第三讲JdbcRealm及Authentication Strategy

1、使用shiro框架来完成认证工作，默认情况下使用的是IniRealm。如果需要使用其他Realm，那么需要进行相关的配置。

2、ini配置文件讲解：

　　[main] section是你配置应用程序的SecurityManager实例及任何它的依赖组件（如Realms)的地方。

[main]
myRealm=cn.sun.realm.MyRealm
#依赖注入
securityManager.realm=$myRealm

　　[users] section允许你定义一组静态的用户账户。在这大部分拥有少数用户账户或用户账户不需要运行时被动态地创建的环境下是很有用的。

[users]
zhangsan=1111
lisi=2222,role1,role2

　　[roles] section允许你把定义在[users] section中的角色与权限关联起来。另外，这在大部分拥有少数用户账户或用户账户不需要再运行时被动态地创建的环境下是很有用的。

[users]
zhangsan=1111,role1
[roles]
role1=user:add,user:delete

3、使用JdbcRealm来完成身份认证

　　通过观察JdbcRealm可知，要实现JdbcRealm：

　　（1）需要为jdbcRealm设置dataSource

　　（2）在指定的dataSource所对应的数据库中应有用户表users，该表中应该有username，password，password_salt等

4、实现步骤

　　（1）新建数据库表

　　　　

　　（2）配置shiro.ini文件

 [main]
 #配置数据源
 dataSource=com.alibaba.druid.pool.DruidDataSource
 dataSource.url=jdbc:mysql://127.0.0.1:3306/shiro?serverTimezone=GMT%2B8
 dataSource.driverClassName=com.mysql.cj.jdbc.Driver
 dataSource.username=root
 dataSource.password=root
 jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
 # $表示引用对象
 jdbcRealm.dataSource=$dataSource
 securityManager.realm=$jdbcRealm

　　说明：特别要注意连接池配置关键字：url，driverClassName，username，password　　

　　（3）测试

JdbcDemo.java

 package com.sun123.shiro;

 import org.apache.shiro.SecurityUtils;
 import org.apache.shiro.authc.IncorrectCredentialsException;
 import org.apache.shiro.authc.UnknownAccountException;
 import org.apache.shiro.authc.UsernamePasswordToken;
 import org.apache.shiro.config.IniSecurityManagerFactory;
 import org.apache.shiro.util.Factory;
 //java.lang中有SecurityManager的包，需要改成Apache的
 import org.apache.shiro.mgt.SecurityManager;
 import org.apache.shiro.subject.Subject;

 public class JdbcDemo {

     public static void main(String[] args) {
         // 1、创建SecurityManager工厂，读取相应的配置文件
         Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
         // 2、通过SecurityManager工厂获取SecurityManager的实例
         SecurityManager securityManager = factory.getInstance();
         // 3、将securityManager对象设置到运行环境中
         SecurityUtils.setSecurityManager(securityManager);
         // 4、通过SecurityUtils获取主体Subject
         Subject subject = SecurityUtils.getSubject();
         // 5、加入登录的用户名zhangsan和1111，这个地方的zhangsan和1111表示用户登录时输入的信息
         // 而shiro.ini文件中的信息相当于数据库中存放的信息
         // UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "111");
         UsernamePasswordToken token = new UsernamePasswordToken("wangwu", "111");
         try {
             // 6、进行用户身份验证
             subject.login(token);
             // 7、通过subject来判断用户是否通过验证
             if (subject.isAuthenticated()) {
                 System.out.println("验证通过");
             }
         } catch (UnknownAccountException e) {// AuthenticationException为父异常 Ctrl+T看子异常
             System.out.println("用户名/密码不正确");
         } catch (IncorrectCredentialsException e) {// AuthenticationException为父异常 Ctrl+T看子异常
             System.out.println("用户名或密码不正确");
         }

     }
 }

log4j.properties

 log4j.rootLogger=debug, stdout
 log4j.appender.stdout=org.apache.log4j.ConsoleAppender
 log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
 log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n

代码运行结果：

5、Authentication Strategy：认证策略，在shiro中有3种认证策略

　　（1）AtleastOneSuccessfulStrategy：如果一个（或更多）Realm 验证成功， 则整体的尝试被认为是成功的。 如果没有一个验证成功，则整体尝试失败。

　　（2）FirstSuccessfulStrategy：只要有第一个成功地验证的 Realm返回的信息将被使用 。所有进一步的Realm将被忽略。如果没有一个验证成功， 则整体尝试失败。

　　（3）AIISucessfulStrategy：为了整体的尝试成功，所有配置的Realm必须验证成功。如果没有一个验证成功，则整体尝试失 败。

　　默认的策略是：AtleastOneSuccessfulStrategy

6、设置认证策略

 #验证策略设置
 authenticationStrategy=org.apache.shiro.authc.pam.AllSuccessfulStrategy
 securityManager.authenticator.authenticationStrategy=$authenticationStrategy