美文网首页工作生活
2.Shiro的用户认证

2.Shiro的用户认证

作者: __元昊__ | 来源:发表于2019-07-01 16:38 被阅读0次

    1.Authentication:用户认证

    验证用户是否合法

    需要提交身份和凭证给shiro。

    principals用户的身份信息,是Subject的标识属性,能够唯一标识Subject。如:电话号码,身份证号码,邮箱。

    credentials:证明 / 凭证
    就是密码,只被Subject知道的秘密值,可以是密码,也可以是数字证书等。

    principals/credentials最常见的组合:用户名/密码。在shiro中通常使用UsernamePasswordToken来指定身份和凭证信息。

    2.在shiro中用户的认证流程

    微信截图_20190701151423.png

    3.代码实现

    a)新建java项目
    b)导入shiro相关jar包
    c)编写shiro的数据文件
    d)编码测试

    pom文件

    <dependencies>
        <dependency>
          <groupId>junit</groupId>
          <artifactId>junit</artifactId>
          <version>4.11</version>
          <scope>test</scope>
        </dependency>
        <dependency>
          <groupId>commons-logging</groupId>
          <artifactId>commons-logging</artifactId>
          <version>1.1.3</version>
        </dependency>
        <dependency>
          <groupId>org.apache.shiro</groupId>
          <artifactId>shiro-core</artifactId>
          <version>1.2.2</version>
        </dependency>
      </dependencies>
    

    shiro.ini文件

    [users]
    zhang=123
    wang=1234
    

    shiro代码

    import org.apache.shiro.SecurityUtils;
    import org.apache.shiro.authc.AuthenticationException;
    import org.apache.shiro.authc.UsernamePasswordToken;
    import org.apache.shiro.config.IniSecurityManagerFactory;
    import org.apache.shiro.mgt.SecurityManager;
    import org.apache.shiro.subject.Subject;
    import org.apache.shiro.util.Factory;
    
    public class AuthenticationDemo {
        public static void main(String[] args) {
            //1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
            Factory<SecurityManager> factory= new IniSecurityManagerFactory("classpath:shiro.ini");
    
            //2、得到SecurityManager实例 并绑定给SecurityUtils
            SecurityManager securityManager = factory.getInstance();
            SecurityUtils.setSecurityManager(securityManager);
    
            //3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)
            Subject subject = SecurityUtils.getSubject();
    
            //4、假如登陆用户名密码为zhang=123,这个地方的zhang、123表示用户在网页登陆时输入的账号密码,而shiro.ini文件中的信息相当于数据库中的存放的信息
            UsernamePasswordToken token = new UsernamePasswordToken("zhang", "1234");
    
            try{
                //进行用户身份验证
                subject.login(token);
                //通过Subject来判断是否登陆成功
                if(subject.isAuthenticated()){
                    System.out.println("用户登陆成功");
                }
            }catch (AuthenticationException e){
                e.printStackTrace();
                System.out.println("用户名或密码不正确");
            }
        }
    }
    

    4.常见的异常及处理

    在认证过程中有一个父异常:AuthenticationException
    该异常有几个子类分别对应不同的异常情况


    微信截图_20190701161143.png

    a)DisabledAccountException账户失效异常
    b)ExcessiveAttemptsException尝试次数过多
    c)UnknownAccountException用户不正确
    d)ExpiredCredentialsException凭证过期
    e)IncorrectCredentialsException凭证不正确
    虽然shiro为每一种异常都提供了准确的异常类,但是在填写代码过程中,应提示给用户的异常信息为模糊的,这样有助于安全。

    相关文章

      网友评论

        本文标题:2.Shiro的用户认证

        本文链接:https://www.haomeiwen.com/subject/hjigcctx.html