shrio初体验（1）

p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #e6427a }
p.p2 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; min-height: 15.0px }
p.p3 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #ffa6a4 }
p.p4 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #e0edf9; min-height: 15.0px }
p.p5 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #757575 }
p.p6 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #b4eb2a }
p.p7 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #8ff3f8 }
p.p8 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #a4ec4f }
p.p9 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #4abaeb }
p.p10 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #00a2ce }
p.p11 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #ffc930 }
p.p12 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #00ceb2 }
p.p13 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #8ef5b6 }
p.p14 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #e0edf9 }
p.p15 { margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px Monaco; color: #fafbf6 }
span.s1 { color: #e0edf9 }
span.s2 { color: #00a2ce }
span.s3 { color: #fafbf6 }
span.s4 { color: #15be51 }
span.s5 { color: #8ff3f8 }
span.s6 { color: #ebecfb }
span.s7 { color: #e09791 }
span.s8 { color: #f29359 }
span.s9 { color: #e6427a }
span.s10 { color: #00ceb2 }
span.s11 { color: #ffc930 }
span.s12 { color: #8ef5b6 }
span.s13 { color: #4abaeb }
span.s14 { color: #a4ec4f }
span.s15 { color: #b4eb2a }
span.s16 { color: #7aa8c7 }
span.s17 { color: #9ce1fa }
span.Apple-tab-span { white-space: pre }

public class LoginTest {

@Test

public void testLogin(){

//1.获取SecurityManager工厂，使用初始化文件初始化测试用户

Factory<SecurityManager> factory=new IniSecurityManagerFactory("classpath:shiro.ini");

//2.创建SecurityManager实例,并绑定到SecurityUtils上面

SecurityManager securityManager=factory.getInstance();

SecurityUtils.setSecurityManager(securityManager);

//3.通过SecurityUtils可以获得Subject

Subject subject=SecurityUtils.getSubject();

//在Subject可以获得登录的用户名的用户密码，创建一个访问令牌

UsernamePasswordToken token=new UsernamePasswordToken("LV",123+"");

//身份验证

subject.login(token);

System.out.println("session===="+subject.getSession());

//测试是否登录

Assert.assertTrue(subject.isAuthenticated());

subject.logout();

//Assert.assertTrue(subject.isAuthenticated());

整个过程：

1、首先通过new IniSecurityManagerFactory并指定一个ini配置文件来创建一个SecurityManager工厂；

2、接着获取SecurityManager并绑定到SecurityUtils，这是一个全局设置，设置一次即可；

3、通过SecurityUtils得到Subject，其会自动绑定到当前线程；如果在web环境在请求结束时需要解除绑定；然后获取身份验证的Token，如用户名/密码；

4、调用subject.login方法进行登录，其会自动委托给SecurityManager.login方法进行登录；

5、如果身份验证失败请捕获AuthenticationException或其子类，常见的如： DisabledAccountException（禁用的帐号）、LockedAccountException（锁定的帐号）、UnknownAccountException（错误的帐号）、ExcessiveAttemptsException（登录失败次数过多）、IncorrectCredentialsException （错误的凭证）、ExpiredCredentialsException（过期的凭证）等，具体请查看其继承关系；对于页面的错误消息展示，最好使用如“用户名/密码错误”而不是“用户名错误”/“密码错误”，防止一些恶意用户非法扫描帐号库；

6、最后可以调用subject.logout退出，其会自动委托给SecurityManager.logout方法退出。

从如上代码可总结出身份验证的步骤：

1、收集用户身份/凭证，即如用户名/密码；

2、调用Subject.login进行登录，如果失败将得到相应的AuthenticationException异常，根据异常提示用户错误信息；否则登录成功；

3、最后调用Subject.logout进行退出操作。

如上测试的几个问题：

1、用户名/密码硬编码在ini配置文件，以后需要改成如数据库存储，且密码需要加密存储；

2、用户身份Token可能不仅仅是用户名/密码，也可能还有其他的，如登录时允许用户名/邮箱/手机号同时登录。

身份认证流程

流程如下：

1、首先调用Subject.login(token)进行登录，其会自动委托给Security Manager，调用之前必须通过SecurityUtils. setSecurityManager()设置；

2、SecurityManager负责真正的身份验证逻辑；它会委托给Authenticator进行身份验证；

3、Authenticator才是真正的身份验证者，Shiro API中核心的身份认证入口点，此处可以自定义插入自己的实现；

4、Authenticator可能会委托给相应的AuthenticationStrategy进行多Realm身份验证，默认ModularRealmAuthenticator会调用AuthenticationStrategy进行多Realm身份验证；

5、Authenticator会把相应的token传入Realm，从Realm获取身份验证信息，如果没有返回/抛出异常表示身份验证失败了。此处可以配置多个Realm，将按照相应的顺序及策略进行访问。

}

}