shiro配置多realm,会执行多次授权操作即执行各个realm的doGetAuthorizationInfo方法

最新推荐文章于 2024-05-07 01:30:00 发布
最新推荐文章于 2024-05-07 01:30:00 发布
阅读量1k 收藏
点赞数 1
分类专栏: SpringBoot 文章标签: shiro java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ITxiaofeixiang/article/details/112008166
版权

shiro配置多realm,会执行多次授权操作即执行各个realm的doGetAuthorizationInfo方法

查看原因

  1. 调用授权
  Subject subject = SecurityUtils.getSubject();
  subject.isPermitted("abc");
  1. 进入isPermitted方法
    会进入Subject接口下的一个实现类DelegatingSubject其中方法:
 public boolean isPermitted(String permission) {
        return hasPrincipals() && securityManager.isPermitted(getPrincipals(), permission);
    }
  1. 进入SecurityManager的isPermitted方法
    说明:Authorizer(授权器/者)下有很多实现类,如下图:
    在这里插入图片描述
  2. 进入ModilarRealmAuthorizer找到如下方法:
    public boolean isPermitted(PrincipalCollection principals, Permission permission) {
        assertRealmsConfigured();
        for (Realm realm : getRealms()) {
            if (!(realm instanceof Authorizer)) continue;
            //只要是Authorizer下的realm都会去认证,也就意味着多个realm都会认证。不知道能不能这样理解。如有错误,麻烦指正。
            if (((Authorizer) realm).isPermitted(principals, permission)) {
                return true;
            }
        }
        return false;
    }

解决方案

使用自定义的RealmAuthorizer

package com.finn.springboot002.common.config.shiro.config;

import com.finn.springboot002.common.config.shiro.realms.JwtRealm;
import org.apache.shiro.authz.Authorizer;
import org.apache.shiro.authz.ModularRealmAuthorizer;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.subject.PrincipalCollection;

/**
 * 自定义授权器。
 * 解决授权使用ShiroRealm的doGetAuthorizationInfo问题
 */
public class CustomerAuthrizer extends ModularRealmAuthorizer {
    @Override
    public boolean isPermitted(PrincipalCollection principals, String permission) {
        assertRealmsConfigured();

        for (Realm realm : getRealms()) {
            if (!(realm instanceof Authorizer)) continue;
			//做一个类型判断
            if (realm instanceof JwtRealm) {
                return ((JwtRealm) realm).isPermitted(principals, permission);
            }
        }
        return false;
    }
}

然后需要在你的shiroConfig配置该bean

    @Bean
    public ModularRealmAuthorizer authorizer(){
        ModularRealmAuthorizer authorizer = new CustomerAuthrizer();
        return authorizer;
    }

继续在shiroConfig配置文件中,securityManager配置

    @Bean(value = "securityManager")
    public DefaultWebSecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //1.使用自定义认证器
        securityManager.setAuthenticator(authenticator());
        //2.使用自定义授权器
        securityManager.setAuthorizer(authorizer());
		//更多配置
        return securityManager;
    }

这样会解决isPermitted的授权问题。其他的如:
checkPermission
hasRole
等策略,需要自行配置。

总结

我感觉不靠谱!!!不知道有没有其他解决方案。而且原因找的不是很令人信服。有大佬了解的话。感谢指导!!!

悲雨叹风
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
shiro框架多realm权限认证配置
秋雨 De Blog
11-03 605
我们做shiro框架经常遇到这种情况,用户数量很多,又不在同一个表里,比如管理员一个表,用户一个表,商家一个表。这时我们就需要用到多realm配置让他们用不同得realm来进行权限认证
shiro的权限验证方法doGetAuthorizationInfo执行了两次
大海无量的博客
03-02 7261
每次调用接口时,doGetAuthorizationInfo执行了两次。 // 权限配置(注解方式) /** * 下面的代码是添加注解支持 */ // @Bean // @DependsOn("lifecycleBeanPostProcessor") // public DefaultAdvisorAutoProxyCreator ...
Shiro——多个Realm的使用与实现
最新发布
程序员阿皓的博客
05-07 337
Shiro——多个Realm的使用与实现
Shiro授权信息刷新 | doGetAuthorizationInfo()不执行
qq_32352777的博客
06-10 3155
1
shiro篇---配置多个realmrealms】
m0_67393157的博客
04-07 605
securityManager的配置 当调用SecurityUtils. getSubject().login( token); 即subject的login 方法;默认调用realm里面的 doGetAuthenticationInfo方法进行身份验证。但上面设置了配置使用自定义认证器 进入这个,再决定进入哪个realm. 验 证成功后进入当前realm的 doGetAuthorizationInfo 方法进行授权 ...
触发shiro中重写realm中doGetAuthorizationInfo 授权方法的几种方式
taiguolaotu的博客
10-20 556
shiro 标签 controller接口上的权限注解 等等 还有就是 清空用户授权信息缓存getAuthorizationCache() 看源码 清空shiro缓存 ,重新走realm中重写的doGetAuthorizationInfo方法从数据看查询数据权限 参考链接 这辈子坚持与不坚持都不可怕,怕的是独自走在坚持的道路上!!! ...
CAS+Shiro 自定义 pac4jRealm 每次判断权限都要重复执行doGetAuthorizationInfo()两次
xiyafei122的博客
03-18 980
代码如下: public class UserRealm extends Pac4jRealm(){ @Override public AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // TODO Auto-generated method stub System.out.println("Onece"); Set<String> roles=new
Springboot2.1.4整合ApacheShiro时,doGetAuthorizationInfo执行两次的解决方法
weixin_44632986的博客
05-24 2456
ShiroConfig配置类中增加如图缓存就正常了。 以下为引入的具体缓存依赖: org.apache.shiro shiro-ehcache x.x.x
Spring配置shiro时自定义Realm中属性无法使用注解注入的解决办法
08-26
Spring集成Shiro进行安全控制时,我们常常需要自定义Realm来实现权限验证与授权功能。然而,在实际操作中,可能遇到一个问题:当我们在自定义的Realm类中使用注解(@Autowired)尝试注入Spring管理的Bean时,这些...
shiro执行授权方法 doGetAuthorizationInfo()
05-01
总之,解决“Shiro执行授权方法 `doGetAuthorizationInfo()`”的问题,需要从配置、代码逻辑和日志等多个角度进行排查。确保 Shiro 的各个组件能够正确交互,才能确保权限控制的有效性。在实际应用中,遇到此类...
Shiro基本使用详解以及多Realm使用和配置.rar
08-09
Shiro基本使用详解以及多Realm使用和配置,拿来可以直接使用,也可以在此基础上进行自己业务逻辑的添加和修改,如果希望进一步深入学习,可以查看我的博客,可以查看...或给我留言
shiro-realm案例
03-02
2. `doGetAuthorizationInfo`: 这个方法用于执行授权Shiro在用户登录成功后,调用此方法来获取用户的权限信息。你需要在这里实现从数据源加载用户角色和权限的逻辑。返回一个`AuthorizationInfo`对象,包含用户...
Apache Shiro 使用手册(四) Realm 实现
01-09
正如前文所提到的,Shiro的认证过程最终交由Realm执行,这时调用Realm的getAuthenticationInfo(token)方法。 该方法主要执行以下操作: 1、检查提交的进行认证的令牌信息 2、根据令牌信息从数据源(通常为数据库)...
springboot shirorealm配置认证、授权
baicu7502的博客
05-15 877
shiro进行登录认证和权限管理的实现。其中需求涉及使用两个角色分别是:门店,公司。现在要两者实现分开登录。即需要两个Realm——MyShiroRealmSHOP和MyShiroRealmCOMPANY,分别处理门店,公司的验证功能。 但是正常情况下,当定义了多个Realm,无论是门店登录还是公司登录,都由这两个Realm共同处理。这是因为,当配置了多个Realm时,我们通常使用的...
shiro-2】自定义Realm
desperado0726的博客
02-25 89
创建MyRealm import com.kang.model.User; import org.apache.shiro.authc.*; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.authz.SimpleAuthorizationInfo; import org.apache.shiro.r...
shiro的一次认证多次授权
weixin_38040972的博客
10-18 2541
shiro的一次认证多次授权 springboot整合shiro(使用@Bean注解的形式配置javabean) 1.先在pom文件中引入shiro的jar包; &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-all&lt;/artifactId&gt; ...
shiro实现多个realm的认证和授权
kuai_le_de_xiao_erbi的博客
01-02 4795
认证的话大家可以参考这个链接shiro实现不同身份使用不同Realm进行验证 这里具体说一下授权的处理,下面是我的代码public class CustomerAuthrizer extends ModularRealmAuthorizer { @Override public boolean isPermitted(PrincipalCollection principals,
shiro授权过程
ITWANGBOIT的博客
10-14 884
1:通过继承shiro的AuthorizingRealm类,并实现它的doGetAuthorizationInfo方法来进行授权。 2:doGetAuthorizationInfo方法的参数是认证通过的principal的集合(因为可多个realm,且有不同的认证策略) 3:doGetAuthorizationInfo方法的作用就是:登录认证成功之后,根据认证通过的principal,...
Shiro自定义过滤器执行两次?看我怎么给你解决
Python专栏
06-07 813
其中第一次是作为shiroFilterChain中的过滤器被shiroFilter调用的,另外又在全局过滤器中注册了我们自定义的过滤器,这就导致了在shirofilter之后,该过滤器又被被执行了一次!这个问题困扰了他一个下午都没有解决,最后不得不求助我来帮忙,那我们就来复现一下这个问题,并给出对应的解决方案吧。现在你发现,Filter处理一次请求执行两次的情况就没有了,现在你知道如何解决这个bug了吗?从控制台的信息中我们可以看出,日志被打印了两次,那么这个问题到底是怎么产生的呢?
shiro多个realm
09-02
Shiro 支持在一个应用程序中同时使用多个 Realm 来进行身份认证和授权。这种情况通常发生在应用程序中存在多个身份验证和授权的方式,或者需要与多个用户存储系统进行交互的情况下。 要配置多个 Realm,你可以在 Shiro配置文件中指定每个 Realm 的详细信息。在配置文件中,你可以使用 `securityManager.realms` 属性来指定多个 Realm 的实现类,并为每个 Realm 配置相应的属性。 以下是一个示例配置文件中配置两个 Realm 的例子: ```ini [main] # ... securityManager.realms = $myRealm1, $myRealm2 myRealm1 = com.example.realm.MyRealm1 myRealm1.someProperty = someValue1 myRealm2 = com.example.realm.MyRealm2 myRealm2.someProperty = someValue2 ``` 在上面的示例中,`securityManager.realms` 属性指定了两个 Realm:`myRealm1` 和 `myRealm2`。对应的类名分别为 `com.example.realm.MyRealm1` 和 `com.example.realm.MyRealm2`。 每个 Realm 都可以配置自己的属性,例如 `someProperty`。你可以根据自己的需求配置每个 Realm 的属性。 配置完成后,Shiro按照配置文件中定义的顺序依次尝试每个 Realm 进行身份验证和授权操作。 希望这个简单的示例能够帮助你理解 Shiro 多个 Realm配置和使用。如有更多疑问,请随时继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值