【Shiro】Apache Shiro架构之自定义realm

最新推荐文章于 2023-03-08 10:08:21 发布
最新推荐文章于 2023-03-08 10:08:21 发布
阅读量1w 收藏 29
点赞数 8
分类专栏: ● 架构之美 ------【Shiro】 J2EE组件 文章标签: apache shiro 架构 realm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eson_15/article/details/51779271
版权

欢迎关注我新搭建的博客:http://www.itcodai.com/

Shiro系列文章:
【Shiro】Apache Shiro架构之身份认证(Authentication)
【Shiro】Apache Shiro架构之权限认证(Authorization)
【Shiro】Apache Shiro架构之集成web
【Shiro】Apache Shiro架构之实际运用(整合到Spring中)

  
  之前写的博客里都是使用.ini文件来获取信息的,包括用户信息,角色信息,权限信息等。进入系统时,都是从.ini文件这读取进入的。实际中除非这个系统特别特别简单,否则一般都不是这样干的,这些信息都是需要在数据库中进行维护的,所以就需要用到自定义realm了。

写在前面:这篇博文是基于上一篇Shiro集成web基础之上修改的。

1. 数据库建表

  首先在数据库中新建三个表:t_user,t_role和t_permission,分别存储用户信息,角色信息和权限信息,建表语句如下:

CREATE TABLE `t_role` (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '主键',
  `rolename` varchar(20) DEFAULT NULL COMMENT '角色名称',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=4 DEFAULT CHARSET=utf8

CREATE TABLE `t_user` (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '用户主键',
  `username` varchar(20) NOT NULL COMMENT '用户名',
  `password` varchar(20) NOT NULL COMMENT '密码',
  `role_id` int(11) DEFAULT NULL COMMENT '外键关联role表',
  PRIMARY KEY (`id`),
  KEY `role_id` (`role_id`),
  CONSTRAINT `t_user_ibfk_1` FOREIGN KEY (`role_id`) REFERENCES `t_role` (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=4 DEFAULT CHARSET=utf8

CREATE TABLE `t_permission` (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '主键',
  `permissionname` varchar(50) NOT NULL COMMENT '权限名',
  `role_id` int(11) DEFAULT NULL COMMENT '外键关联role',
  PRIMARY KEY (`id`),
  KEY `role_id` (`role_id`),
  CONSTRAINT `t_permission_ibfk_1` FOREIGN KEY (`role_id`) REFERENCES `t_role` (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8

  每个表中我添加了一些测试数据,如下:
user

role

permission

2. 自定义realm

  自定义realm中需要操作数据库,所有首先得先写一个dao,使用的是原始的jdbc,主要是下面的自定义realm。

public class UserDao {

    //根据用户名查找用户
    public User getByUsername(Connection conn, String username) throws Exception {

        User resultUser = null;
        String sql = "select * from t_user where username=?";
        PreparedStatement ps = conn.prepareStatement(sql);
        ps.setString(1, username);
        ResultSet rs = ps.executeQuery();
        if(rs.next()) {
            resultUser = new User();
            resultUser.setId(rs.getInt("id"));
            resultUser.setUsername(rs.getString("username"));
            resultUser.setPassword(rs.getString("password"));
        }
        return resultUser;
    }

    //根据用户名查找改用户所拥有的角色
    public Set<String> getRoles(Connection conn, String username) throws Exception {
        Set<String> roles = new HashSet<String>();
        String sql = "select * from t_user u, t_role r where u.role_id=r.id and u.username=?";
        PreparedStatement ps = conn.prepareStatement(sql);
        ps.setString(1, username);
        ResultSet rs = ps.executeQuery();
        while(rs.next()) {
            roles.add(rs.getString("rolename"));
        }
        return roles;
    }

    //根据用户名查找该用户角色所拥有的权限
    public Set<String> getPerms(Connection conn, String username) throws Exception {
        Set<String> perms = new HashSet<String>();
        String sql = "select * from t_user u, t_role r, t_permission p where u.role_id=r.id and p.role_id=r.id and u.username=?";
        PreparedStatement ps = conn.prepareStatement(sql);
        ps.setString(1, username);
        ResultSet rs = ps.executeQuery();
        while(rs.next()) {
            perms.add(rs.getString("permissionname"));
        }
        return perms;
    }
}

  有了dao了,接下来就可以写自定义的realm了,自定义realm需要继承AuthorizingRealm类,因为该类封装了很多方法,它也是一步步继承自Realm类的,继承了AuthorizingRealm类后,需要重写两个方法:

doGetAuthenticationInfo()方法:用来验证当前登录的用户,获取认证信息
doGetAuthorizationInfo()方法:用来为当前登陆成功的用户授予权限和角色(已经登陆成功了)

  下面来看一下具体的实现:

public class MyRealm extends AuthorizingRealm {

    private UserDao userDao = new UserDao();

    // 为当前登陆成功的用户授予权限和角色,已经登陆成功了
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(
            PrincipalCollection principals) {
        String username = (String) principals.getPrimaryPrincipal(); //获取用户名
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        Connection conn = null;
        try {
            conn = DbUtil.getConnection();
            authorizationInfo.setRoles(userDao.getRoles(conn, username)); //设置角色
            authorizationInfo.setStringPermissions(userDao.getPerms(conn, username)); //设置权限            
        } catch (Exception e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } finally {
            try {
                DbUtil.closeConnection(conn);
            } catch (Exception e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }
        }
        return authorizationInfo;
    }

    // 验证当前登录的用户,获取认证信息
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken token) throws AuthenticationException {
        String username = (String) token.getPrincipal(); // 获取用户名
        Connection conn = null;
        try {
            conn = DbUtil.getConnection();
            User user = userDao.getByUsername(conn, username); // 仅仅是根据用户名查出的用户信息,不涉及到密码
            if (user != null) {
                AuthenticationInfo authcInfo = new SimpleAuthenticationInfo(
                        user.getUsername(), user.getPassword(), "myrealm");
                return authcInfo;
            } else {
                return null;
            }
        } catch (Exception e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } finally {
            try {
                DbUtil.closeConnection(conn);
            } catch (Exception e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }
        }
        return null;
    }
}

  从上面两个方法中可以看出:验证身份的时候是根据用户输入的用户名先从数据库中查出该用户名对应的用户,这时候并没有涉及到密码,也就是说到这一步的时候,即使用户输入的密码不对,也是可以查出来该用户的,然后将该用户的正确信息封装到authcInfo 中返回给Shiro,接下来就是Shiro的事了,它会根据这里面的真实信息与用户前台输入的用户名和密码进行校验, 这个时候也要校验密码了,如果校验通过就让用户登录,否则跳转到指定页面。同理,权限验证的时候也是先根据用户名获取与该用户名有关的角色和权限,然后封装到authorizationInfo中返回给Shiro。

3. 修改ini文件

  在该配置文件中,[users]和[roles]的信息就可以删掉了,因为这些信息都是从数据库中维护的,另外还要在文件中指定我们自定义的realm的完全限定名,并且指定securityManager的realm使用我们自定义的realm,如下:

[main]
authc.loginUrl=/login
roles.unauthorizedUrl=/unauthorized.jsp
perms.unauthorizedUrl=/unauthorized.jsp

#定义自己的realm
myRealm=demo.shiro.realm.MyRealm
securityManager.realms=$myRealm

#定义请求的地址需要做什么验证
[urls]
/login=anon 
/admin=authc 
/student=roles[teacher]
/teacher=perms["user:create"]

  这样我们自定义的realm就搞定了,根据配置文件,当我们请求…/admin的时候会进行身份认证,所以会进入LoginServlet中,当调用currentUser.login(token);的时候,就会进入我们自定义的realm中的doGetAuthenticationInfo方法进行身份初始化,然后交给Shiro去验证。当我们请求…./student的时候,也会先进行身份验证,就是上面的过程,然后验证通过,当我们再次请求…/student的时候,就会进入我们自定义的realm中的doGetAuthorizationInfo方法进行权限的初始化,然后交给Shiro去验证。
  下一篇博文我将总结一下如何将Shiro运用到实际项目中,即如何将Shiro整合到Spring中。

文末福利:“程序员私房菜”,一个有温度的公众号~
程序员私房菜

—–乐于分享,共同进步!
—–我的博客主页:http://blog.csdn.net/eson_15

武哥聊编程
关注
  • 8
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
Apache Shiro 使用手册(四) Realm 实现
01-09
因为在Shiro中,最终是通过Realm来获取应用程序中的用户、角色及权限信息的。通常情况下,在Realm中会直接从我们的数据源中获取Shiro需要的验证信息。可以说,Realm是专用于安全框架的DAO. 一、认证实现 正如前文...
shiro】初识与集成
路远不知归
08-24 414
shiro】初识与集成 个人学习笔记分享,当前能力有限,请勿贬低,菜鸟互学,大佬绕道 如有勘误,欢迎指出和讨论,本文后期也会进行修正和补充 前言 权限管理对于一个成熟的项目是极为基础且必要的部分,我们必须知道来者何人,才能判断这个人能做什么不能做什么 而shiro正是解决方案中最常见的一种 请留意,本文主要整理shiro相关思路,为方便理解,示例代码并不完整,更谈不上严谨 若需要实际使用的demo,请直接查看整理后的代码,完整demo会传到github或码云 1.介绍 shiroApache下的一
shiro权限框架中五张基本数据表
weixin_41865602的博客
05-17 1万+
表设计 开发用户-角色-权限管理系统,首先我们需要知道用户-角色-权限管理系统的表结构设计。 在用户-角色-权限管理系统找那个一般会涉及5张表,分别为: 1.sys_users用户表 2.sys_roles角色表 3.sys_permissions权限表(或资源表) 4.sys_users_roles用户-角色关联表 5.sys_roles_permissions角色-权限关联表(或角色-资源关联...
Shiro 中的 Realm
热门推荐
尽力而为
05-29 2万+
之前写项目用了 Shiro 框架,来进行安全验证以及权限管理。当时项目赶得急,没怎么深入了解,只能说能跑能改,不过在使用的过程中发现 Shiro 确实很优秀。现在回过头来学习原理,读读源码,深入的学习下。· 本篇博文主要写的是关于使用 Shiro 起步时最重要的一块,找了一些资料,力求写得简单明了。
Shiro入门(五)Shiro自定义Realm和加密算法
jwang的博客
05-11 2108
前言 本章讲解shiro自定义realm和它的加密算法 方法 1.概念 通过前面的讲解,我已经带入了自定义Realm的相关概念。那么为什么要自定义realm呢?显而易见,我们在数据库中创建的users表和它的字段受限于shiro自己的jdbcRealm,所以通常情况下我们需要使用自己的表,跟着必须使用自定义realm。 再者,在用户表中,密码字段的值是一个敏感的存在。我们需...
Shiro权限管理之自定义Realm
你今天真好看呀
04-04 1526
文章目录1. SpringBoot集成shiro快速入门1. shiro 用户认证2. shiro用户授权2. SpringBoot 使用IniRealm进行认证授权3. Spring Boot 使用 JdbcRealm 进行认证授权1. 数据库驱动2. 数据库表结构3. 创建 testJdbcRealm方法4. 更改数据库表名4. Spring Boot 使用自定义 Realm 进行认证授权5. SpringBoot整合shiro之盐值加密认证详解 1. SpringBoot集成shiro快速入门 导入s
Apache Shiro 框架简介
01-11
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能:  认证 – 用户身份识别,常被称为用户“登录”; 授权 – 访问控制; 密码加密 – 保护或隐藏数据防止被偷窥; ...
Apache Shiro 使用手册(二) Shiro 认证
01-09
一、Shiro认证过程 1、收集实体/凭据信息 代码如下://Example using most common scenario of username/password pair:UsernamePasswordToken token = new UsernamePasswordToken(username, password);//”...
Shiroshiro自定义Realm
来日浅谈的博客
05-27 997
Shiroshiro自定义Realm1. 创建数据库表2. Dao层和Service层3. 自定义Realm4. 配置Realm shirorealm的是进行认证和授权的组件,自带了几种实现,比如jdbcRealm和iniRealm,实际项目中肯定都是自己实现realm。 1. 创建数据库表 创建⽤户表,⻆⾊表,权限表,以及对应的中间表。 create table t_user( id int primary key auto_increment, username varchar(
Shiro核心——Realm
小凯的博客
03-08 662
shiro核心原理中的Realm笔记整理
shiro讲解之 Realm
egegerhn的博客
04-22 584
shiro讲解之 Realm 本章节我们将详细讲解一下ShiroRealm。 概念 官方文档 As mentioned above, Realms act as the ‘bridge’ or ‘connector’ between Shiro and your application’s security data. When it comes time to actually interact with security-related data like user accounts to
realm java_Java-Shiro(四):Shiro Realm讲解(一)Realm介绍
weixin_36377344的博客
02-21 913
Realm简介Realm:英文意思‘域’,在Shiro框架中,简单理解它存储(读取配置、读取数据库、读取内存中)用户信息,并且它充当了Shiro与应用安全数据间的“桥梁”(“连接器”),当对某个用户执行认证(登录)和授权(用户用有的角色、资源,或者说访问控制)验证时,Shiro会从应用配置的Realm中查找用户以及权限信息。从它的在Shiro矿建中所起的作用来讲,Realm相当于是一个安全相关的D...
shiro从入门到实战教程】第四章 Realm解析
波哩个波的博客
07-08 787
Realm概述 IniRealm、JdbcRealm自定义Realm Shiro认证和授权流程的源码解读
shiro自定义realm
Kevinnsm的博客
12-28 531
前言: 首先我们先分析怎么实现自定义某些realm,按照以往的方法肯定是实现接口或者继承某类 查看继承树结构 通过debug模式下分析源码可以得知 AuthenticatingRealm类中的 doGetAuthenticationInfo()方法是实现用户认证的 AuthorizingRealml类中的doGetAuthorizationInfo()方法是完成用户授权的 然后在这两个类中只是声明了该方法,没有去实现,接着我们看继承树中最根部的SimpleAccountRealm类 我们可以发
Shiro(三)——Shiro自定义Realm
泽辉的技术博客
12-28 413
Realm: 域。Shiro 从从 Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色 / 权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource,即安全数据源。 一、内置Realm 内置Realm分为两种...
Shiro自定义Realms
程高伟
12-30 2227
Shiro自定义Realms
【Java】Shiro经典五张表建立
weixin_43358075的博客
06-22 3384
在用户-角色-权限管理系统一般会涉及5张表,分别为: user --> 用户表 role --> 角色表 permission --> 权限表 user_role --> 用户-角色关联表 role_permission --> 角色-权限关联表 tb_user tb_role tb_permission tb_user_role tb_role_...
Shiro 几种Realm的使用,认证、授权
m0_67402914的博客
04-07 323
目录 Shiro的依赖 IniRealm JdbcRealm 自定义Realm 使用示例 常用的Realm有3种 IniRealm:从ini文件加载安全数据 JdbcRealm:从数据库加载安全数据 自定义Realm:开发中最常用 principal : 主体(Subject)的唯一标识,可以有多个principal,常见的比如用户名,手机号,邮箱等 credential:凭证, 一般是密码 如果有多个权限实体,权限可以写成 实体:权限 的形式,eg. video:watch,vid
Shiro实现多realm方案
程序员田同学的博客
07-02 2823
公司开始了新项目,新项目的认证采用的是Shiro实现。由于涉及到多端登录用户,而且多端用户还是来自不同的表。 这就涉及到了Shiro的多realm,今天的demo主要是介绍Shiro的多realm实现方案,文中包含所有的代码,需要的朋友可以无缝copy。...
Apache shiro
最新发布
08-13
Apache Shiro 是一个功能强大且易于使用的 Java 安全框架。它提供了身份验证、授权、加密和会话管理等常见的安全功能,可以帮助开发人员快速构建安全的应用程序。 Shiro 的核心概念包括 Subject、Realm、Session 和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值