1.Authentication:用户认证
验证用户是否合法
需要提交身份和凭证给shiro。
principals用户的身份信息,是Subject的标识属性,能够唯一标识Subject。如:电话号码,身份证号码,邮箱。
credentials:证明 / 凭证
就是密码,只被Subject知道的秘密值,可以是密码,也可以是数字证书等。
principals/credentials最常见的组合:用户名/密码。在shiro中通常使用UsernamePasswordToken来指定身份和凭证信息。
2.在shiro中用户的认证流程
微信截图_20190701151423.png3.代码实现
a)新建java项目
b)导入shiro相关jar包
c)编写shiro的数据文件
d)编码测试
pom文件
<dependencies>
<dependency>
<groupId>junit</groupId>
<artifactId>junit</artifactId>
<version>4.11</version>
<scope>test</scope>
</dependency>
<dependency>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
<version>1.1.3</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.2.2</version>
</dependency>
</dependencies>
shiro.ini文件
[users]
zhang=123
wang=1234
shiro代码
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
public class AuthenticationDemo {
public static void main(String[] args) {
//1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
Factory<SecurityManager> factory= new IniSecurityManagerFactory("classpath:shiro.ini");
//2、得到SecurityManager实例 并绑定给SecurityUtils
SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
//3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)
Subject subject = SecurityUtils.getSubject();
//4、假如登陆用户名密码为zhang=123,这个地方的zhang、123表示用户在网页登陆时输入的账号密码,而shiro.ini文件中的信息相当于数据库中的存放的信息
UsernamePasswordToken token = new UsernamePasswordToken("zhang", "1234");
try{
//进行用户身份验证
subject.login(token);
//通过Subject来判断是否登陆成功
if(subject.isAuthenticated()){
System.out.println("用户登陆成功");
}
}catch (AuthenticationException e){
e.printStackTrace();
System.out.println("用户名或密码不正确");
}
}
}
4.常见的异常及处理
在认证过程中有一个父异常:AuthenticationException
该异常有几个子类分别对应不同的异常情况
微信截图_20190701161143.png
a)DisabledAccountException账户失效异常
b)ExcessiveAttemptsException尝试次数过多
c)UnknownAccountException用户不正确
d)ExpiredCredentialsException凭证过期
e)IncorrectCredentialsException凭证不正确
虽然shiro为每一种异常都提供了准确的异常类,但是在填写代码过程中,应提示给用户的异常信息为模糊的,这样有助于安全。
网友评论