第二章 身份驗(yàn)證——跟我學(xué)習(xí)springmvc shiro mybatis

身份驗(yàn)證，即在應(yīng)用中誰(shuí)能證明他就是他本人。一般提供如他們的身份ID一些標(biāo)識(shí)信息來(lái)表明他就是他本人，如提供×××，用戶名/密碼來(lái)證明。

在shiro中，用戶需要提供principals （身份）和credentials（證明）給shiro，從而應(yīng)用能驗(yàn)證用戶身份：

principals：身份，即主體的標(biāo)識(shí)屬性，可以是任何東西，如用戶名、郵箱等，唯一即可。一個(gè)主體可以有多個(gè)principals，但只有一個(gè)Primary principals，一般是用戶名/密碼/手機(jī)號(hào)。

credentials：證明/憑證，即只有主體知道的安全值，如密碼/數(shù)字證書(shū)等。

最常見(jiàn)的principals和credentials組合就是用戶名/密碼了。接下來(lái)先進(jìn)行一個(gè)基本的身份認(rèn)證。

另外兩個(gè)相關(guān)的概念是之前提到的Subject及Realm，分別是主體及驗(yàn)證主體的數(shù)據(jù)源。

2.2  環(huán)境準(zhǔn)備

本文使用Maven構(gòu)建，因此需要一點(diǎn)Maven知識(shí)。首先準(zhǔn)備環(huán)境依賴： 

Java代碼 

1.   

2.       

3.         junit

4.         junit

5.         4.9

6.     

7.       

8.         commons-logging

9.         commons-logging

10.         1.1.3

11.     

12.       

13.         org.apache.shiro

14.         shiro-core

15.         1.2.2

16.     

添加junit、common-logging及shiro-core依賴即可。

2.3  登錄/退出

1、首先準(zhǔn)備一些用戶身份/憑據(jù)（shiro.ini）

Java代碼 

1. [users]  

2. zhang=123  

3. wang=123  

此處使用ini配置文件，通過(guò)[users]指定了兩個(gè)主體：zhang/123、wang/123。

2、測(cè)試用例（com.github.zhangkaitao.shiro.chapter2.LoginLogoutTest） 

Java代碼 

1. @Test  

2. public void testHelloworld() {  

3.     //1、獲取SecurityManager工廠，此處使用Ini配置文件初始化SecurityManager  

4.     Factory factory =  .apache.shiro.mgt.securitymanager>

5.             new IniSecurityManagerFactory("classpath:shiro.ini");  

6.     //2、得到SecurityManager實(shí)例 并綁定給SecurityUtils  

7.     org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();  

8.     SecurityUtils.setSecurityManager(securityManager);  

9.     //3、得到Subject及創(chuàng)建用戶名/密碼身份驗(yàn)證Token（即用戶身份/憑證）  

10.     Subject subject = SecurityUtils.getSubject();  

11.     UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");  

13.     try {  

14.         //4、登錄，即身份驗(yàn)證  

15.         subject.login(token);  

16.     } catch (AuthenticationException e) {  

17.         //5、身份驗(yàn)證失敗  

18.     }  

20.     Assert.assertEquals(true, subject.isAuthenticated()); //斷言用戶已經(jīng)登錄  

22.     //6、退出  

23.     subject.logout();  

24. }  

2.1、首先通過(guò)new IniSecurityManagerFactory并指定一個(gè)ini配置文件來(lái)創(chuàng)建一個(gè)SecurityManager工廠；

2.2、接著獲取SecurityManager并綁定到SecurityUtils，這是一個(gè)全局設(shè)置，設(shè)置一次即可；

2.3、通過(guò)SecurityUtils得到Subject，其會(huì)自動(dòng)綁定到當(dāng)前線程；如果在web環(huán)境在請(qǐng)求結(jié)束時(shí)需要解除綁定；然后獲取身份驗(yàn)證的Token，如用戶名/密碼；

2.4、調(diào)用subject.login方法進(jìn)行登錄，其會(huì)自動(dòng)委托給SecurityManager.login方法進(jìn)行登錄；

2.5、如果身份驗(yàn)證失敗請(qǐng)捕獲AuthenticationException或其子類，常見(jiàn)的如： DisabledAccountException（禁用的帳號(hào)）、LockedAccountException（鎖定的帳號(hào)）、UnknownAccountException（錯(cuò)誤的帳號(hào)）、ExcessiveAttemptsException（登錄失敗次數(shù)過(guò)多）、IncorrectCredentialsException （錯(cuò)誤的憑證）、ExpiredCredentialsException（過(guò)期的憑證）等，具體請(qǐng)查看其繼承關(guān)系；對(duì)于頁(yè)面的錯(cuò)誤消息展示，最好使用如“用戶名/密碼錯(cuò)誤”而不是“用戶名錯(cuò)誤”/“密碼錯(cuò)誤”，防止一些惡意用戶非法掃描帳號(hào)庫(kù)；

2.6、最后可以調(diào)用subject.logout退出，其會(huì)自動(dòng)委托給SecurityManager.logout方法退出。

從如上代碼可總結(jié)出身份驗(yàn)證的步驟：

1、收集用戶身份/憑證，即如用戶名/密碼；

2、調(diào)用Subject.login進(jìn)行登錄，如果失敗將得到相應(yīng)的AuthenticationException異常，根據(jù)異常提示用戶錯(cuò)誤信息；否則登錄成功；

3、最后調(diào)用Subject.logout進(jìn)行退出操作。

如上測(cè)試的幾個(gè)問(wèn)題：

1、用戶名/密碼硬編碼在ini配置文件，以后需要改成如數(shù)據(jù)庫(kù)存儲(chǔ)，且密碼需要加密存儲(chǔ)；

2、用戶身份Token可能不僅僅是用戶名/密碼，也可能還有其他的，如登錄時(shí)允許用戶名/郵箱/手機(jī)號(hào)同時(shí)登錄。 

2.4  身份認(rèn)證流程

流程如下：

1、首先調(diào)用Subject.login(token)進(jìn)行登錄，其會(huì)自動(dòng)委托給Security Manager，調(diào)用之前必須通過(guò)SecurityUtils. setSecurityManager()設(shè)置；

2、SecurityManager負(fù)責(zé)真正的身份驗(yàn)證邏輯；它會(huì)委托給Authenticator進(jìn)行身份驗(yàn)證；

3、Authenticator才是真正的身份驗(yàn)證者，Shiro API中核心的身份認(rèn)證入口點(diǎn)，此處可以自定義插入自己的實(shí)現(xiàn)；

4、Authenticator可能會(huì)委托給相應(yīng)的AuthenticationStrategy進(jìn)行多Realm身份驗(yàn)證，默認(rèn)ModularRealmAuthenticator會(huì)調(diào)用AuthenticationStrategy進(jìn)行多Realm身份驗(yàn)證；

5、Authenticator會(huì)把相應(yīng)的token傳入Realm，從Realm獲取身份驗(yàn)證信息，如果沒(méi)有返回/拋出異常表示身份驗(yàn)證失敗了。此處可以配置多個(gè)Realm，將按照相應(yīng)的順序及策略進(jìn)行訪問(wèn)。

2.5  Realm

Realm：域，Shiro從從Realm獲取安全數(shù)據(jù)（如用戶、角色、權(quán)限），就是說(shuō)SecurityManager要驗(yàn)證用戶身份，那么它需要從Realm獲取相應(yīng)的用戶進(jìn)行比較以確定用戶身份是否合法；也需要從Realm得到用戶相應(yīng)的角色/權(quán)限進(jìn)行驗(yàn)證用戶是否能進(jìn)行操作；可以把Realm看成DataSource，即安全數(shù)據(jù)源。如我們之前的ini配置方式將使用org.apache.shiro.realm.text.IniRealm。

org.apache.shiro.realm.Realm接口如下： 

Java代碼 

1. String getName(); //返回一個(gè)唯一的Realm名字  

2. boolean supports(AuthenticationToken token); //判斷此Realm是否支持此Token  

3. AuthenticationInfo getAuthenticationInfo(AuthenticationToken token)  

4.  throws AuthenticationException;  //根據(jù)Token獲取認(rèn)證信息  

單Realm配置

1、自定義Realm實(shí)現(xiàn)（com.github.zhangkaitao.shiro.chapter2.realm.MyRealm1）：  

Java代碼 

1. public class MyRealm1 implements Realm {  

2.     @Override

3.     public String getName() {  

4.         return "myrealm1";  

5.     }  

6.     @Override

7.     public boolean supports(AuthenticationToken token) {  

8.         //僅支持UsernamePasswordToken類型的Token  

9.         return token instanceof UsernamePasswordToken;   

10.     }  

11.     @Override

12.     public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {  

13.         String username = (String)token.getPrincipal();  //得到用戶名  

14.         String password = new String((char[])token.getCredentials()); //得到密碼  

15.         if(!"zhang".equals(username)) {  

16.             throw new UnknownAccountException(); //如果用戶名錯(cuò)誤  

17.         }  

18.         if(!"123".equals(password)) {  

19.             throw new IncorrectCredentialsException(); //如果密碼錯(cuò)誤  

20.         }  

21.         //如果身份認(rèn)證驗(yàn)證成功，返回一個(gè)AuthenticationInfo實(shí)現(xiàn)；  

22.         return new SimpleAuthenticationInfo(username, password, getName());  

23.     }  

24. }   

2、ini配置文件指定自定義Realm實(shí)現(xiàn)(shiro-realm.ini)  

Java代碼 

1. #聲明一個(gè)realm  

2. myRealm1=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm1  

3. #指定securityManager的realms實(shí)現(xiàn)  

4. securityManager.realms=$myRealm1   

通過(guò)$name來(lái)引入之前的realm定義

3、測(cè)試用例請(qǐng)參考com.github.zhangkaitao.shiro.chapter2.LoginLogoutTest的testCustomRealm測(cè)試方法，只需要把之前的shiro.ini配置文件改成shiro-realm.ini即可。

多Realm配置

1、ini配置文件（shiro-multi-realm.ini）  

Java代碼 

1. #聲明一個(gè)realm  

2. myRealm1=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm1  

3. myRealm2=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm2  

4. #指定securityManager的realms實(shí)現(xiàn)  

5. securityManager.realms=$myRealm1,$myRealm2   

securityManager會(huì)按照realms指定的順序進(jìn)行身份認(rèn)證。此處我們使用顯示指定順序的方式指定了Realm的順序，如果刪除“securityManager.realms=$myRealm1,$myRealm2”，那么securityManager會(huì)按照realm聲明的順序進(jìn)行使用（即無(wú)需設(shè)置realms屬性，其會(huì)自動(dòng)發(fā)現(xiàn)），當(dāng)我們顯示指定realm后，其他沒(méi)有指定realm將被忽略，如“securityManager.realms=$myRealm1”，那么myRealm2不會(huì)被自動(dòng)設(shè)置進(jìn)去。

2、測(cè)試用例請(qǐng)參考com.github.zhangkaitao.shiro.chapter2.LoginLogoutTest的testCustomMultiRealm測(cè)試方法。

Shiro默認(rèn)提供的Realm

以后一般繼承AuthorizingRealm（授權(quán)）即可；其繼承了AuthenticatingRealm（即身份驗(yàn)證），而且也間接繼承了CachingRealm（帶有緩存實(shí)現(xiàn)）。其中主要默認(rèn)實(shí)現(xiàn)如下：

org.apache.shiro.realm.text.IniRealm：[users]部分指定用戶名/密碼及其角色；[roles]部分指定角色即權(quán)限信息；

org.apache.shiro.realm.text.PropertiesRealm： user.username=password,role1,role2指定用戶名/密碼及其角色；role.role1=permission1,permission2指定角色及權(quán)限信息；

org.apache.shiro.realm.jdbc.JdbcRealm：通過(guò)sql查詢相應(yīng)的信息，如“select password from users where username = ?”獲取用戶密碼，“select password, password_salt from users where username = ?”獲取用戶密碼及鹽；“select role_name from user_roles where username = ?”獲取用戶角色；“select permission from roles_permissions where role_name = ?”獲取角色對(duì)應(yīng)的權(quán)限信息；也可以調(diào)用相應(yīng)的api進(jìn)行自定義sql；

JDBC Realm使用

1、數(shù)據(jù)庫(kù)及依賴

Java代碼 

1.   

2.     mysql

3.     mysql-connector-java

4.     5.1.25

6.   

7.     com.alibaba

8.     druid

9.     0.2.23

本文將使用mysql數(shù)據(jù)庫(kù)及druid連接池； 

2、到數(shù)據(jù)庫(kù)shiro下建三張表：users（用戶名/密碼）、user_roles（用戶/角色）、roles_permissions（角色/權(quán)限），具體請(qǐng)參照shiro-example-chapter2/sql/shiro.sql；并添加一個(gè)用戶記錄，用戶名/密碼為zhang/123；

3、ini配置（shiro-jdbc-realm.ini） 

Java代碼 

1. jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm  

2. dataSource=com.alibaba.druid.pool.DruidDataSource  

3. dataSource.driverClassName=com.mysql.jdbc.Driver  

4. dataSource.url=jdbc:mysql://localhost:3306/shiro  

5. dataSource.username=root  

6. #dataSource.password=  

7. jdbcRealm.dataSource=$dataSource  

8. securityManager.realms=$jdbcRealm   

1、變量名=全限定類名會(huì)自動(dòng)創(chuàng)建一個(gè)類實(shí)例

2、變量名.屬性=值 自動(dòng)調(diào)用相應(yīng)的setter方法進(jìn)行賦值

3、$變量名 引用之前的一個(gè)對(duì)象實(shí)例 

4、測(cè)試代碼請(qǐng)參照com.github.zhangkaitao.shiro.chapter2.LoginLogoutTest的testJDBCRealm方法，和之前的沒(méi)什么區(qū)別。

2.6  Authenticator及AuthenticationStrategy

Authenticator的職責(zé)是驗(yàn)證用戶帳號(hào)，是Shiro API中身份驗(yàn)證核心的入口點(diǎn)： 

Java代碼 

1. public AuthenticationInfo authenticate(AuthenticationToken authenticationToken)  

2.             throws AuthenticationException;   

如果驗(yàn)證成功，將返回AuthenticationInfo驗(yàn)證信息；此信息中包含了身份及憑證；如果驗(yàn)證失敗將拋出相應(yīng)的AuthenticationException實(shí)現(xiàn)。

SecurityManager接口繼承了Authenticator，另外還有一個(gè)ModularRealmAuthenticator實(shí)現(xiàn)，其委托給多個(gè)Realm進(jìn)行驗(yàn)證，驗(yàn)證規(guī)則通過(guò)AuthenticationStrategy接口指定，默認(rèn)提供的實(shí)現(xiàn)：

FirstSuccessfulStrategy：只要有一個(gè)Realm驗(yàn)證成功即可，只返回第一個(gè)Realm身份驗(yàn)證成功的認(rèn)證信息，其他的忽略；

AtLeastOneSuccessfulStrategy：只要有一個(gè)Realm驗(yàn)證成功即可，和FirstSuccessfulStrategy不同，返回所有Realm身份驗(yàn)證成功的認(rèn)證信息；

AllSuccessfulStrategy：所有Realm驗(yàn)證成功才算成功，且返回所有Realm身份驗(yàn)證成功的認(rèn)證信息，如果有一個(gè)失敗就失敗了。

ModularRealmAuthenticator默認(rèn)使用AtLeastOneSuccessfulStrategy策略。

假設(shè)我們有三個(gè)realm：

myRealm1： 用戶名/密碼為zhang/123時(shí)成功，且返回身份/憑據(jù)為zhang/123；

myRealm2： 用戶名/密碼為wang/123時(shí)成功，且返回身份/憑據(jù)為wang/123；

myRealm3： 用戶名/密碼為zhang/123時(shí)成功，且返回身份/憑據(jù)為zhang@163.com/123，和myRealm1不同的是返回時(shí)的身份變了；

1、ini配置文件(shiro-authenticator-all-success.ini) 

Java代碼 

1. #指定securityManager的authenticator實(shí)現(xiàn)  

2. authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator  

3. securityManager.authenticator=$authenticator  

5. #指定securityManager.authenticator的authenticationStrategy  

6. allSuccessfulStrategy=org.apache.shiro.authc.pam.AllSuccessfulStrategy  

7. securityManager.authenticator.authenticationStrategy=$allSuccessfulStrategy  

Java代碼 

1. myRealm1=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm1  

2. myRealm2=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm2  

3. myRealm3=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm3  

4. securityManager.realms=$myRealm1,$myRealm3  

2、測(cè)試代碼（com.github.zhangkaitao.shiro.chapter2.AuthenticatorTest）

2.1、首先通用化登錄邏輯 

Java代碼 

1. private void login(String configFile) {  

2.     //1、獲取SecurityManager工廠，此處使用Ini配置文件初始化SecurityManager  

3.     Factory factory =  .apache.shiro.mgt.securitymanager>

4.             new IniSecurityManagerFactory(configFile);  

6.     //2、得到SecurityManager實(shí)例 并綁定給SecurityUtils  

7.     org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();  

8.     SecurityUtils.setSecurityManager(securityManager);  

10.     //3、得到Subject及創(chuàng)建用戶名/密碼身份驗(yàn)證Token（即用戶身份/憑證）  

11.     Subject subject = SecurityUtils.getSubject();  

12.     UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");  

14.     subject.login(token);  

15. }  

2.2、測(cè)試AllSuccessfulStrategy成功：    

Java代碼 

1. @Test  

2. public void testAllSuccessfulStrategyWithSuccess() {  

3.     login("classpath:shiro-authenticator-all-success.ini");  

4.     Subject subject = SecurityUtils.getSubject();  

6.     //得到一個(gè)身份集合，其包含了Realm驗(yàn)證成功的身份信息  

7.     PrincipalCollection principalCollection = subject.getPrincipals();  

8.     Assert.assertEquals(2, principalCollection.asList().size());  

9. }   

即PrincipalCollection包含了zhang和zhang@163.com身份信息。

2.3、測(cè)試AllSuccessfulStrategy失?。?/p>

Java代碼 

1.     @Test(expected = UnknownAccountException.class)  

2.     public void testAllSuccessfulStrategyWithFail() {  

3.         login("classpath:shiro-authenticator-all-fail.ini");  

4.         Subject subject = SecurityUtils.getSubject();  

5. }   

shiro-authenticator-all-fail.ini與shiro-authenticator-all-success.ini不同的配置是使用了securityManager.realms=$myRealm1,$myRealm2；即myRealm驗(yàn)證失敗。

對(duì)于AtLeastOneSuccessfulStrategy和FirstSuccessfulStrategy的區(qū)別，請(qǐng)參照testAtLeastOneSuccessfulStrategyWithSuccess和testFirstOneSuccessfulStrategyWithSuccess測(cè)試方法。唯一不同點(diǎn)一個(gè)是返回所有驗(yàn)證成功的Realm的認(rèn)證信息；另一個(gè)是只返回第一個(gè)驗(yàn)證成功的Realm的認(rèn)證信息。

自定義AuthenticationStrategy實(shí)現(xiàn)，首先看其API：

Java代碼 

1. //在所有Realm驗(yàn)證之前調(diào)用  

2. AuthenticationInfo beforeAllAttempts(  

3. Collection realms, AuthenticationToken token)   

4. throws AuthenticationException;  

5. //在每個(gè)Realm之前調(diào)用  

6. AuthenticationInfo beforeAttempt(  

7. Realm realm, AuthenticationToken token, AuthenticationInfo aggregate)   

8. throws AuthenticationException;  

9. //在每個(gè)Realm之后調(diào)用  

10. AuthenticationInfo afterAttempt(  

11. Realm realm, AuthenticationToken token,   

12. AuthenticationInfo singleRealmInfo, AuthenticationInfo aggregateInfo, Throwable t)  

13. throws AuthenticationException;  

14. //在所有Realm之后調(diào)用  

15. AuthenticationInfo afterAllAttempts(  

16. AuthenticationToken token, AuthenticationInfo aggregate)   

17. throws AuthenticationException;   

因?yàn)槊總€(gè)AuthenticationStrategy實(shí)例都是無(wú)狀態(tài)的，所有每次都通過(guò)接口將相應(yīng)的認(rèn)證信息傳入下一次流程；通過(guò)如上接口可以進(jìn)行如合并/返回第一個(gè)驗(yàn)證成功的認(rèn)證信息。

自定義實(shí)現(xiàn)時(shí)一般繼承org.apache.shiro.authc.pam.AbstractAuthenticationStrategy即可，具體可以參考代碼com.github.zhangkaitao.shiro.chapter2.authenticator.strategy包下OnlyOneAuthenticatorStrategy 和AtLeastTwoAuthenticatorStrategy。

到此基本的身份驗(yàn)證就搞定了，對(duì)于AuthenticationToken 、AuthenticationInfo和Realm的詳細(xì)使用后續(xù)章節(jié)再陸續(xù)介紹。