shiro（二）

一：创建一个工程：（此处创建一个maven工程）

在pom文件中添加junit、common-logging及shiro-core这些依赖包。

二：添加一个登录用户身份的文件：shiro.init 或 shiro.ini

三：编写测试用例，快速入门：

/**

* 2.1、首先通过new IniSecurityManagerFactory并指定一个ini配置文件来创建一个SecurityManager工厂；

* 2.2、接着获取SecurityManager并绑定到SecurityUtils，这是一个全局设置，设置一次即可；

* 2.3、通过SecurityUtils得到Subject，其会自动绑定到当前线程；如果在web环境在请求结束时需要解除绑定；然后获取身份验证的Token，如用户名/密码；

* 2.4、调用subject.login方法进行登录，其会自动委托给SecurityManager.login方法进行登录；

* 2.5、如果身份验证失败请捕获AuthenticationException或其子类，常见的如： DisabledAccountException（禁用的帐号）、

* LockedAccountException（锁定的帐号）、UnknownAccountException（错误的帐号）、

* ExcessiveAttemptsException（登录失败次数过多）、IncorrectCredentialsException （错误的凭证）、

* ExpiredCredentialsException（过期的凭证）等，具体请查看其继承关系；对于页面的错误消息展示，最好使用如“用户名/密码错误”而不是“用户

* 名错误”/“密码错误”，防止一些恶意用户非法扫描帐号库；

* 2.6、最后可以调用subject.logout退出，其会自动委托给SecurityManager.logout方法退出。

*/

@Test

public void test01() {

// 1、获取SecurityManager工厂，此处使用init配置文件初始化SecurityManager

Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.init");

// 2、得到SecurityManager实例 并绑定给SecurityUtils

SecurityManager securityManager = factory.getInstance();

SecurityUtils.setSecurityManager(securityManager);

// 3、得到Subject及创建用户名/密码身份验证Token（即用户身份/凭证）

Subject subject = SecurityUtils.getSubject();

UsernamePasswordToken token = new UsernamePasswordToken("li", "li");

try {

// 4、登录，即身份验证

subject.login(token);

} catch(IncorrectCredentialsException e) {

e.printStackTrace();

System.out.println("用户名或密码不正确");

} catch (AuthenticationException e) {

e.printStackTrace();

// 5、身份验证失败

System.out.println("身份验证失败,用户不存在");

}

// 断言用户已经登录

Assert.assertEquals(true, subject.isAuthenticated());

// 6、退出

subject.logout();

}

从如上代码可总结出身份验证的步骤：

1、收集用户身份/凭证，即如用户名/密码；

2、调用Subject.login进行登录，如果失败将得到相应的AuthenticationException异常，根据异常提示用户错误信息；否则登录成功；

3、最后调用Subject.logout进行退出操作。

 

如上测试的几个问题：

1、用户名/密码硬编码在ini配置文件，以后需要改成如数据库存储，且密码需要加密存储；

2、用户身份Token可能不仅仅是用户名/密码，也可能还有其他的，如登录时允许用户名/邮箱/手机号同时登录。

身份认证流程：