1.Authentication：用户认证

验证用户是否合法

需要提交身份和凭证给shiro。

principals用户的身份信息，是Subject的标识属性，能够唯一标识Subject。如：电话号码，身份证号码，邮箱。

credentials：证明 / 凭证
就是密码，只被Subject知道的秘密值，可以是密码，也可以是数字证书等。

principals/credentials最常见的组合：用户名/密码。在shiro中通常使用UsernamePasswordToken来指定身份和凭证信息。

2.在shiro中用户的认证流程

微信截图_20190701151423.png

3.代码实现

a）新建java项目
b）导入shiro相关jar包
c）编写shiro的数据文件
d）编码测试

pom文件

<dependencies>
    <dependency>
      <groupId>junit</groupId>
      <artifactId>junit</artifactId>
      <version>4.11</version>
      <scope>test</scope>
    </dependency>
    <dependency>
      <groupId>commons-logging</groupId>
      <artifactId>commons-logging</artifactId>
      <version>1.1.3</version>
    </dependency>
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-core</artifactId>
      <version>1.2.2</version>
    </dependency>
  </dependencies>

shiro.ini文件

[users]
zhang=123
wang=1234

shiro代码

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;

public class AuthenticationDemo {
    public static void main(String[] args) {
        //1、获取SecurityManager工厂，此处使用Ini配置文件初始化SecurityManager
        Factory<SecurityManager> factory= new IniSecurityManagerFactory("classpath:shiro.ini");

        //2、得到SecurityManager实例 并绑定给SecurityUtils
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);

        //3、得到Subject及创建用户名/密码身份验证Token（即用户身份/凭证）
        Subject subject = SecurityUtils.getSubject();

        //4、假如登陆用户名密码为zhang=123，这个地方的zhang、123表示用户在网页登陆时输入的账号密码，而shiro.ini文件中的信息相当于数据库中的存放的信息
        UsernamePasswordToken token = new UsernamePasswordToken("zhang", "1234");

        try{
            //进行用户身份验证
            subject.login(token);
            //通过Subject来判断是否登陆成功
            if(subject.isAuthenticated()){
                System.out.println("用户登陆成功");
            }
        }catch (AuthenticationException e){
            e.printStackTrace();
            System.out.println("用户名或密码不正确");
        }
    }
}

4.常见的异常及处理

在认证过程中有一个父异常：AuthenticationException
该异常有几个子类分别对应不同的异常情况

微信截图_20190701161143.png

a）DisabledAccountException账户失效异常
b）ExcessiveAttemptsException尝试次数过多
c）UnknownAccountException用户不正确
d）ExpiredCredentialsException凭证过期
e）IncorrectCredentialsException凭证不正确
虽然shiro为每一种异常都提供了准确的异常类，但是在填写代码过程中，应提示给用户的异常信息为模糊的，这样有助于安全。