认证流程:
1.获取当前Subject.调用SecurityUtils.getSubject();
2.测试当前用户是否已经被认证,即是否已经登录,调用Subject的isAurhenticated();
3.若没有认证,则把用户名和密码封装成UsernamePasswordToken对象.
对于B/S应用程序来说,一般用户名和密码是在前台表单中获得的:
1.创建一个表单页面.
2.把请求提交到SpringMVC的Controller.
3.获取用户名和密码.
4.执行登录:调用Subject.login(AuthenticationToken) 方法.
5.自定义Realm方法,从数据库中获取对应的记录,返回给Shiro.
自定义Realm的实现:
1.继承org.apache.shiro.realm.AuthenticatingRealm类.
2.实现doGetAuthenticationInfo(AuthenticationToken)方法.
为什么要继承它且实现它的doGetAuthenticationInfo方法呢?可以跟进源码查看subject.login(token)是怎样工作的:
subject.login(token)->securityManager.login(this, token)->authenticate(token)->authenticator.authenticate(token)->在org.apache.shiro.authc.AbstractAuthenticator中的doAuthenticate(token)方法->查看执行单个认证操作doSingleRealmAuthentication(realms.iterator().next(), authenticationToken)->realm.getAuthenticationInfo(token)->getCachedAuthenticationInfo(token)->在getAuthenticationInfo方法中定义了doGetAuthenticationInfo(token),所以需要实现doGetAuthenticationInfo方法.
6.由shiro完成对密码的比对.
数据传输流程解析:
在执行subject.login(token)方法后,token对象将会传到第5步中自定义Realm中的实现的doGetAuthenticationInfo方法中的AuthenticationToken对象中,这样就可以将token对象传到Realm域中了,我们可以对token进行比对判断登录是否成功.
流程:
前台form表单提交数据->Controller->subject.login(token)->shiro域中接收到token对象.
后台数据验证流程分析
-
把AuthenticationToken转换为UsernamePasswordToken.因为我们在之前传入Token对象的时候就是一个这个对象,所以可以强转;
通过用户名把数据从数据库取出来
因为配置了Jedis缓存,所以先从缓存中取,取不到再去数据库中取,在数据库中取出后在放到缓存中
UsernamePasswordToken authenToken = (com.yl.video.security.UsernamePasswordToken) token; -
从UsernamePasswordToken中取出username;
String userName = token.getUsername(); -
调用数据库的方法,从数据库中查询出对应的用户记录,返回一个数据库中的user对象.
SysUser user = UserUtils.getByLoginName(userName); -
若登录失败,抛出AuthenticationException等异常.此处只抛出一个账户锁定异常.
if (user != null) { if (Global.BOOLFALSE.equals(user.getLocked())){ throw new AuthenticationException("该已帐号禁止登录."); } } -
根据用户情况,构建AuthenticationInfo对象并返回.
AuthenticationInfo对象是一个接口对象,常用SimpleAuthenticationInfo对象来实现.
创建一个返回的info对象:
return new SimpleAuthenticationInfo(new Principal(user, authenToken.isMobileLogin()), String.valueOf(user.getPassword()), ByteSource.Util.bytes(userName+user.getSalt()), getName());
三个参数的解释:
- principal:认证的实体信息,可以是传过来的user对象,也可以是username等;
- credentials:数据库中的密码;
- realmName:当前Realm对象的name,调用父类的getName()方法即可.
注意:需要对shiro进行登出操作,否则会有登录成功后再登录错误的对象会造成仍然能登录的情况
密码比对分析
通过AuthenticatingRealm 的credentialsMatcher 属性来进行密码比对 !
- 把密码字符串加密成MD5;
- 替换当前Realm的credentialsMatcher属性,直接使用HashedCredentialsMatcher对象,并设置加密算法即可.
如何替换:
在对密码加密分析的时候,要对两个密码进行分析,一个是从前台获取到的密码,另一个是在数据库中获取到的密码,分别对两个密码进行盐值加密:
-
对从前台传过来的token对象: 通过在配置文件中配置加密算法即可自动将密码加密成想要的结果:
-
从数据库中传过来的对象: 因为在shiro的加密中,最后对数据加密是调用了
new SimpleHash(hashAlogorithnName,credentials,salt,hashIterations)方法,所以对数据库中的密码直接进行调用此方法即可. 参数分别为(加密方式,加密的密码,盐值,加密次数).
如何使用盐值加密
- 为什么要对密码进行加盐:
在realm进行密码比对的过程中,当密码相同的时候,用户名无须正确只要密码比对成功即可登录成功,所以要让密码唯一,所以可以对密码加盐,其中盐值必须是唯一的. - 如何对密码进行盐值加密:
- 在doGetAuthenticationInfo方法返回值创建SimpleAuthenticationInfo对象的时候,需使用SimpleAuthenticationInfo(principal,credentials,credentialsSalt,realmName)构造器.
- 使用ByteSource.Util.bytes()来计算盐值.
- 盐值要唯一:一般使用随机字符串或id
- 使用new SimpleHash(hashAlogorithnName,credentials,salt,hashIterations)来计算盐值加密后的值.
多realm认证
多realm认证原理:
多realm认证是通过ModularRealmAuthenticator对象进行认证的,我们可以在spring-shiro中配置多个realm,并将多个bean统一交给ModularRealmAuthenticator进行管理,然后在SecurityManager中配置ModularRealmAuthenticator来进行实现多realm认证的效果。
多realm的认证配置:
在多realm配置的时候一般将两个或多个realms放在securityManager中而不是放在authenticator中,如下图:
这样的好处是当授权的时候比较方便。
多realm的认证策略
