码迷,mamicode.com
首页 > 其他好文 > 详细

shiro认证

时间:2015-04-22 15:20:59      阅读:157      评论:0      收藏:0      [点我收藏+]

标签:

一,什么是认证

   认证——验证用户身份合法性。认证过程中,用户需要提供principals(身份实体信息)credentials(凭据实体信息)。常用的是“实体/凭证”组合,即“用户名/密码”组合。

 

二、名词解释:

    principal:身份(主体的标识属性),如:用户名、手机号、邮箱等(唯一)。

    credentials:凭证(只有主体知道的安全值),如密码/数字证书等。

 

三、认证过程

 

1,收集实体/凭据信息

2,提交实体/凭据信息

3,认证处理——提交成功,允许访问;否则重新进行身份认证或阻止访问

 

1,收集实体/凭据信息

             UsernamePasswordTokentoken = new UsernamePasswordToken(

user.getUsercode(),EncryptUtils.encryptMD5(user.getPassword()));

token.setRememberMe(true);

 

2,提交实体/凭据信息

           SubjectcurrentUser = SecurityUtils.getSubject();

            currentuser.login(token);

3,认证处理——提交成功,允许访问;否则重新进行身份认证或阻止访问

          try {

               currentUser.login(token);

 } catch ( UnknownAccountException uae ) { ...

 } catch ( IncorrectCredentialsException ice ){ ...

 } catch (LockedAccountException lae ) { ...

 } catch (ExcessiveAttemptsException eae ) { ...

 } catch your own ...

 } catch (AuthenticationException ae ) {

    }

 

流程总结:

1、首先收集实体/凭据信息,再通过Subject.login(token)提交认证进行登录,其会自动委托给 Security Manager

2SecurityManager负责真正的身份验证逻辑;它会委托给 Authenticator进行身份验证subject.isAuthenticated()判断用户是否已验证都将返回 trueSubject.login(token)顺利执行,并没有抛出任何异常,即认证通过;

注:(1Authenticator才是真正的身份验证者,Shiro API 中核心的身份认证入口点,此处可以自定义插入自己的实现;

        2Authenticator可能会委托给相应的 AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用 AuthenticationStrategy进行多 Realm 身份验证;

          3Authenticator会把相应的 token 传入 Realm,从 Realm获取身份验证信息,如果没有返/抛出异常表示身份验证失败了。此处可以配置多个 Realm,将按照相应的顺序及策略进行访问。

  

四,部分示例代码


Controller:通过 SecurityUtils 工具类从登陆页获取用户名、密码,通过currentUser.login(token)提交认证。

@Controller
@RequestMapping(value= "login")
public classLoginController {
/*
 * @Autowired User user;
 */
/**
 * 用户登录
 *
 * @param user
   *            登录用户
 * @return
 */
@RequestMapping(params= "main")
publicModelAndView login(User user,HttpSession session, HttpServletRequest request) {
 
ModelAndViewmodelView = new ModelAndView();
SubjectcurrentUser = SecurityUtils.getSubject();
UsernamePasswordTokentoken = new UsernamePasswordToken(
user.getUsercode(),EncryptUtils.encryptMD5(user.getPassword()));
token.setRememberMe(true);
              try {
                     currentUser.login(token);
              } catch ( UnknownAccountException uae ) { ...
              } catch (IncorrectCredentialsException ice ) { ...
              } catch (LockedAccountException lae ) { ...
              } catch (ExcessiveAttemptsException eae ) { ...
              } catchyour own ...
              } catch (AuthenticationException ae ) {
              }
        }

自定义Realm实现:

@Service("monitorRealm")
public class MonitorRealm extends AuthorizingRealm {
   
  @Resource
   private UserService userService;
 
  //登录认证
   @Override
   protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)throws AuthenticationException {
 
       UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
       String username = String.valueOf(usernamePasswordToken.getUsername());
       User user = userService.findByUserName(username); //业务方法,通过用户名获取用户实体信息
       AuthenticationInfo authenticationInfo = null;
       if (null != user) {
           String password = new String(usernamePasswordToken.getPassword());
           if (password.equals(user.getPassword())) {
               authenticationInfo = new SimpleAuthenticationInfo(user.getUsername(),user.getPassword(), getName());
           }
       }
       return authenticationInfo;
   }
 
 
}


五,总结

   通过shiro提供的实体及API进行身份认证。



shiro认证

标签:

原文地址:http://blog.csdn.net/hanxuemin12345/article/details/45192715

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!