthenticationInfo()方法,验证成功会返回含有身份信息的AuthenticationInfo
public abstract class AuthenticatingRealm extends CachingRealm implements Initializable {protected abstract AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken var1) throws AuthenticationException; }
到这里可能会有疑问,上面我们把带着用户和密码的AuthenticationToken拿去登录了,它是怎么验证正不正确的,我们也没有提供用户名和密码数据啊?
是这样的,Shiro验证数据配置是ini配置文件,如果我们直接这样去使用login()登录,Shiro会拿着登录名和密码去配置文件中的数据比对,配置文件如下(下面会慢慢展开数据库数据验证,这里只是分析底层):
[users]
zhangsan=zs
lisi=ls
这个配置文件就不去解释,实际开发中不会使用这个,我们知道原理即可。
-
login()方法登录成功会返回AuthenticationInfo信息,登录不成功咋办?Subject的login()方法是无返回值的,登录失败会有相应的异常,我们通过异常来判断相应的登录失败信息,常见异常如下:
异常 描述 UnknownAccountException 账号验证错误,账号不存在 IncorrectCredentialsException 密码错误 UnauthorizedException 权限不足 -
到这里我们已经分析完了Shiro登录底层实现原理,实际开发中,我们并不会使用配置文件来存储用户密码,一般都是方法数据库中,那要如何实现呢?
Shiro身份验证的开发环境实现
Shiro底层验证用户身份会通过配置的用户数据,但我们实际开发中用户数据都存放在数据库,我们如果想实现就需要去重写AuthenticatingRealm和AuthorizingRealm这两个域,其中AuthorizingRealm继承了AuthenticatingRealm,我们只要去实现AuthorizingRealm的重写完成自定义的Realm域。
@Component
public class MyRealm extends AuthorizingRealm {/*** 登录认证自定义逻辑方法* 自定义登录认证的逻辑,配置生效后,当shiro的login方法被执行时,底层会* 自动的调用该方法完成登录认证,而不是使用shiro自己内置的登录认证逻辑*/@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {//获取用户的登录名String uname = token.getPrincipal().toString();//根据用户名从数据库获取用户信息User user = userService.selUserInfoService(uname);if (user != null) {AuthenticationInfo info=new SimpleAuthenticationInfo(token.getPrincipal(),user.getPwd(),token.getPrincipal().toString());return info;}return null;}/*** 自定义授权方法* 每一个授权都会走到这里验证* 该方法是有shiro自动触发,调用该方法获取当前认证成功的用户权限信息,* 然后shiro获取当前方法的返回值后,自动的进行权限效验,如果效验成功* 则正常执行对应的资源;效验失败则报错。*/@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {return null;}
}
- doGetAuthenticationInfo实现用户信息的验证,由于这里是我们自定义的Realm域,我们可以从数据库中拿到账户的信息,然后我们把账户信息放入SimpleAuthenticationInfo中,Shiro会自动帮我们去与登录的信息比对
- 这里可以使用加密,Shiro框架提供了Cryptography密码模块,可以使用MD5加密,加盐,迭代加密等待。
这个Realm怎么使用配置,会等下篇文章权限验证底层原理分析完后,一起介绍。
更多推荐
Shiro 身份认证原理
发布评论