shiro入门之身份验证

最新推荐文章于 2024-07-18 16:21:56 发布

转载最新推荐文章于 2024-07-18 16:21:56 发布 · 264 阅读

本文详细介绍了Apache Shiro框架的认证流程，包括配置SecurityManager、身份验证、异常处理及登出过程。并通过一个示例展示了如何使用Shiro进行用户认证。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

大体步骤如下：
1.首先通过new IniSecurityManagerFactory 并指定一个ini 配置文件来创建一个SecurityManager工厂；
2.接着获取SecurityManager并绑定到SecurityUtils，这是一个全局设置，设置一次即可；
3、通过SecurityUtils得到Subject，其会自动绑定到当前线程；如果在web环境在请求结束时需要解除绑定；然后获取身份验证的Token，如用户名/密码；
4、调用subject.login 方法进行登录，其会自动委托给SecurityManager.login方法进行登录；
5、如果身份验证失败请捕获AuthenticationException 或其子类，常见的如：
DisabledAccountException（禁用的帐号）、LockedAccountException（锁定的帐号）、
UnknownAccountException（错误的帐号）、ExcessiveAttemptsException（登录失败次数过
多）、IncorrectCredentialsException （错误的凭证）、ExpiredCredentialsException（过期的
凭证）等，具体请查看其继承关系；对于页面的错误消息展示，最好使用如“用户名/密码
错误”而不是“用户名错误”/“密码错误”，防止一些恶意用户非法扫描帐号库；

6、最后可以调用subject.logout退出，其会自动委托给SecurityManager.logout方法退出。

示例

1.添加junit、common-logging及shiro-core 依赖

<dependencies>
        <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <version>4.9</version>
        </dependency>
        <dependency>
            <groupId>commons-logging</groupId>
            <artifactId>commons-logging</artifactId>
            <version>1.1.3</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-core</artifactId>
            <version>1.2.2</version>
        </dependency>
    </dependencies>

2.准备一些用户身份/凭据（shiro.ini）

[users]
zhang=123
wang=123

3.测试用例

package me.shijunjie.testshiro;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;

import junit.framework.Assert;

public class TestShiro {
    @Test
    public void testHelloworld() {
        // 1、获取SecurityManager工厂，此处使用Ini配置文件初始化SecurityManager
        Factory<org.apache.shiro.mgt.SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        //2、得到SecurityManager实例并绑定给SecurityUtils
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
        //3、得到Subject及创建用户名/密码身份验证Token（即用户身份/凭证）
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("zhang", "1223");
        
        try {
        //4、登录，即身份验证
        subject.login(token);
        } catch (AuthenticationException e) {
          //5、身份验证失败
            System.out.println("身份验证失败");
        }
        
        //断言用户已经登录
        Assert.assertEquals(true, subject.isAuthenticated());
        
        subject.logout();
    }
}