将 Shiro 作为应用的权限基础 二：基于SpringMVC实现的认证过程.docVIP

将 Shiro 作为应用的权限基础 二：基于SpringMVC实现的认证过程 认证就是验证用户身份的过程。在认证过程中，用户需要提交实体信息(Principals)和凭据信息(Credentials)以检验用户是否合法。最常见的“实体/凭证”组合便是“用户名/密码”组合。?一、认证过程?1、收集实体/凭据信息? UsernamePasswordToken token = new UsernamePasswordToken(username, password); token.setRememberMe(true); UsernamePasswordToken支持最常见的用户名/密码的认证机制。同时，由于它实现了RememberMeAuthenticationToken接口，我们可以通过令牌设置“记住我”的功能。?但是，“已记住”和“已认证”是有区别的：? 已记住的用户仅仅是非匿名用户，你可以通过subject.getPrincipals()获取用户信息。但是它并非是认证通过的用户，当你访问需要认证用户的功能时，你仍然需要重新提交认证信息。? 这一区别可以参考网站，网站会默认记住登录的用户，再次访问网站时，对于非敏感的页面功能，页面上会显示记住的用户信息，但是当你访问网站账户信息时仍然需要再次进行登录认证。? 2、提交实体/凭据信息?Subject currentUser = SecurityUtils.getSubject(); currentUser.login(token); 收集了实体/凭据信息之后，我们可以通过SecurityUtils工具类，获取当前的用户，然后通过调用login方法提交认证。?3、认证 如果我们自定义Realm实现，比如我后面的例子中，自定义了ShiroDbRealm类，当执行currentUser.login(token)时，会先执行ShiroDbRealm.doGetAuthorizationInfo()进行认证。 /** * 验证当前登录的Subject * @see经测试:本例中该方法的调用时机为LoginController.login()方法中执行Subject.login()时 */ protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationTokenauthcToken) throws AuthenticationException { //获取基于用户名和密码的令牌 //实际上这个authcToken是从LoginController里面currentUser.login(token)传过来的 UsernamePasswordToken token = (UsernamePasswordToken) authcToken; //从数据库中查询用户用信息 Useruser = userService.getByAccount(token.getUsername()); if(user != null) { //此处无需比对,比对的逻辑Shiro会做,我们只需返回一个和令牌相关的正确的验证信息 returnnew SimpleAuthenticationInfo(user.getAccount(), user.getPassword(),getName()); }else { //没有返回登录用户名对应的SimpleAuthenticationInfo对象时,就会在LoginController中抛出UnknownAccountException异常 return null; } } 4、认证处理? try { currentUser.login(token); } catch ( UnknownAccountException uae ) { ... } catch ( IncorrectCredentialsException ice ) { ... } catch ( LockedAccountException lae ) { ... } catch ( ExcessiveAttemptsException eae ) { ... } ... catch your own ... } catch ( AuthenticationException ae ) { //unexpected error? } 如果login方法执行完毕且没有抛出任何异常信息，那么便认为用户认证通过。之后在应用程序任意