1.实现简单的登录/退出
1.1用maven构建项目,编写pom.xml.下载环境依赖jar包。
项目目录如下:
pom.xml
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd"> <modelVersion>4.0.0</modelVersion> <groupId>com.cwp</groupId> <artifactId>shirodemo</artifactId> <packaging>war</packaging> <version>0.0.1-SNAPSHOT</version> <name>shirodemo Maven Webapp</name> <url>http://maven.apache.org</url> <dependencies> <dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> <version>3.8.1</version> <scope>test</scope> </dependency> <dependency> <groupId>commons-logging</groupId> <artifactId>commons-logging</artifactId> <version>1.1.3</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.2.2</version> </dependency> </dependencies> <build> <finalName>shirodemo</finalName> </build> </project>
1.2使用ini配置文件,通过[users]指定了两个主体:zhang/123、wang/123。
shiro.ini
[users] zhang=123 wang=123
1.3编写测试用例LoginLogoutTest.java
LoginLogoutTest.java
package shirodemo.test; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.config.IniSecurityManagerFactory; import org.apache.shiro.subject.Subject; import org.apache.shiro.util.Factory; import org.junit.Test; import junit.framework.Assert; import junit.framework.TestCase; public class LoginLogoutTest { @Test public void testHelloworld(){ //1.获取SecurityManager工厂,此处使用ini配置文件初始化SecurityManager Factory<org.apache.shiro.mgt.SecurityManager> factory=new IniSecurityManagerFactory("classpath:shiro.ini"); //2.得到SecurityManager实例 org.apache.shiro.mgt.SecurityManager securityManager =factory.getInstance(); //3.绑定给SecurityUtils SecurityUtils.setSecurityManager(securityManager); //4.得到Subject Subject subject =SecurityUtils.getSubject(); UsernamePasswordToken token =new UsernamePasswordToken("zhang","123"); try { //5.登录进行身份验证 subject.login(token); } catch (AuthenticationException e) { // 身份验证失败 System.out.println("身份登录失败"); } //断言:期待结果,实际结果 是否相等,下面 true 是期待结果,后面是条件语句,二者不等程序会报异常,可以自定义异常的提示语,true前可设置该参数 Assert.assertEquals(true, subject.isAuthenticated());//断言用户已经登录,isAuthenticated()当前用户是否已通过身份验证 TestCase.assertEquals(true, subject.isAuthenticated()); //登录推出 subject.logout(); } }
1、首先通过new IniSecurityManagerFactory并指定一个ini配置文件来创建一个SecurityManager工厂;
2、接着获取SecurityManager并绑定到SecurityUtils,这是一个全局设置,设置一次即可;
3、通过SecurityUtils得到Subject,其会自动绑定到当前线程;如果在web环境在请求结束时需要解除绑定;然后获取身份验证的Token,如用户名/密码;
4、调用subject.login方法进行登录,其会自动委托给SecurityManager.login方法进行登录;
5、如果身份验证失败请捕获AuthenticationException或其子类,常见的如: DisabledAccountException(禁用的帐号)、LockedAccountException(锁定的帐号)、UnknownAccountException(错误的帐号)、ExcessiveAttemptsException(登录失败次数过多)、IncorrectCredentialsException (错误的凭证)、ExpiredCredentialsException(过期的凭证)等,具体请查看其继承关系;对于页面的错误消息展示,最好使用如“用户名/密码错误”而不是“用户名错误”/“密码错误”,防止一些恶意用户非法扫描帐号库;
6、最后可以调用subject.logout退出,其会自动委托给SecurityManager.logout方法退出。