Shiro 身份驗(yàn)證

身份驗(yàn)證

身份驗(yàn)證，即在應(yīng)用中誰能證明他就是他本人。一般提供如他們的身份 ID 一些標(biāo)識信息來表明他就是他本人，如提供身份證，用戶名 / 密碼來證明。

在 shiro 中，用戶需要提供 principals （身份）和 credentials（證明）給 shiro，從而應(yīng)用能驗(yàn)證用戶身份：

principals：身份，即主體的標(biāo)識屬性，可以是任何東西，如用戶名、郵箱等，唯一即可。一個(gè)主體可以有多個(gè) principals，但只有一個(gè) Primary principals，一般是用戶名 / 密碼 / 手機(jī)號。

credentials：證明 / 憑證，即只有主體知道的安全值，如密碼 / 數(shù)字證書等。

最常見的 principals 和 credentials 組合就是用戶名 / 密碼了。接下來先進(jìn)行一個(gè)基本的身份認(rèn)證。

另外兩個(gè)相關(guān)的概念是之前提到的 Subject 及 Realm，分別是主體及驗(yàn)證主體的數(shù)據(jù)源。

環(huán)境準(zhǔn)備

本文使用 Maven 構(gòu)建，因此需要一點(diǎn) Maven 知識。首先準(zhǔn)備環(huán)境依賴： 

<dependencies>
    <dependency>
        <groupId>junit</groupId>
        <artifactId>junit</artifactId>
        <version>4.9</version>
    </dependency>
    <dependency>
        <groupId>commons-logging</groupId>
        <artifactId>commons-logging</artifactId>
        <version>1.1.3</version>
    </dependency>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.2.2</version>
    </dependency>
</dependencies>

添加 junit、common-logging 及 shiro-core 依賴即可。

登錄 / 退出

1、首先準(zhǔn)備一些用戶身份 / 憑據(jù)（shiro.ini）

[users]
zhang=123
wang=123

此處使用 ini 配置文件，通過 [users] 指定了兩個(gè)主體：zhang/123、wang/123。

2、測試用例（com.github.zhangkaitao.shiro.chapter2.LoginLogoutTest）

@Test
public void testHelloworld() {
    //1、獲取SecurityManager工廠，此處使用Ini配置文件初始化SecurityManager  
    Factory<org.apache.shiro.mgt.SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
    //2、得到SecurityManager實(shí)例 并綁定給SecurityUtils
    org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();
    SecurityUtils.setSecurityManager(securityManager);
    //3、得到Subject及創(chuàng)建用戶名/密碼身份驗(yàn)證Token（即用戶身份/憑證）
    Subject subject = SecurityUtils.getSubject();
    UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");
    try {
        //4、登錄，即身份驗(yàn)證
        subject.login(token);
    } catch (AuthenticationException e) {
        //5、身份驗(yàn)證失敗
    }
    Assert.assertEquals(true, subject.isAuthenticated()); //斷言用戶已經(jīng)登錄
    //6、退出
    subject.logout();
}

• 首先通過 new IniSecurityManagerFactory 并指定一個(gè) ini 配置文件來創(chuàng)建一個(gè) SecurityManager 工廠；

• 接著獲取 SecurityManager 并綁定到 SecurityUtils，這是一個(gè)全局設(shè)置，設(shè)置一次即可；

• 通過 SecurityUtils 得到 Subject，其會(huì)自動(dòng)綁定到當(dāng)前線程；如果在 web 環(huán)境在請求結(jié)束時(shí)需要解除綁定；然后獲取身份驗(yàn)證的 Token，如用戶名 / 密碼；

• 調(diào)用 subject.login 方法進(jìn)行登錄，其會(huì)自動(dòng)委托給 SecurityManager.login 方法進(jìn)行登錄；

• 如果身份驗(yàn)證失敗請捕獲 AuthenticationException 或其子類，常見的如： DisabledAccountException（禁用的帳號）、LockedAccountException（鎖定的帳號）、UnknownAccountException（錯(cuò)誤的帳號）、ExcessiveAttemptsException（登錄失敗次數(shù)過多）、IncorrectCredentialsException （錯(cuò)誤的憑證）、ExpiredCredentialsException（過期的憑證）等，具體請查看其繼承關(guān)系；對于頁面的錯(cuò)誤消息展示，最好使用如 “用戶名 / 密碼錯(cuò)誤” 而不是 “用戶名錯(cuò)誤”/“密碼錯(cuò)誤”，防止一些惡意用戶非法掃描帳號庫；

• 最后可以調(diào)用 subject.logout 退出，其會(huì)自動(dòng)委托給 SecurityManager.logout 方法退出。

從如上代碼可總結(jié)出身份驗(yàn)證的步驟：

1. 收集用戶身份 / 憑證，即如用戶名 / 密碼；

2. 調(diào)用 Subject.login 進(jìn)行登錄，如果失敗將得到相應(yīng)的 AuthenticationException 異常，根據(jù)異常提示用戶錯(cuò)誤信息；否則登錄成功；

3. 最后調(diào)用 Subject.logout 進(jìn)行退出操作。

如上測試的幾個(gè)問題：

1. 用戶名 / 密碼硬編碼在 ini 配置文件，以后需要改成如數(shù)據(jù)庫存儲，且密碼需要加密存儲；

2. 用戶身份 Token 可能不僅僅是用戶名 / 密碼，也可能還有其他的，如登錄時(shí)允許用戶名 / 郵箱 / 手機(jī)號同時(shí)登錄。

身份認(rèn)證流程

流程如下：

1. 首先調(diào)用 Subject.login(token) 進(jìn)行登錄，其會(huì)自動(dòng)委托給 Security Manager，調(diào)用之前必須通過 SecurityUtils.setSecurityManager() 設(shè)置；
2. SecurityManager 負(fù)責(zé)真正的身份驗(yàn)證邏輯；它會(huì)委托給 Authenticator 進(jìn)行身份驗(yàn)證；
3. Authenticator 才是真正的身份驗(yàn)證者，Shiro API 中核心的身份認(rèn)證入口點(diǎn)，此處可以自定義插入自己的實(shí)現(xiàn)；
4. Authenticator 可能會(huì)委托給相應(yīng)的 AuthenticationStrategy 進(jìn)行多 Realm 身份驗(yàn)證，默認(rèn) ModularRealmAuthenticator 會(huì)調(diào)用 AuthenticationStrategy 進(jìn)行多 Realm 身份驗(yàn)證；
5. Authenticator 會(huì)把相應(yīng)的 token 傳入 Realm，從 Realm 獲取身份驗(yàn)證信息，如果沒有返回 / 拋出異常表示身份驗(yàn)證成功了。此處可以配置多個(gè) Realm，將按照相應(yīng)的順序及策略進(jìn)行訪問。

Realm

Realm：域，Shiro 從 Realm 獲取安全數(shù)據(jù)（如用戶、角色、權(quán)限），就是說 SecurityManager 要驗(yàn)證用戶身份，那么它需要從 Realm 獲取相應(yīng)的用戶進(jìn)行比較以確定用戶身份是否合法；也需要從 Realm 得到用戶相應(yīng)的角色 / 權(quán)限進(jìn)行驗(yàn)證用戶是否能進(jìn)行操作；可以把 Realm 看成 DataSource，即安全數(shù)據(jù)源。如我們之前的 ini 配置方式將使用 org.apache.shiro.realm.text.IniRealm。

org.apache.shiro.realm.Realm 接口如下：

String getName(); //返回一個(gè)唯一的Realm名字
boolean supports(AuthenticationToken token); //判斷此Realm是否支持此Token
AuthenticationInfo getAuthenticationInfo(AuthenticationToken token)
 throws AuthenticationException;  //根據(jù)Token獲取認(rèn)證信息

單 Realm 配置

1、自定義 Realm 實(shí)現(xiàn)（com.github.zhangkaitao.shiro.chapter2.realm.MyRealm1）：

public class MyRealm1 implements Realm {
    @Override
    public String getName() {
        return "myrealm1";
    }
    @Override
    public boolean supports(AuthenticationToken token) {
        //僅支持UsernamePasswordToken類型的Token
        return token instanceof UsernamePasswordToken; 
    }
    @Override
    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = (String)token.getPrincipal();  //得到用戶名
        String password = new String((char[])token.getCredentials()); //得到密碼
        if(!"zhang".equals(username)) {
            throw new UnknownAccountException(); //如果用戶名錯(cuò)誤
        }
        if(!"123".equals(password)) {
            throw new IncorrectCredentialsException(); //如果密碼錯(cuò)誤
        }
        //如果身份認(rèn)證驗(yàn)證成功，返回一個(gè)AuthenticationInfo實(shí)現(xiàn)；
        return new SimpleAuthenticationInfo(username, password, getName());
    }
}

2、ini 配置文件指定自定義 Realm 實(shí)現(xiàn) (shiro-realm.ini)

\#聲明一個(gè)realm
myRealm1=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm1
\#指定securityManager的realms實(shí)現(xiàn)
securityManager.realms=$myRealm1

通過 $name 來引入之前的 realm 定義

3、測試用例請參考 com.github.zhangkaitao.shiro.chapter 2.LoginLogoutTest 的 testCustomRealm 測試方法，只需要把之前的 shiro.ini 配置文件改成 shiro-realm.ini 即可。

多 Realm 配置

1、ini 配置文件（shiro-multi-realm.ini）

\#聲明一個(gè)realm
myRealm1=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm1
myRealm2=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm2
\#指定securityManager的realms實(shí)現(xiàn)
securityManager.realms=$myRealm1,$myRealm2

securityManager 會(huì)按照 realms 指定的順序進(jìn)行身份認(rèn)證。此處我們使用顯示指定順序的方式指定了 Realm 的順序，如果刪除 “securityManager.realms=$myRealm1,$myRealm2”，那么securityManager 會(huì)按照 realm 聲明的順序進(jìn)行使用（即無需設(shè)置 realms 屬性，其會(huì)自動(dòng)發(fā)現(xiàn)），當(dāng)我們顯示指定 realm 后，其他沒有指定 realm 將被忽略，如 “securityManager.realms=$myRealm1”，那么 myRealm2 不會(huì)被自動(dòng)設(shè)置進(jìn)去。

2、測試用例請參考 com.github.zhangkaitao.shiro.chapter2.LoginLogoutTest 的 testCustomMultiRealm 測試方法。

Shiro 默認(rèn)提供的 Realm

以后一般繼承 AuthorizingRealm（授權(quán)）即可；其繼承了 AuthenticatingRealm（即身份驗(yàn)證），而且也間接繼承了 CachingRealm（帶有緩存實(shí)現(xiàn)）。其中主要默認(rèn)實(shí)現(xiàn)如下：

org.apache.shiro.realm.text.IniRealm：[users] 部分指定用戶名 / 密碼及其角色；[roles] 部分指定角色即權(quán)限信息；

org.apache.shiro.realm.text.PropertiesRealm： user.username=password,role1,role2 指定用戶名 / 密碼及其角色；role.role1=permission1,permission2 指定角色及權(quán)限信息；

org.apache.shiro.realm.jdbc.JdbcRealm：通過 sql 查詢相應(yīng)的信息，如 “select password from users where username = ?” 獲取用戶密碼，“select password, password_salt from users where username = ?” 獲取用戶密碼及密碼字段；“select role_name from user_roles where username = ?” 獲取用戶角色；“select permission from roles_permissions where role_name = ?” 獲取角色對應(yīng)的權(quán)限信息；也可以調(diào)用相應(yīng)的 api 進(jìn)行自定義 sql；

JDBC Realm 使用

1、數(shù)據(jù)庫及依賴

        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>5.1.25</version>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid</artifactId>
            <version>0.2.23</version>
        </dependency>

本文將使用 mysql 數(shù)據(jù)庫及 druid 連接池；

2、到數(shù)據(jù)庫 shiro 下建三張表：users（用戶名 / 密碼）、user_roles（用戶 / 角色）、roles_permissions（角色 / 權(quán)限），具體請參照 shiro-example-chapter2/sql/shiro.sql；并添加一個(gè)用戶記錄，用戶名 / 密碼為 zhang/123；

3、ini 配置（shiro-jdbc-realm.ini）

jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
dataSource=com.alibaba.druid.pool.DruidDataSource
dataSource.driverClassName=com.mysql.jdbc.Driver
dataSource.url=jdbc:mysql://localhost:3306/shiro
dataSource.username=root
\#dataSource.password=
jdbcRealm.dataSource=$dataSource
securityManager.realms=$jdbcRealm

1. 變量名 = 全限定類名會(huì)自動(dòng)創(chuàng)建一個(gè)類實(shí)例
2. 變量名. 屬性 = 值 自動(dòng)調(diào)用相應(yīng)的 setter 方法進(jìn)行賦值
3. $ 變量名 引用之前的一個(gè)對象實(shí)例
4. 測試代碼請參照 com.github.zhangkaitao.shiro.chapter2.LoginLogoutTest 的 testJDBCRealm 方法，和之前的沒什么區(qū)別。

Authenticator 及 AuthenticationStrategy

Authenticator 的職責(zé)是驗(yàn)證用戶帳號，是 Shiro API 中身份驗(yàn)證核心的入口點(diǎn)：

public AuthenticationInfo authenticate(AuthenticationToken authenticationToken)
            throws AuthenticationException;

如果驗(yàn)證成功，將返回 AuthenticationInfo 驗(yàn)證信息；此信息中包含了身份及憑證；如果驗(yàn)證失敗將拋出相應(yīng)的 AuthenticationException 實(shí)現(xiàn)。

SecurityManager接口繼承了 Authenticator，另外還有一個(gè) ModularRealmAuthenticator 實(shí)現(xiàn)，其委托給多個(gè) Realm 進(jìn)行驗(yàn)證，驗(yàn)證規(guī)則通過 AuthenticationStrategy 接口指定，默認(rèn)提供的實(shí)現(xiàn)：

FirstSuccessfulStrategy：只要有一個(gè) Realm 驗(yàn)證成功即可，只返回第一個(gè) Realm 身份驗(yàn)證成功的認(rèn)證信息，其他的忽略；

AtLeastOneSuccessfulStrategy/：只要有一個(gè) Realm 驗(yàn)證成功即可，和 FirstSuccessfulStrategy 不同，返回所有 Realm 身份驗(yàn)證成功的認(rèn)證信息；

AllSuccessfulStrategy：所有 Realm 驗(yàn)證成功才算成功，且返回所有 Realm 身份驗(yàn)證成功的認(rèn)證信息，如果有一個(gè)失敗就失敗了。

ModularRealmAuthenticator 默認(rèn)使用 AtLeastOneSuccessfulStrategy 策略。

假設(shè)我們有三個(gè) realm：
myRealm1： 用戶名 / 密碼為 zhang/123 時(shí)成功，且返回身份 / 憑據(jù)為 zhang/123；
myRealm2： 用戶名 / 密碼為 wang/123 時(shí)成功，且返回身份 / 憑據(jù)為 wang/123；
myRealm3： 用戶名 / 密碼為 zhang/123 時(shí)成功，且返回身份 / 憑據(jù)為 zhang@163.com/123，和 myRealm1 不同的是返回時(shí)的身份變了；

1、ini 配置文件 (shiro-authenticator-all-success.ini)

\#指定securityManager的authenticator實(shí)現(xiàn)
authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator
securityManager.authenticator=$authenticator
\#指定securityManager.authenticator的authenticationStrategy
allSuccessfulStrategy=org.apache.shiro.authc.pam.AllSuccessfulStrategy
securityManager.authenticator.authenticationStrategy=$allSuccessfulStrategy

myRealm1=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm1
myRealm2=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm2
myRealm3=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm3
securityManager.realms=$myRealm1,$myRealm3

2、測試代碼（com.github.zhangkaitao.shiro.chapter2.AuthenticatorTest）

• 首先通用化登錄邏輯

    private void login(String configFile) {
        //1、獲取SecurityManager工廠，此處使用Ini配置文件初始化SecurityManager
        Factory<org.apache.shiro.mgt.SecurityManager> factory =
                new IniSecurityManagerFactory(configFile);
        //2、得到SecurityManager實(shí)例 并綁定給SecurityUtils
        org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
        //3、得到Subject及創(chuàng)建用戶名/密碼身份驗(yàn)證Token（即用戶身份/憑證）
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("zhang", "123");
        subject.login(token);
    }

• 測試 AllSuccessfulStrategy 成功：

    @Test
    public void testAllSuccessfulStrategyWithSuccess() {
        login("classpath:shiro-authenticator-all-success.ini");
        Subject subject = SecurityUtils.getSubject();
        //得到一個(gè)身份集合，其包含了Realm驗(yàn)證成功的身份信息
        PrincipalCollection principalCollection = subject.getPrincipals();
        Assert.assertEquals(2, principalCollection.asList().size());
    }

即 PrincipalCollection 包含了 zhang 和 zhang@163.com 身份信息。

• 測試 AllSuccessfulStrategy 失?。?/li>

    @Test(expected = UnknownAccountException.class)
    public void testAllSuccessfulStrategyWithFail() {
        login("classpath:shiro-authenticator-all-fail.ini");
        Subject subject = SecurityUtils.getSubject();
}

shiro-authenticator-all-fail.ini 與 shiro-authenticator-all-success.ini 不同的配置是使用了 securityManager.realms=$myRealm1，$myRealm2；即 myRealm 驗(yàn)證失敗。

對于 AtLeastOneSuccessfulStrategy 和 FirstSuccessfulStrategy 的區(qū)別，請參照 testAtLeastOneSuccessfulStrategyWithSuccess 和 testFirstOneSuccessfulStrategyWithSuccess 測試方法。唯一不同點(diǎn)一個(gè)是返回所有驗(yàn)證成功的 Realm 的認(rèn)證信息；另一個(gè)是只返回第一個(gè)驗(yàn)證成功的 Realm 的認(rèn)證信息。

自定義 AuthenticationStrategy 實(shí)現(xiàn)，首先看其 API：

//在所有Realm驗(yàn)證之前調(diào)用
AuthenticationInfo beforeAllAttempts(
Collection<? extends Realm> realms, AuthenticationToken token) 
throws AuthenticationException;
//在每個(gè)Realm之前調(diào)用
AuthenticationInfo beforeAttempt(
Realm realm, AuthenticationToken token, AuthenticationInfo aggregate) 
throws AuthenticationException;
//在每個(gè)Realm之后調(diào)用
AuthenticationInfo afterAttempt(
Realm realm, AuthenticationToken token, 
AuthenticationInfo singleRealmInfo, AuthenticationInfo aggregateInfo, Throwable t)
throws AuthenticationException;
//在所有Realm之后調(diào)用
AuthenticationInfo afterAllAttempts(
AuthenticationToken token, AuthenticationInfo aggregate) 
throws AuthenticationException;

因?yàn)槊總€(gè) AuthenticationStrategy 實(shí)例都是無狀態(tài)的，所有每次都通過接口將相應(yīng)的認(rèn)證信息傳入下一次流程；通過如上接口可以進(jìn)行如合并 / 返回第一個(gè)驗(yàn)證成功的認(rèn)證信息。

自定義實(shí)現(xiàn)時(shí)一般繼承 org.apache.shiro.authc.pam.AbstractAuthenticationStrategy 即可，具體可以參考代碼 com.github.zhangkaitao.shiro.chapter2.authenticator.strategy 包下 OnlyOneAuthenticatorStrategy 和 AtLeastTwoAuthenticatorStrategy。