一、Shiro認(rèn)證過(guò)程

1、收集實(shí)體/憑據(jù)信息

UsernamePasswordToken支持最常見(jiàn)的用戶(hù)名/密碼的認(rèn)證機(jī)制。同時(shí)，由于它實(shí)現(xiàn)了RememberMeAuthenticationToken接口，我們可以通過(guò)令牌設(shè)置“記住我”的功能。
但是，“已記住”和“已認(rèn)證”是有區(qū)別的：
已記住的用戶(hù)僅僅是非匿名用戶(hù)，你可以通過(guò)subject.getPrincipals()獲取用戶(hù)信息。但是它并非是完全認(rèn)證通過(guò)的用戶(hù)，當(dāng)你訪(fǎng)問(wèn)需要認(rèn)證用戶(hù)的功能時(shí)，你仍然需要重新提交認(rèn)證信息。
這一區(qū)別可以參考亞馬遜網(wǎng)站，網(wǎng)站會(huì)默認(rèn)記住登錄的用戶(hù)，再次訪(fǎng)問(wèn)網(wǎng)站時(shí)，對(duì)于非敏感的頁(yè)面功能，頁(yè)面上會(huì)顯示記住的用戶(hù)信息，但是當(dāng)你訪(fǎng)問(wèn)網(wǎng)站賬戶(hù)信息時(shí)仍然需要再次進(jìn)行登錄認(rèn)證。

2、提交實(shí)體/憑據(jù)信息

收集了實(shí)體/憑據(jù)信息之后，我們可以通過(guò)SecurityUtils工具類(lèi)，獲取當(dāng)前的用戶(hù)，然后通過(guò)調(diào)用login方法提交認(rèn)證。

3、認(rèn)證處理

如果login方法執(zhí)行完畢且沒(méi)有拋出任何異常信息，那么便認(rèn)為用戶(hù)認(rèn)證通過(guò)。之后在應(yīng)用程序任意地方調(diào)用SecurityUtils.getSubject() 都可以獲取到當(dāng)前認(rèn)證通過(guò)的用戶(hù)實(shí)例，使用subject.isAuthenticated()判斷用戶(hù)是否已驗(yàn)證都將返回true.
相反，如果login方法執(zhí)行過(guò)程中拋出異常，那么將認(rèn)為認(rèn)證失敗。Shiro有著豐富的層次鮮明的異常類(lèi)來(lái)描述認(rèn)證失敗的原因，如代碼示例。

二、登出操作

登出操作可以通過(guò)調(diào)用subject.logout()來(lái)刪除你的登錄信息，如：

當(dāng)執(zhí)行完登出操作后，Session信息將被清空，subject將被視作為匿名用戶(hù)。

三、認(rèn)證內(nèi)部處理機(jī)制

以上，是Shiro認(rèn)證在應(yīng)用程序中的處理過(guò)程，下面將詳細(xì)解說(shuō)Shiro認(rèn)證的內(nèi)部處理機(jī)制。





如上圖，我們通過(guò)Shiro架構(gòu)圖的認(rèn)證部分，來(lái)說(shuō)明Shiro認(rèn)證內(nèi)部的處理順序：

1、應(yīng)用程序構(gòu)建了一個(gè)終端用戶(hù)認(rèn)證信息的AuthenticationToken 實(shí)例后，調(diào)用Subject.login方法。
2、Sbuject的實(shí)例通常是DelegatingSubject類(lèi)（或子類(lèi)）的實(shí)例對(duì)象，在認(rèn)證開(kāi)始時(shí)，會(huì)委托應(yīng)用程序設(shè)置的securityManager實(shí)例調(diào)用securityManager.login(token)方法。
3、SecurityManager接受到token(令牌)信息后會(huì)委托內(nèi)置的Authenticator的實(shí)例（通常都是ModularRealmAuthenticator類(lèi)的實(shí)例）調(diào)用authenticator.authenticate(token). ModularRealmAuthenticator在認(rèn)證過(guò)程中會(huì)對(duì)設(shè)置的一個(gè)或多個(gè)Realm實(shí)例進(jìn)行適配，它實(shí)際上為Shiro提供了一個(gè)可拔插的認(rèn)證機(jī)制。
4、如果在應(yīng)用程序中配置了多個(gè)Realm，ModularRealmAuthenticator會(huì)根據(jù)配置的AuthenticationStrategy(認(rèn)證策略)來(lái)進(jìn)行多Realm的認(rèn)證過(guò)程。在Realm被調(diào)用后，AuthenticationStrategy將對(duì)每一個(gè)Realm的結(jié)果作出響應(yīng)。
注：如果應(yīng)用程序中僅配置了一個(gè)Realm，Realm將被直接調(diào)用而無(wú)需再配置認(rèn)證策略。
5、判斷每一個(gè)Realm是否支持提交的token，如果支持，Realm將調(diào)用getAuthenticationInfo(token); getAuthenticationInfo 方法就是實(shí)際認(rèn)證處理，我們通過(guò)覆蓋Realm的doGetAuthenticationInfo方法來(lái)編寫(xiě)我們自定義的認(rèn)證處理。

四、使用多個(gè)Realm的處理機(jī)制：

1、Authenticator
默認(rèn)實(shí)現(xiàn)是ModularRealmAuthenticator,它既支持單一Realm也支持多個(gè)Realm。如果僅配置了一個(gè)Realm，ModularRealmAuthenticator 會(huì)直接調(diào)用該Realm處理認(rèn)證信息，如果配置了多個(gè)Realm，它會(huì)根據(jù)認(rèn)證策略來(lái)適配Realm，找到合適的Realm執(zhí)行認(rèn)證信息。
自定義Authenticator的配置：

2、AuthenticationStrategy（認(rèn)證策略）

當(dāng)應(yīng)用程序配置了多個(gè)Realm時(shí)，ModularRealmAuthenticator將根據(jù)認(rèn)證策略來(lái)判斷認(rèn)證成功或是失敗。
例如，如果只有一個(gè)Realm驗(yàn)證成功，而其他Realm驗(yàn)證失敗，那么這次認(rèn)證是否成功呢？如果大多數(shù)的Realm驗(yàn)證成功了，認(rèn)證是否就認(rèn)為成功呢？或者，一個(gè)Realm驗(yàn)證成功后，是否還需要判斷其他Realm的結(jié)果？認(rèn)證策略就是根據(jù)應(yīng)用程序的需要對(duì)這些問(wèn)題作出決斷。
認(rèn)證策略是一個(gè)無(wú)狀態(tài)的組件，在認(rèn)證過(guò)程中會(huì)經(jīng)過(guò)4次的調(diào)用：
在所有Realm被調(diào)用之前
在調(diào)用Realm的getAuthenticationInfo 方法之前
在調(diào)用Realm的getAuthenticationInfo 方法之后
在所有Realm被調(diào)用之后
認(rèn)證策略的另外一項(xiàng)工作就是聚合所有Realm的結(jié)果信息封裝至一個(gè)AuthenticationInfo實(shí)例中，并將此信息返回，以此作為Subject的身份信息。
Shiro有3中認(rèn)證策略的具體實(shí)現(xiàn)：

3、Realm的順序

由剛才提到的認(rèn)證策略，可以看到Realm在ModularRealmAuthenticator 里面的順序?qū)φJ(rèn)證是有影響的。
ModularRealmAuthenticator 會(huì)讀取配置在SecurityManager里的Realm。當(dāng)執(zhí)行認(rèn)證是，它會(huì)遍歷Realm集合，對(duì)所有支持提交的token的Realm調(diào)用getAuthenticationInfo 。
因此，如果Realm的順序?qū)δ闶褂玫恼J(rèn)證策略結(jié)果有影響，那么你應(yīng)該在配置文件中明確定義Realm的順序，如：

最新評(píng)論