使用自定义Realm后如何进行认证及授权

最新推荐文章于 2023-07-12 17:45:00 发布
最新推荐文章于 2023-07-12 17:45:00 发布
阅读量955 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Randal_wang/article/details/109285121
版权
在使用自定义Realme之后subject如何进行认证
securityManager配置
@Bean
public DefaultWebSecurityManager securityManager(AdminRealm adminRealm, WxRealm wxRealm,
                                                 DefaultWebSessionManager sessionManager,
                                                 CustomAuthenticator authenticator) {

    DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();

    //添加realm
    ArrayList<Realm> realms = new ArrayList<>();
    realms.add(adminRealm);
    realms.add(wxRealm);
    defaultWebSecurityManager.setRealms(realms);

    defaultWebSecurityManager.setSessionManager(sessionManager);
    //此处设定的是自定义authenticator
    defaultWebSecurityManager.setAuthenticator(authenticator);
    return defaultWebSecurityManager;
}

@Bean
public CustomAuthenticator authenticator(AdminRealm adminRealm, WxRealm wxRealm) {
    CustomAuthenticator customAuthenticator = new CustomAuthenticator();
    ArrayList<Realm> realms = new ArrayList<>();
    realms.add(adminRealm);
    realms.add(wxRealm);
    customAuthenticator.setRealms(realms);
    return customAuthenticator;
}

@Component
public class CustomAuthenticator extends ModularRealmAuthenticator {


    @Override
    protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) {

        this.assertRealmsConfigured();
        Collection<Realm> originRealms = this.getRealms();
        MallToken mallToken = (MallToken) authenticationToken;
        String type = mallToken.getType();
        ArrayList<Realm> realms = new ArrayList<>();

        for (Realm originRealm : originRealms) {
            if (originRealm.getName().toLowerCase().contains(type)) {
                realms.add(originRealm);
            }
        }
        return realms.size() == 1 ? this.doSingleRealmAuthentication((Realm)realms.iterator().next(), authenticationToken) : this.doMultiRealmAuthentication(realms, authenticationToken);
    }
}

首先在controller中使用subject.login方法,传入token

@CountTime
@RequestMapping("login")
public Result login(@RequestBody LoginBo loginBo) {

    MallToken adminToken = new MallToken(loginBo.getUsername(), loginBo.getPassword(), "admin");
    Subject subject = SecurityUtils.getSubject();
    subject.login(adminToken);
    return Result.ok(subject.getSession().getId());
}

而Subject是一个接口,由DelegatingSubject类实现接口来具体实现login方法,而在第3行中又由this.securityManager调用login , 并传入token

public void login(AuthenticationToken token) throws AuthenticationException {
    this.clearRunAsIdentitiesInternal();
    Subject subject = this.securityManager.login(this, token);
    String host = null;
    PrincipalCollection principals;
    if (subject instanceof DelegatingSubject) {
        DelegatingSubject delegating = (DelegatingSubject)subject;
        principals = delegating.principals;
        host = delegating.host;
    } else {
        principals = subject.getPrincipals();
    }

    if (principals != null && !principals.isEmpty()) {
        this.principals = principals;
        this.authenticated = true;
        if (token instanceof HostAuthenticationToken) {
            host = ((HostAuthenticationToken)token).getHost();
        }

        if (host != null) {
            this.host = host;
        }

        Session session = subject.getSession(false);
        if (session != null) {
            this.session = this.decorate(session);
        } else {
            this.session = null;
        }

    } else {
        String msg = "Principals returned from securityManager.login( token ) returned a null or empty value.  This value must be non null and populated with one or more elements.";
        throw new IllegalStateException(msg);
    }
}

此处this.securityManager为DelegatingSubject类中

protected transient SecurityManager securityManager;

此SecurityManager是一个接口

public interface SecurityManager extends Authenticator, Authorizer, SessionManager {
    Subject login(Subject var1, AuthenticationToken var2) throws AuthenticationException;

    void logout(Subject var1);

    Subject createSubject(SubjectContext var1);
}

由DefaultSecurityManager类对login方法做了具体实现 , 其中第4行又调用了authenticate方法 , 传入token。但是DefaultSecurityManager本身并没有实现authenticate(token)方法,此处调用方法时调用的是其父类(AuthenticatingSecurityManager)方法

public Subject login(Subject subject, AuthenticationToken token) throws AuthenticationException {
    AuthenticationInfo info;
    try {
        info = this.authenticate(token);
    } catch (AuthenticationException var7) {
        AuthenticationException ae = var7;

        try {
            this.onFailedLogin(token, ae, subject);
        } catch (Exception var6) {
            if (log.isInfoEnabled()) {
                log.info("onFailedLogin method threw an exception.  Logging and propagating original AuthenticationException.", var6);
            }
        }

        throw var7;
    }

    Subject loggedIn = this.createSubject(token, info, subject);
    this.onSuccessfulLogin(token, info, loggedIn);
    return loggedIn;
}

public AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {
    return this.authenticator.authenticate(token);
}

this.authenticator再次调用authenticate 。因为之前的securityManager配置,所以此处的this.authenticator为CustomeAuthenticator类

private Authenticator authenticator = new ModularRealmAuthenticator();
public void setAuthenticator(Authenticator authenticator) throws IllegalArgumentException {
        if (authenticator == null) {
            String msg = "Authenticator argument cannot be null.";
            throw new IllegalArgumentException(msg);
        } else {
            this.authenticator = authenticator;
        }
    }
}

public AuthenticationInfo authenticate(AuthenticationToken token) throws AuthenticationException {
    return this.authenticator.authenticate(token);
}

而CustomeAuthenticator又重写了authenticate方法,直到最后执行this.doSingleRealmAuthentication((Realm)realms.iterator().next(),authenticationToken)由父类ModularRealmAuthenticator执行

public class CustomAuthenticator extends ModularRealmAuthenticator {

    @Override
    protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) {

        this.assertRealmsConfigured();
        Collection<Realm> originRealms = this.getRealms();
        MallToken mallToken = (MallToken) authenticationToken;
        String type = mallToken.getType();
        ArrayList<Realm> realms = new ArrayList<>();

        for (Realm originRealm : originRealms) {
            if (originRealm.getName().toLowerCase().contains(type)) {
                realms.add(originRealm);
            }
        }
        return realms.size() == 1 ? this.doSingleRealmAuthentication((Realm)realms.iterator().next(), authenticationToken) : this.doMultiRealmAuthentication(realms, authenticationToken);
    }
}

protected AuthenticationInfo doSingleRealmAuthentication(Realm realm, AuthenticationToken token) {
    if (!realm.supports(token)) {
        String msg = "Realm [" + realm + "] does not support authentication token [" + token + "].  Please ensure that the appropriate Realm implementation is " + "configured correctly or that the realm accepts AuthenticationTokens of this type.";
        throw new UnsupportedTokenException(msg);
    } else {
        AuthenticationInfo info = realm.getAuthenticationInfo(token);
        if (info == null) {
            String msg = "Realm [" + realm + "] was unable to find account data for the " + "submitted AuthenticationToken [" + token + "].";
            throw new UnknownAccountException(msg);
        } else {
            return info;
        }
    }
}

执行到realm.getAuthenticationInfo(token),Realm是一个接口,此方法由AuthenticatingRealm实现,且被final关键字修饰,所以不能被重写。因为这个项目并没有加入缓存机制,所以会执行第5行info = this.doGetAuthenticationInfo(token),如有缓存机制,则执行this.assertCredentialsMatch(token, info);

public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    AuthenticationInfo info = this.getCachedAuthenticationInfo(token);
    if (info == null) {
        info = this.doGetAuthenticationInfo(token);
        log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);
        if (token != null && info != null) {
            this.cacheAuthenticationInfoIfPossible(token, info);
        }
    } else {
        log.debug("Using cached authentication info [{}] to perform credentials matching.", info);
    }

    if (info != null) {
        this.assertCredentialsMatch(token, info);
    } else {
        log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);
    }

    return info;
}

这是一个抽象方法,因为是在adminRealm上调用,所以会执行AdminRealm的doGetAuthenticationInfo方法,最后返回SimpleAuthenticationInfo

protected abstract AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken var1) throws AuthenticationException;

@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

    MallToken adminToken = (MallToken) authenticationToken;
    String username = adminToken.getUsername();
    //从数据库中取出数据
    Admin admin = adminMapper.selectAdminByUsername(username);
    String credential = admin.getPassword();
    SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username, credential, this.getName());
    return authenticationInfo;
}

不断返回之后,在这里进行加密匹配,也可以自定义明文匹配

public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    AuthenticationInfo info = this.getCachedAuthenticationInfo(token);
    if (info == null) {
        info = this.doGetAuthenticationInfo(token);
        log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);
        if (token != null && info != null) {
            this.cacheAuthenticationInfoIfPossible(token, info);
        }
    } else {
        log.debug("Using cached authentication info [{}] to perform credentials matching.", info);
    }

    if (info != null) {
        this.assertCredentialsMatch(token, info);
    } else {
        log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);
    }

    return info;
}

protected void assertCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) throws AuthenticationException {
    CredentialsMatcher cm = this.getCredentialsMatcher();
    if (cm != null) {
        if (!cm.doCredentialsMatch(token, info)) {
            String msg = "Submitted credentials for token [" + token + "] did not match the expected credentials.";
            throw new IncorrectCredentialsException(msg);
        }
    } else {
        throw new AuthenticationException("A CredentialsMatcher must be configured in order to verify credentials during authentication.  If you do not wish for credentials to be examined, you can configure an " + AllowAllCredentialsMatcher.class.getName() + " instance.");
    }
}

此处doCredentialsMatch(token, info)有四种密码器匹配模式,具体调用哪种还有待验证。

AllowAllCredentialsMatcher为有用户名就通过,SimpleCredentialsMatcher为简单的相等,剩余两种采用加密算法进行密码验证。

在这里插入图片描述

至此,认证的基本流程就结束了。

在使用自定义Realme之后subject如何进行授权

授权时调用doGetAuthenticationInfo(AuthenticationToken authenticationToken)方法,是在SecurityUtils.getSubject.isPermitted时调用 , 而我们平常用注解@RequirePermissions()时则会调用SecurityUtils.getSubject().isPermitted() , 最终可以调用到自定义Realm中重写的doGetAuthenticationInfo(AuthenticationToken authenticationToken)方法

Randal_wang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈Shiro框架在Spring Boot中的认证应用
hogwarts_ziqi的博客
08-05 320
客户端提交用户账号和密码,在Controller中拿到账号和密码封装到token对象,然后借助subject的login方法,把数据提交给SecurityManager,使用Authenticator处理token,Authenticator从Realm列表中获取LdapRealm,LdapRealm从token中获取数据,交给authenticate进行比对,对比通过返回AuthenticationInfo。另一种是注解的方式,实现细粒度控制,但只能是在方法上控制,无法控制类级别访问。...
SpringBoot:集成Shiro之自定义Realm实现认证授权
得不到的永远是骚栋.
01-21 1083
前言 前面的两篇博客使用了INI的形式完成了用户认证授权操作.我曾经多次在博客中提到过INI文件形式进行认证授权只适用于用户较少的情况下,但是,当用户较多的情况下,我们可能需要数据库来管理,这时候,我们就需要自定义Realm了. 接下来,我们来看一下如何使用自定义Realm实现认证授权操作. 自定义Realm的继承与创建 前面我们说到我们要自定义Realm,首先我们需要先确定我们定义的Realm类中所需要的功能都需要什么,我们需要缓存功能,认证功能,授权功能,三大功能 .我们首先看一下INiR..
自定义Realm实现简单认证授权
qq_43332570的博客
06-28 327
1、自定义Realm public class UserRealm extends AuthorizingRealm { private StuServiceImpl stuService = new StuServiceImpl(); private RoleServiceImpl roleService = new RoleServiceImpl(); private PermissionServiceImpl permissionService = new Permissio
shiro——认证Authentication
dgh112233的博客
08-20 303
目录 1. 类图 2、ModularRealmAuthenticator 类 1. 类图 Authenticator是认证的入口。 2、ModularRealmAuthenticator 类 这是一个shiro自带的类,实现了Authenticator接口,作用是方便我们配置多个Realm。 假设定义Realm1 、Realm2、 Realm3 是三个实现了Realm接口的类。 ...
ModularRealmAuthenticator类
iteye_10899的博客
11-04 2222
ModularRealmAuthenticator类主要是用来实现项目中出现多realm的情况下,根据认证策略来对各个realm进行认证,它继承了AbstractAuthenticator抽象类,先对其解析如下: 1.AbstractAuthenticator抽象类 可以参照AbstractAuthenticator抽象类源码解析,主要实现了认证并且在认证成功或者失败后通知认证监听器组。 ...
Springboot shiro认证授权实现原理及实例
08-19
Springboot shiro 认证授权实现原理及实例 作为一款流行的 Java 框架,Spring Boot 提供了许多插件来支持开发过程,而 Shiro 则是一个功能强大的身份验证和授权框架。下面,我们将详细介绍 Spring Boot 中如何使用 ...
shiro认证授权demo
10-28
这个"shiro认证授权demo"应该包含了设置Shiro环境、配置 Realm、创建 SecurityManager、定义用户角色和权限以及处理登录、登出等核心功能的示例代码。 1. **Shiro环境设置**:首先,需要在项目中引入Shiro的依赖...
shiro权限框架自定义Realm示例
09-10
4. ** 集成自定义Realm**:在应用启动时,Shiro会自动发现并使用配置中的Realm来处理认证授权请求。确保在应用程序启动后,Shiro能够正确地加载和使用这个自定义Realm。 5. ** 测试和调试**:创建一个测试用例,...
shiro web中自定义Realm
02-01
自定义Realm可以让我们更好地控制认证授权的过程,以满足业务逻辑。以下将详细介绍如何在Shiro中创建自定义Realm。 1. **创建自定义Realm类** 自定义Realm需要继承Shiro的`AuthorizingRealm`类,因为我们需要...
用于测试shiro中自定义Realm的测试代码
04-05
在这个名为“用于测试shiro中自定义Realm的测试代码”的项目中,我们主要关注的是如何自定义Realm来适应特定的认证授权需求。 Realm在Shiro中扮演着核心角色,它是Shiro与应用程序特定的安全存储(如数据库、...
CustomBlocks:SpigotPaperMC的自定义块。 该项目的灵感来自Origin Realms Custom Block System
03-15
自定义块 Spigot / PaperMC的自定义块。 该项目的灵感来自Origin Realms Custom Block System 仅1.16.5(NMS,以后可以更改) 此插件需要一个资源包来加载examples included as zip files的纹理examples included as zip files 欢迎使用规范进行任何形式。 依赖项: 这个插件带有集成为tabCompletion它支持WorldEdit [开发中] 贡献者 没有 由MonkeyKiller(c)2021编码
六、realm
Mr丶Yang
09-20 352
realm Realm:Shiro 从 Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法,也需要从 Realm 得到用户相应的角色/权限进行验证用户是否能进行操作。 可以配置多...
Shiro【自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)
最新发布
07-12 1239
Shiro【自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)
Shiro身份验证/授权源码学习小结
ShangHai0123的博客
12-17 2593
shiro身份验证流程 token委托 通过Subject调用login(token) 方法,将用户产生的token委托给SecurityManager 然后SecurityManager将token委托给Authenticator 最后Authenticator将token委托给ModularRealmAuthenticator进行身份验证的处理 ModularRealmAuthenticator会根据注入Realm的个数决定验证流程 单Realm情况 ModularRealmAuthen.
Shiro之多Realm认证认证策略-yellowcong
m0_67392010的博客
08-24 503
多重认证是操作的是多个Realm。第一种方式是,在ModularRealmAuthenticator里面可以配置多个Reamls,默认的验证策略是,至少一个满足即可(AtLeastOneSuccessfulStrategy)。建议将多Realm配置在DefaultWebSecurityManager ,将验证策略和Reaml分开来管理,也就是下面,多重认证的第二种方式。
Shiro多个Realm认证授权
m0_67393828的博客
08-24 291
这里需要注意是 其实 流程是:在给DefaultUsernamepasswordToken赋值时,将loginType设置成相应的参数,然后在doAuthenticate时判断,单个调用对应的Realm。利用SecurityManager来进行配置。这样就完成了多个Realm认证,其实这种也只能算是单个Realm,毕竟是多个分割成单个去校验,还请大家多多指教。而后生成getter setter;用来接收传进来的多个Realm
Shiro原理讲解
qq_42814833的博客
12-30 5176
从请求的开始,到Subject的创建、认证授权、会话。本文讲述shiro对web请求的安全处理、SecurityManager的工作流程、shiro如何制作一个带有会话的角色。大致说明shiro的工作流程和讲解部分源码。
关于身份认证中的Authenticator及AuthenticationStrategy
qq383264679的专栏
06-13 3866
在流程图3中,有Authenticator和AuthenticationStrategy2个接口。 Authenticator的职责是验证用户帐号,是Shiro API中身份验证核心的入口点:          它只有一个方法: public AuthenticationInfo authenticate(AuthenticationToken authenticationToken)
Apache shiro源码解读——Realm调用过程(从SecurityUtils.getSubject().login(token)开始)
南熏门前一只喵
07-30 2639
文章目录shiro是啥shiro中的三个核心模型抽象从SecurityUtils.getSubject().login(token)开始一段源码解读自定义Realm的两种轻松实现方式方式一方式二 shiro是啥 根据官网介绍,“Apache Shiro™ is a powerful and easy-to-use Java security framework that performs auth...
如何shiro框架进行认证授权
07-11
Shiro框架是一个功能强大的Java安全框架,可以用于认证授权。下面是使用Shiro进行认证授权的基本步骤: 1. 添加Shiro依赖:在你的项目中添加Shiro的相关依赖,可以通过Maven或者Gradle进行引入。 2. 配置Shiro:创建一个Shiro的配置文件(通常是一个ini文件),配置Shiro的一些基本信息,例如Realm、Session管理等。你可以根据你的需求进行配置。 3. 创建RealmRealm是Shiro用来进行认证授权的核心组件。你需要实现一个自定义Realm来实现用户认证授权逻辑。在Realm中,你可以通过重写相应的方法来实现自定义认证授权逻辑,例如验证用户名密码、查询用户角色和权限等。 4. 认证:在用户登录时,你可以通过调用Shiro提供的Subject.login方法来进行认证。该方法会将用户提交的用户名和密码传递给你自定义Realm进行验证。如果验证通过,Shiro会将用户信息保存在Session中。 5. 授权:在用户进行操作时,你可以通过调用Shiro提供的Subject.hasRole和Subject.isPermitted方法来进行授权判断。这些方法会根据你在Realm中配置的角色和权限信息进行判断,决定用户是否具有相应的角色或权限。 以上是使用Shiro进行认证授权的基本步骤,你可以根据具体的需求进行定制和扩展。在实际应用中,你还可以通过Shiro提供的其他功能,如RememberMe、Session管理等来增强安全性和用户体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值