shiro学习2-登录认证流程
2.3 使用 ini 完成认证
2.3.1 初始化操作:
- 创建一个maven项目,添加依赖:
<dependencies>
<dependency>
<groupId>junit</groupId>
<artifactId>junit</artifactId>
<version>4.9</version>
</dependency>
<dependency>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
<version>1.1.3</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.2.2</version>
</dependency>
</dependencies>
- 在resources文件夹下创建shiro文件
[users]
#初始化数据源,模范数据库用户列表
zhangsan=333
lisi=444
- 在Test目录下创建一个测试类:执行登录登出操作
package cn.zxhysy;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;
public class ShiroTest {
@Test
public void testLogin() throws Exception{
// 1.创建 SecurityManager 工厂对象;加载配置文件,创建工厂对象
//import org.apache.shiro.mgt.SecurityManager;
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
// 2.通过工厂对象,创建securityManager 对象
SecurityManager securityManager = factory.getInstance();
// 3.将securityManager绑定到当前允许的环境,让系统随时随地可以访问securityMnager对象
SecurityUtils.setSecurityManager(securityManager);
// 4.获取创建当前登录的主体, 此时的主体没有经过认证,仅仅只是个空对象
Subject subject = SecurityUtils.getSubject();
// 5.绑定(收集)主体登录的身份/凭证,即账号密码
// 参数1:将要登录的用户名, 参数2:登录用户的密码
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan","333a");
// 6.主体登录
try{
subject.login(token);
} catch(Exception e){
//登录失败
}
// 7.判断登录是否成功
System.out.println("验证登录是否成功:" + subject.isAuthenticated());
// 8:登出(注销)
subject.logout();
System.out.println("验证登录是否成功:" + subject.isAuthenticated());
}
}
具体步骤:
1、首先通过 new IniSecurityManagerFactory 并指定一个 ini 配置文件来创建一个 SecurityManager 工厂;
2、接着获取 SecurityManager 并绑定到 SecurityUtils,这是一个全局设置,设置一次即可;
3、通过 SecurityUtils 得到 Subject,其会自动绑定到当前线程;如果在 web 环境在请求结 束时需要解除绑定;然后获取身份验证的Token,如用户名/密码;
4、调用 subject.login 方法进行登录,其会自动委托给SecurityManager.login 方法进行登录;
5 、 如 果 身份验证 失败请捕 获 AuthenticationException 或 其 子 类 , 常 见 的 如 : DisabledAccountException(禁用的帐号)、LockedAccountException(锁定的帐号)、 UnknownAccountException(错误的帐号)ExcessiveAttemptsException(登录失败次数过多)、IncorrectCredentialsException (错误的凭证、密码错误)、ExpiredCredentialsException(过期的凭证)等,具体请查看其继承关系;对于页面的错误消息展示,最好使用如“用户名/密码 错误”而不是“用户名错误”/“密码错误”,防止一些恶意用户非法扫描帐号库;
6、最后可以调用 subject.logout 退出,其会自动委托给SecurityManager.logout 方法退出。
debug 流程:
将上面过程做成结构图:如下