【Shiro安全框架 一】 十分钟带你熟悉Shiro的认证机制

之前使用过shiro权限框架做过项目，但是一直没有机会系统 的了解一下shiro的认证机制
终于有机会好好研究一下这个轻量级安全框架🎄🎄🎁🎁

Shiro的身份认证

【1】基本流程

• Shiro把用户的数据封装成标识token，token一般封装着用户名，密码等信息；
• 使用Subject主体获取到封装着用户的数据的标识token；
• Subject把标识token交给SecurityManager，在SecurityManager安全中心，SecurityManager把标识token委托给认证器Authenticator进行身份证。认证器的作用是一般用来指定如何验证，它规定本次认证用到那些Realm
• 认证器Authenticator将传入的标识token，与数据源Realm对比，验证token是否合法

口说无凭，让我们代码上间 📢📢
为了操作简便，在这里我就不使用数据库，开始操作：

代码实现阶段🐳🐳

业务层代码🎊🎊

public interface UserService {    /**     *  按照用户名查找密码     * @param loginName     * @return     */    String findPassWordByLoginName(String loginName);}//Service实现层public class SecurityServiceImpl implements SecurityService {    @Override    public String findPassWordByLoginName(String loginName) { return "123";    }}

编写自定义CustomRealm 🎈🎈

public class CustomRealm extends AuthorizingRealm {    /**     * 授权     * @param principals     * @return     */    @Override    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { return null;    }    /**     * 认证     * @param token     * @return     * @throws AuthenticationException     */    @Override    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { //获取用户名 String loginName = (String) token.getPrincipal(); SecurityServiceImpl securityService = new SecurityServiceImpl(); String password = securityService.findPassWordByLoginName(loginName); if ("".equals(password) || password == null){     throw new UnknownAccountException("账户不存在"); } return new SimpleAuthenticationInfo(loginName,password,this.getName());    }}

##声明自定义的RelamcustomRealm=com.pdx.shiro.realm.CustomRealmsecurityManager.realms=$customRealm

编写测试类 🎏🎏

    @Test    public void shiroLogin(){ //导入权限的ini文件构建权限工厂 Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini"); //工厂构建安全管理器 SecurityManager instance = factory.getInstance(); //使用SecurityUtils工具获取主体 SecurityUtils.setSecurityManager(instance); Subject subject = SecurityUtils.getSubject(); //构建账号 UsernamePasswordToken token = new UsernamePasswordToken("jay", "123"); //登陆操作 subject.login(token); System.out.println("是否登陆成功："+subject.isAuthenticated());    }

测试结果⌛️⌛️

虽然代码运行成功，同样也返回了预期的结果，但是它的过程是如何实现的呢？

源码追踪阶段（开启疯狂Debug模式）🔎🔎

【1】通过debug模式去进入subject.login(token)下的默认实现类中发现， 正如认证流程图中显示的一样，subject将用户的用户名密码委托给了SecurityManager去做。接着往下看🔎

【2】通过这个方法的注释可以看出SecurityManager又将用户的token委托给内部认证组件Authenticator去做。接着往下看🔎

【3】通过源码可以发现，其实SecurityManager的内部组件都是相互推脱，认证组件Authenticator又将传来的用户的token交给Realm去作比较。接着往下看🔎


【4】从图中可以看出，当前对象是Realm类对象，而即将调用的方法就是第二个红色框框中的doGetAuthenticationInfo(token)方法。当我看到这个方法的时候，总有一种似曾相识的感觉，疯狂思考，是不是在哪里见过呀，突然灵机乍现！！！猛拍大腿！这不就是我们在自定义Realm中要重写的那个方法嘛！！！如果账号密码通过了，那么返回一个认证成功的info凭证，如果认证失败，则抛出异常。接着往下看🔎

【5】接下来，就看到我自定义的Realm类了，此类继承了AuthorizingRealm，并实现了里面的doGetAuthenticationInfo()方法，在这个方法里就可以进行一系列数据库的操作，并将查询到的数据库中存放的用户名和密码封装成一个AuthenticationInfo对象返回。接着往下看🔎

【6】剩下的就很简单了，就是把输入的账号密码和数据库中的账号密码对比一下即可！如果没有报错，就说明此次登陆操作成功了！！！