shiro入门实战笔记(10)--自定义Realm

最新推荐文章于 2024-04-18 09:53:16 发布
最新推荐文章于 2024-04-18 09:53:16 发布
阅读量1.3k 收藏 1
点赞数 1
分类专栏: Shiro 文章标签: java apache shiro 入门 realm 自定义realm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ABCD898989/article/details/50697344
版权

[本系列文章是博主的学习笔记,而非经典教程,特此说明]

首先,我们先来回顾下面这张图:


接着,我们在来回顾一下Realm的概念:Realm可以有1个或多个,可以认为是安全实体数据源,即用于获取安全实体的;可以是JDBC 实现,也可以是LDAP 实现,或者内存实现等等;由用户提供;注意:Shiro不知道你的用户/权限存储在哪及以何种格式存储;所以我们一般在应用中都需要实现自己的Realm;这个概念通俗的将,就是我们对于权限配置的保存方式是那一种形式。在我们前面的一系列举例中都是使用shiro.ini配置文件的方式。本文我们来介绍使用数据库的方式来存储用户,角色,权限等信息。好了,现在我们回顾了这些基本概念之后,开始我们的正文部分吧。

准备工作:

a.操作系统:win7 x64

b.开发工具:myeclipse 2014,jdk1.7,maven3.3.3,mysql5.0,jsp基础

-----------------------------------------------------------------------------------------------------------------------------------------------------

正文开始:

一.创建数据库,表及配置信息

1.创建数据库,博主这里使用图形化的mysql管理工具创建名称为shiro的数据库,读者可以按照自己的实际情况选择。

2.创建角色表,我们将角色表命名为t_role,表格数据是将shiro.ini中的[roles]部分转换而来,具体内容如下图所示

CREATE TABLE `t_role` (
  `Id` int(11) NOT NULL auto_increment,
  `roleName` varchar(255) default NULL,
  PRIMARY KEY  (`Id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8

3.创建用户表,我们将用户表命名为t_user,表格数据是将shiro.ini中的[user]部分转换而来,具体内容如下图所示:

CREATE TABLE `t_user` (
  `Id` int(11) NOT NULL auto_increment,
  `userName` varchar(255) default NULL,
  `password` varchar(255) default NULL,
  `roleId` int(11) default NULL,
  PRIMARY KEY  (`Id`),
  KEY `roleId` (`roleId`),
  CONSTRAINT `t_user_ibfk_1` FOREIGN KEY (`roleId`) REFERENCES `t_role` (`Id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8


4.创建权限表,我们将权限表命名为t_permission,表格数据是讲shiro.ini中的[roles]部分转换而来,具体内容如下图所示:

CREATE TABLE `t_permission` (
  `Id` int(11) NOT NULL auto_increment,
  `permissionName` varchar(255) default NULL,
  `roleId` int(11) default NULL,
  PRIMARY KEY  (`Id`),
  KEY `roleId` (`roleId`),
  CONSTRAINT `t_permission_ibfk_1` FOREIGN KEY (`roleId`) REFERENCES `t_role` (`Id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8



5.注意,上面的3张表之间是存在主外键关系的,具体内容如下图:

t_permission表中的roldId与t_role表中的Id建立主外键关系。

t_user表中的roleId与t_role表中的Id建立主外键关系。


二.创建我们本文示例工程shiro07

1.创建工程我们可以直接将shiro05工程复制过来,然后修改为shiro07工程目录,具体内容如下图所示:


2.修改pom文件,具体内容如下:

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd">
	<modelVersion>4.0.0</modelVersion>
	<groupId>com.java.shiro</groupId>
	<artifactId>shiro06</artifactId>
	<packaging>war</packaging>
	<version>0.0.1-SNAPSHOT</version>
	<name>shiro05 Maven Webapp</name>
	<url>http://maven.apache.org</url>
	<dependencies>
		<dependency>
			<groupId>junit</groupId>
			<artifactId>junit</artifactId>
			<version>3.8.1</version>
			<scope>test</scope>
		</dependency>
		<dependency>
			<groupId>javax.servlet</groupId>
			<artifactId>javax.servlet-api</artifactId>
			<version>3.1.0</version>
		</dependency>
		<dependency>
			<groupId>javax.servlet.jsp</groupId>
			<artifactId>javax.servlet.jsp-api</artifactId>
			<version>2.3.1</version>
		</dependency>
		<dependency>
			<groupId>javax.servlet</groupId>
			<artifactId>jstl</artifactId>
			<version>1.2</version>
		</dependency>
		<dependency>
			<groupId>log4j</groupId>
			<artifactId>log4j</artifactId>
			<version>1.2.17</version>
		</dependency>
		<dependency>
			<groupId>commons-logging</groupId>
			<artifactId>commons-logging</artifactId>
			<version>1.1</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-core</artifactId>
			<version>1.2.4</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-web</artifactId>
			<version>1.2.4</version>
		</dependency>
		<dependency>
			<groupId>org.slf4j</groupId>
			<artifactId>slf4j-api</artifactId>
			<version>1.7.13</version>
		</dependency>
		<dependency>
			<groupId>mysql</groupId>
			<artifactId>mysql-connector-java</artifactId>
			<version>5.1.22</version>
		</dependency>
	</dependencies>
	<build>
		<finalName>shiro05</finalName>
	</build>
</project>
写入上面的依赖,保存,maven会帮助我们自动的下载相关的包。下载号之后,我们在工程的maven dependencies下就可以看到如下内容,如果有遗漏,请读者认真检查。



3.创建DbUtil.java文件,具体内容如下:

package com.java.util;

import java.sql.Connection;
import java.sql.DriverManager;

/**
 * 数据库工具类
 */
public class DbUtil {

	/**
	 * 获取数据库连接
	 * @return
	 * @throws Exception
	 */
	public Connection getCon() throws Exception{
		Class.forName("com.mysql.jdbc.Driver");
		Connection con=DriverManager.getConnection("jdbc:mysql://localhost:3306/shiro", "root", "1234");
		return con;
	}
	
	/**
	 * 关闭数据库连接
	 * @param con
	 * @throws Exception
	 */
	public void closeCon(Connection con)throws Exception{
		if(con!=null){
			con.close();
		}
	}
	
	public static void main(String[] args) {
		DbUtil dbUtil=new DbUtil();
		try {
			dbUtil.getCon();
			System.out.println("数据库连接成功");
		} catch (Exception e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
			System.out.println("数据库连接失败");
		}
	}
}
为方便介绍后面的内容,这里请大家先进行单元测试,如果有问题,请先按照错误提示进行解决。

4.创建com.java.realm包,创建MyRealm.java文件,具体内容如下:

package com.java.realm;

import java.sql.Connection;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import com.java.dao.UserDao;
import com.java.entity.User;
import com.java.util.DbUtil;

/**
 *@author 作者 E-mail:
 *@version 创建时间:2016年2月15日下午6:59:38
 *类说明
 */
public class MyRealm extends AuthorizingRealm{
	private UserDao userDao = new UserDao();
	private DbUtil dbUtil = new DbUtil();
	/* (non-Javadoc)
	 * @see 为当前用户授予角色与权限
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo( PrincipalCollection principals) {
		String userName = (String) principals.getPrimaryPrincipal();
		SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
		Connection con = null;
		try{
			con=dbUtil.getCon();
			authorizationInfo.setRoles(userDao.getRoles(con,userName));
			authorizationInfo.setStringPermissions(userDao.getPermission(con,userName));
		}catch(Exception e){
			//自行处理
		}
		return authorizationInfo;
	}

	/* (non-Javadoc)
	 * @see 获取认证信息,验证当前登陆的用户
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken token) throws AuthenticationException {
		String userName = (String) token.getPrincipal();
		Connection con = null;
		try{
			con = dbUtil.getCon();
			User user = userDao.getByUserName(con, userName);
			if(user!=null){
				AuthenticationInfo authcInfo = new SimpleAuthenticationInfo(user.getUserName(),user.getPassword(),"xx");
				return authcInfo;
			}else{
				return null;
			}
		}catch(Exception e){
			//自行处理
		}finally{
			try {
				dbUtil.closeCon(con);
			} catch (Exception e) {
				// TODO Auto-generated catch block
				e.printStackTrace();
			}
		}
		return null;
	}

}
5.创建com.java.dao包,创建UserDao.java文件,具体内容如下: 

package com.java.dao;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.util.HashSet;
import java.util.Set;

import javax.swing.text.html.HTMLDocument.HTMLReader.ParagraphAction;

import com.java.entity.User;

/**
 *@author 作者 E-mail:
 *@version 创建时间:2016年2月15日下午8:20:
 *类说明
 */
public class UserDao {
	public User getByUserName(Connection con,String userName)throws Exception{
		User resultUser = null;
		String sql = "select * from t_user where  userName=?";
		PreparedStatement pstment = con.prepareStatement(sql);
		pstment.setString(1,userName);
		ResultSet rs = pstment.executeQuery();
		if(rs.next()){
			resultUser = new User();
			resultUser.setId(rs.getInt("id"));
			resultUser.setUserName(rs.getString("userName"));
			resultUser.setPassword(rs.getString("password"));
		}
		return resultUser;
	}

	public Set<String> getRoles(Connection con, String userName)throws Exception {
		Set<String> roles = new HashSet<String>();
		String sql="select * from t_user u,t_role r where u.roleId=r.id and u.userName=?";
		PreparedStatement pstment = con.prepareStatement(sql);
		pstment.setString(1,userName);
		ResultSet rs = pstment.executeQuery();
		while(rs.next()){
			roles.add(rs.getString("roleName"));
		}
		return roles;
	}

	public Set<String> getPermission(Connection con, String userName) throws Exception {
		Set<String> permissions = new HashSet<String>();
		String sql = "select * from t_user u,t_role r,t_permission p where u.roleId=r.id and p.roleId=r.id and u.userName=?";
		PreparedStatement pstment = con.prepareStatement(sql);
		pstment.setString(1,userName);
		ResultSet rs = pstment.executeQuery();
		while(rs.next()){
			permissions.add(rs.getString("permissionName"));
		}
		return null;
	}
}

6.创建com.java.entity包,创建User.java文件,具体内容如下: 

package com.java.entity;
/**
 *@author 作者 E-mail:
 *@version 创建时间:2016年2月15日下午8:21:45
 *类说明
 */
public class User {
	private Integer id;
	private String userName;
	private String password;
	public Integer getId() {
		return id;
	}
	public void setId(Integer id) {
		this.id = id;
	}
	public String getUserName() {
		return userName;
	}
	public void setUserName(String userName) {
		this.userName = userName;
	}
	public String getPassword() {
		return password;
	}
	public void setPassword(String password) {
		this.password = password;
	}
	
}

7.最后我们来创建新的shiro.ini配置文件,具体内容如下: 

[main]
authc.loginUrl=/login
roles.unauthorizedUrl=/unauthorized.jsp
perms.unauthorizedUrl=/unauthorized.jsp
myRealm=com.java.realm.MyRealm
securityManager.realms=$myRealm
[urls]
/login=anon
/admin*/**=authc
/student=roles[teacher]
/teacher=perms["user:create"]
8.最后,我们部署,启动tomcat,在浏览器中观察在输入正确的用户名密码,错误的用户名密码。控制台如何输出,以及请读者在debug模式下观察程序执行流程。

--------------------------------------------------------------------------------------------------------------------------------------------------

至此,shiro入门实战笔记(10)--自定义Realm结束

备注:

本节所示的内容非常非常非常重要,请各位看官一定亲自动手实践一次,并且在debug模式下跟踪程序执行流程。

参考资料:

官方文档:http://shiro.apache.org/documentation.html

其他博文:http://jinnianshilongnian.iteye.com/blog/2018936










y-yg
关注
专栏目录
shiro使用总结-自定义Realm
颗粒归仓
08-21 644
上篇博客的代码使用的是shiro自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义realmshiro提供的realm 最基础的是Realm接口,CachingRealm负责缓存处理,AuthenticationRealm负责认证,AuthorizingRealm负责授权,
Shiro自定义Realm
zhouym_的博客
07-16 283
将数据源信息定义在ini文件中会与我们实际开发环境有很大不兼容,所以此时希望能够自定义Realm自定义Realm类 需要我们创建一个自定义realm类,继承AuthorizingRealm,重写doGetAuthenticationInfo和doGetAuthorizationInfo两个方法 package com.zhouym.realm; import org.apache.shir...
Shiro 中的 Realm
热门推荐
尽力而为
05-29 2万+
之前写项目用了 Shiro 框架,来进行安全验证以及权限管理。当时项目赶得急,没怎么深入了解,只能说能跑能改,不过在使用的过程中发现 Shiro 确实很优秀。现在回过头来学习原理,读读源码,深入的学习下。· 本篇博文主要写的是关于使用 Shiro 起步时最重要的一块,找了一些资料,力求写得简单明了。
shiro讲解之 Realm
Dusty丶one的博客
10-28 782
shiro讲解之 Realm本章节我们将详细讲解一下ShiroRealm。概念 官方文档As mentioned above, Realms act as the ‘bridge’ or ‘connector’ between Shiro and your application’s security data. When it comes time to actually interact w
shiro实战教程笔记
LIUZEYU12A
07-03 660
1. 权限管理 1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或安全策略控制用户可以访问并且只能访问被授权的资源。 1.2 什么是身份认证 身份认证 就是判断一个用户是否为合法用户的过程,最简单方式就是根据用户输入的用户名和密码,和系统存储层一致不,来判断用户身份是否正确。 1.3 什么是身份授权 身份授权 即访问控制,控制谁能访问那些资源,不同的用户应该拥有不同的资源访问权限,常见的有学校的教务管理系统:有教.
Apache Shiro Realms
iteye_9972的博客
04-19 104
Apache Shiro Realms Realm 是可以访问程序特定的安全数据如用户、角色、权限等的一个组件。Realm会将这些程序特定的安全数据转换成一种shiro可以理解的形式,shiro就可以依次提供容易理解的Subject程序API而不管有多少数据源或者程序中你的数据如何组织。 Realm 通常和数据源如数据库、LDAP目录、文件系统或者其它类似的数据源是一对一的关系,所以,可以...
shiro教程之三自定义realm
oatmeal2015的博客
08-22 333
使用java以及ini文件来测试如何利用散列以及自定义匹配器来测试自定义realm以及如何使用自己的自定义匹配器 自定义realm的项目结构 1、自定义realm,继承 AuthorizingRealm 重写3方法:getName doGetAuthorizationInfo doGetAuthenticationInfo 自定义realm public class MyReal...
shiro入门实战笔记(11)--加密/解密
y-yg的博客
02-20 1万+
[本系列文章是博主的学习笔记,而非经典教程,特此说明] 在前面的文章中,我们在数据库中使用明文存储了用户名密码等敏感信息,这在我们开放的网络环境。一旦账号密码泄露,这对于客户的损失将是不可估量的。因此我们有必要来学习一下常用的安全性较好的加密/解密算法。另外,在下文中,我们仅仅举例如何使用加密解密,而不会探讨加密算法本身的设计与实现,感兴趣的读者请自行查阅相关资料。 准备工作: a.操作系统
2.2 SpringBoot与Shiro整合-权限管理实战-课堂笔记.docx
04-14
然而,对于已经熟悉Shiro的开发者,可能需要更深入的高级话题,如自定义Realm、缓存策略、分布式会话管理等。 总之,Spring Boot与Shiro的结合,为我们提供了一个便捷且强大的安全解决方案,使得在Java应用中实现...
Springboot整合shiro_springboot shiro,程序人生
最新发布
m0_60567881的博客
04-18 478
RBAC是Role-Based Access Control(基于角色的访问控制)的缩写。它是一种广泛应用于安全管理中的访问控制模型。RBAC模型通过授予用户不同的角色,并将角色与权限进行关联,来管理对资源的访问。角色(Role):角色是一组具有相似职责和权限的用户集合。例如,管理员、编辑、访客等都可以是角色。权限(Permission):权限是指执行特定操作或访问特定资源的能力。例如,读取、写入、删除等操作可以被视为不同的权限。用户(User):用户是系统中的个体,可以被授予一个或多个角色。
微服务学习笔记1-SpringBoot
aoliaoliaoo的博客
03-30 3597
SpringBoot 1、SpringBoot简介 SpringBoot是一个javaweb的开发框架,简化开发,约定大于配置! SpringBoot的主要优点: 让Spring开发者更快的入门 开箱即用,提供各种默认配置来简化项目配置 内嵌式容器简化Web项目 没有冗余代码生成和XML配置的要求 2、微服务简介 单体架构:打包成一个独立的单元(导入一个jar包或者是一个war包)部署完成应用之后,应用通过一个进程的方式来运行,例如,MVC三层架构 微服务架构:一个大型的复杂软件应用,由一个或者多个微
Shiro 权限管理入门之认证与授权,java项目经理面试常见问题及答案
m0_64867688的博客
12-17 279
身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。 什么是授权? 授权,即 访问控制,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的。 Shiro 是什么? ===========================================.
shiro自定义realm
futao127的博客
05-28 332
public class UserRealm  extends AuthorizingRealm { /** * 授权 */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { System.out.println("UserRealm.doGetAuth...
shiro入门实战笔记(2)--helloworld
y-yg的博客
02-06 1139
这篇文章开始,我们将演示shiro的基本实例,另外,正如前文所述,如果读者希望尽快了解shiro的相关内容,请移步到前文参考资料的链接中。下面,我们来通过实际的代码,展示shiro的相关概念。 准备工作: a.操作系统:win7 x64 b.开发工具:myeclipse 2014,jdk1.7,maven3.3.3 -----------------------------------
6、 Shiro中的自定义Realm
全栈软件工程师-陈征峰的博客
07-15 345
Shiro中的自定义Realm
Shiro-Realm
汪小哥
12-18 4656
Realm:域,Shiro 从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看 成DataSource , 即安全数据源。如我们之前的ini 配置方式将使用 org.apache.shiro
Shiro核心——Realm
小凯的博客
03-08 767
shiro核心原理中的Realm笔记整理
Shiro自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)
07-12 1360
Shiro自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值