shiro框架认证方法的流程

shiro的核心功能：
·认证
·授权
·加密
·会话管理

认证流程：
--Application Code：应用程序代码，由开发人员负责开发
--Subject：框架提供的接口，代表当前用户
--Security Manager：框架提供的接口，代表安全管理对象
--Realm:可以开发人员编写，框架也提供一些，类似于DAO，用于访问权限数据


---------------在项目中使用shiro----------------
·引入shiro框架
·在web.xml中配置过滤器，spring提供的，用于整合shiro框架
    --必须放在struts过滤器之前
   

<filter>     <filter-name>shiroFilter</filter-name>     <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class></filter><filter-mapping>     <filter-name>shiroFilter</filter-name>     <url-pattern>/*</url-pattern></filter-mapping>

  --当项目启动的时候，服务器会在spring工厂中找“shiroFilter”的bean。

·在spring配置文件中配置bean,id和配置的过滤器的name一致
 

  <!-- 配置shiro框架的过滤器工厂对象 -->    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">        <!-- 注入安全管理器对象 -->        <property name="securityManager" ref="securityManager"/>        <!-- 注入相关页面访问URL -->        <property name="loginUrl" value="/login.jsp"/>        <property name="successUrl" value="/index.jsp"/>        <property name="unauthorizedUrl" value="/unauthorized.jsp"/>        <!--注入URL拦截规则 -->        <property name="filterChainDefinitions">            <value>                /css/** = anon                /js/** = anon                /images/** = anon                /validatecode.jsp* = anon                /login.jsp = anon                /userAction_login.action = anon                /page_base_staff.action = perms["staff-list"]                /* = authc            </value>        </property>    </bean>        <!-- 注册安全管理器对象 -->    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">        <property name="realm" ref="myRealm"/>    </bean>        <!-- 注册realm -->    <bean id="myRealm" class="自己写的realm类全名"></bean>

    ··authc  判断当前用户是否已经登陆认证过
    ··anon   匿名访问过滤器（不登陆就能反问）
    ··perms  框架提供的perms过滤器，权限校验

================================修改项目的登陆方法=================================

使用shiro框架提供的方式进行认证操作
·重写login方法
   --获得Subject接口 SecurityUtils.getSubject()//获得当前用户对象，状态为“未认证”
   --创建用户名密码令牌对象 AuthenticationToken token = new UsernamePasswordToken(userName,Password);
   --调用接口的login方法 subject.login(token );//没有返回值，需要抛出异常
   --创建realm对象并继承AuthorizingRealm，在realm对象重写doGetAuthenticationInfo（认证方法）
      doGetAuthorizationInfo（授权方法）。在这两个方法中书写认证，授权逻辑（框架的逻辑）。
    ·doGetAuthenticationInfo(AuthenticationToken token)
      --将AuthenticationToken转换为UsernamePasswordToken
      --获得页面输入的用户名
      --根据用户名查询数据库中的密码
      --框架负责对比数据库中的密码和页面输入的密码是否一致，创建简单认证信息对象进行认证
  

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {System.out.println("自定义的realm中方法执行了。。。。。");// 将AuthenticationToken转换为UsernamePasswordTokenUsernamePasswordToken passwordToken = (UsernamePasswordToken)token;// 获得页面输入的用户名String username = passwordToken.getUsername();// 根据用户名查询数据库中的密码User user = userDao.findUserByUserName(username);if(user == null){//用户名不存在return null;}// 框架负责对比数据库中的密码和页面输入的密码是否一致，创建简单认证信息对象进行认证AuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());                //第一个参数user对象被绑定到当前线程，在action中通过subject.getPrincipal()能获得               return info;}

Action中的登陆：

public String login(){//获取验证码String validatecode = (String) ServletActionContext.getRequest().getSession().getAttribute("key");//判断验证码if(StringUtils.isNotBlank(validatecode) && checkcode.equals(validatecode)){//使用shiro框架提供的方式进行认证操作Subject subject = SecurityUtils.getSubject();//获得当前用户对象，状态为“未认证”AuthenticationToken token = new UsernamePasswordToken(model.getUsername(),MD5Utils.md5(model.getPassword()));//创建用户名、密码令牌对象try {subject.login(token);} catch (Exception e) {e.printStackTrace();this.addActionError("输入的用户名或密码错误！");return LOGIN;}User user = (User) subject.getPrincipal();ServletActionContext.getRequest().getSession().setAttribute("loginUser", user);return HOME;}else{//输入的验证码错误,设置提示信息，跳转到登录页面this.addActionError("输入的验证码错误！");return LOGIN;}}

///////////IncorrectCredentialsException非法的凭证异常（密码错误）///////////////
///////////UnknownAccountException未知帐号异常（帐号错误）///////////////