• shrio初体验(1)


    public class LoginTest {

     

    @Test

    public void testLogin(){

     

    //1.获取SecurityManager工厂,使用初始化文件初始化测试用户

    Factory<SecurityManager> factory=new IniSecurityManagerFactory("classpath:shiro.ini");  

    //2.创建SecurityManager实例,并绑定到SecurityUtils上面

    SecurityManager securityManager=factory.getInstance();

    SecurityUtils.setSecurityManager(securityManager);

    //3.通过SecurityUtils可以获得Subject

    Subject subject=SecurityUtils.getSubject();

    //在Subject可以获得登录的用户名的用户密码,创建一个访问令牌

    UsernamePasswordToken token=new UsernamePasswordToken("LV",123+"");

     

    //身份验证

    subject.login(token);

    System.out.println("session===="+subject.getSession());

    //测试是否登录

    Assert.assertTrue(subject.isAuthenticated());

     

     

    subject.logout();

    //Assert.assertTrue(subject.isAuthenticated());

     

     整个过程:

    1、首先通过new IniSecurityManagerFactory并指定一个ini配置文件来创建一个SecurityManager工厂;

    2、接着获取SecurityManager并绑定到SecurityUtils,这是一个全局设置,设置一次即可;

    3、通过SecurityUtils得到Subject,其会自动绑定到当前线程;如果在web环境在请求结束时需要解除绑定;然后获取身份验证的Token,如用户名/密码;

    4、调用subject.login方法进行登录,其会自动委托给SecurityManager.login方法进行登录;

    5、如果身份验证失败请捕获AuthenticationException或其子类,常见的如: DisabledAccountException(禁用的帐号)、LockedAccountException(锁定的帐号)、UnknownAccountException(错误的帐号)、ExcessiveAttemptsException(登录失败次数过多)、IncorrectCredentialsException (错误的凭证)、ExpiredCredentialsException(过期的凭证)等,具体请查看其继承关系;对于页面的错误消息展示,最好使用如“用户名/密码错误”而不是“用户名错误”/“密码错误”,防止一些恶意用户非法扫描帐号库;

    6、最后可以调用subject.logout退出,其会自动委托给SecurityManager.logout方法退出。

    从如上代码可总结出身份验证的步骤:

    1、收集用户身份/凭证,即如用户名/密码;

    2、调用Subject.login进行登录,如果失败将得到相应的AuthenticationException异常,根据异常提示用户错误信息;否则登录成功;

    3、最后调用Subject.logout进行退出操作。

    如上测试的几个问题:

    1、用户名/密码硬编码在ini配置文件,以后需要改成如数据库存储,且密码需要加密存储;

    2、用户身份Token可能不仅仅是用户名/密码,也可能还有其他的,如登录时允许用户名/邮箱/手机号同时登录。 

     身份认证流程

    流程如下:

    1、首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前必须通过SecurityUtils. setSecurityManager()设置;

    2、SecurityManager负责真正的身份验证逻辑;它会委托给Authenticator进行身份验证;

    3、Authenticator才是真正的身份验证者,Shiro API中核心的身份认证入口点,此处可以自定义插入自己的实现;

    4、Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证,默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证;

    5、Authenticator会把相应的token传入Realm,从Realm获取身份验证信息,如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm,将按照相应的顺序及策略进行访问。

    }

    }

  • 相关阅读:
    windows照样命令行gcc/g++
    我的Linux(Ubuntu)首秀
    简单分频原理与实现——计数器
    时序分析之Arrival Time
    DDS正弦信号发生器
    C/C++ 预处理器
    时序分析之Slack
    iOS单例
    static
    深浅拷贝
  • 原文地址:https://www.cnblogs.com/LvLoveYuForever/p/6207947.html
Copyright © 2020-2023  润新知