Apache Shiro Realm(五)

最新推荐文章于 2023-10-04 10:33:35 发布
最新推荐文章于 2023-10-04 10:33:35 发布
阅读量192 收藏
点赞数
分类专栏: 安全 文章标签: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dkfajsldfsdfsd/article/details/84394639
版权

与用户安全相关的数据,如Users、Roles、Permissions等信息可能位于各种数据源中,如文件系统、LDAP、各种数据库等。Shiro中的Realm相当于是DAO层,对于低层的数据源而言,它调用相应的接口API获取数据,对于Shiro中的其它组件如Authenticator与Authorizer而言,Realm为它们提供统一的接口,Realm作用就是屏蔽不同的数据源,为上层的组件提供统一的接口。

1、Realm的配置

这个话题前边已讲说过了。首先Shiro支持多Realm,在身份认证与授权的过程中,Realm生效的顺序会影响到结果,而Realm生效的顺序是在配置文件中决定的。有两种,一种是显式顺序,如下:

fooRealm = com.company.foo.Realm
barRealm = com.company.another.Realm
bazRealm = com.company.baz.Realm

securityManager.realms = $fooRealm, $barRealm, $bazRealm

有三个Realm,它们生效的顺序取决于最后一行代码。

另一种是隐式顺序,如下:

fooRealm = com.company.foo.Realm
barRealm = com.company.another.Realm
bazRealm = com.company.baz.Realm

# securityManager.realms = $fooRealm, $barRealm, $bazRealm

最后一行被注释了,那么这个时候默认的生效顺序就是它们出现在配置文件中的顺序。

2、Realm与Authentication

看一下单个Realm与Authentication组件之间具体发生了那些事情。

2.1.是否支持AuthenticationTokens

首先Subject会将用户提交的Principal、Crendential转换成某种类型的AuthenticationTokens实现。AuthenticationTokens可以有多种实现,有的转换的可能是“用户名+密码”,有的可能转换的是“用户名+密码+验证码”,也有可能是“手机号+验证码等”很多很多。
Authenticator组件在使用某个Realm时,首先调用它的support方法,并将AuthenticationTokens传进去,Realm用instance of确认一下AuthenticationTokens的类型,比如Subject携带的是“用户名+密码”的AuthenticationTokens,而当前Realm只支持“手机号+验证码”的AuthenticationTokens,这个时候当前Realm就会返回false,Authenticator就会将当前Realm忽略,转而去查询其它的Realm。AuthenticationTokens其实在多Realm的情况下,起到过虑Realm的作用。

2.2.处理支持的AuthenticationTokens

如果当前Realm支持传入的AuthenticationTokens实例的类型,则后续的认证处理将会展开,Authenticator将会调用当前Realm的getAuthenticationInfo(token)方法,这个方法大致执行如下几个步骤:

  1. 检查token中的Principal,比如用户名,首先要确认这个用户名在数据源中是否存。
  2. 根据Principal从数据源获取其它内容,比如Principal是用户名,那么就用这个用户名查询相对的password。
  3. 将token中的Crendential与数据源中Crendential进行对比。
  4. 如果匹配,AuthenticationInfo实例被返回,里边封装用户相关数据。
  5. 如果不匹配就抛出异常。

对于开发者自定义的Realm,方法getAuthenticationInfo(token)只要最终返回AuthenticationInfo表示成功,抛出异常表示失败就可以了,内部实现细节由开发者自己决定。

提示:自定义的话一般从AuthorizingRealm抽象类派生,而不是全部从头开始,里边的默认实现可以节约开发者时间。

2.3.Crendential的匹配

在比对Crendential这一步中,不同的应用,逻辑可能是不同的。数据源中的Crendential可能是加秘的或者用什么算法编过码,用户提交的Crendential可能是加过盐的。因此在比对之前,Realm要分别对来自安全数据源的数据与用户提交的数据进行各种解秘、净化、转码之类的工作。因此Realm有一个CredentialsMatcher类型的接口,专门负责处理这件事情。用户可以实现自己的CredentialsMatcher并配置,如下:

[main]
...
customMatcher = com.company.shiro.realm.CustomCredentialsMatcher
myRealm = com.company.shiro.realm.MyRealm
myRealm.credentialsMatcher = $customMatcher
...

2.3.1.明文对比

以前的文章中提到过,Shiro内置了多种CredentialsMatcher的实现,比如HashedCredentialsMatcher、Md5CredentialsMatcher、Sha512CredentialsMatcher等。

Realm默认的CredentialsMatcher实现是SimpleCredentialsMatcher实现,只是对比用户提交的Crendential与安全数据源的Credential是否相同,不进行任何转换。

2.3.2.HASH运算

实际应用中,不能将用户的Crendential如password等直接明文保存在数据源中。一种常用的方法是将用户密码进行HASH运算,然后再将结果保存到数据源中。对于用户提交的password,也同样进行相同的运算,然后再与数据源中的HASH值进行对比。这样子除了用户,没有人知道他的密码是什么,因为数据源中保存的是HASH值,而由HASH值不可以逆向推导出用户的密码。但是如何用户的密码太简单太短的,有可能会被暴力破解。因此可以对用户的原始密码加盐与多重HASH计算提高暴力破解的难度。

当然对于用户登录时提交的凭证也要进行一样的运算,再去比对。下面是一个例子:

import org.apache.shiro.crypto.hash.Sha256Hash;
import org.apache.shiro.crypto.RandomNumberGenerator;
import org.apache.shiro.crypto.SecureRandomNumberGenerator;
...

//We'll use a Random Number Generator to generate salts.  This 
//is much more secure than using a username as a salt or not 
//having a salt at all.  Shiro makes this easy. 
//
//Note that a normal app would reference an attribute rather 
//than create a new RNG every time: 
RandomNumberGenerator rng = new SecureRandomNumberGenerator();
Object salt = rng.nextBytes();

//Now hash the plain-text password with the random salt and multiple 
//iterations and then Base64-encode the value (requires less space than Hex): 
String hashedPasswordBase64 = new Sha256Hash(plainTextPassword, salt, 1024).toBase64();

User user = new User(username, hashedPasswordBase64);
//save the salt with the new account.  The HashedCredentialsMatcher 
//will need it later when handling login attempts: 
user.setPasswordSalt(salt);
userDAO.create(user);

上边代码演示的是如何创建用户,对用户密码加盐,HASH运算、编码最后保存的例子。

首先生成一个随机数当作是“盐”。
然后将用户的原始密码、生成的“盐”进行Sha256Hash运算,后边的1024表示迭代次数
然后进行base64编码。
最后在数据库中保存用户信息,包括刚才的盐。

这样的话,即使用户的密码很短很简单,并且用户的所有数据都泄露了,拿到这些数据的人也很难计算出用户的原始密码,这个需要庞大的计算力。

接下来看Shiro的Realm怎么配:

[main]
...
credentialsMatcher = org.apache.shiro.authc.credential.Sha256CredentialsMatcher
# base64 encoding, not hex in this example:
credentialsMatcher.storedCredentialsHexEncoded = false
credentialsMatcher.hashIterations = 1024
# This next property is only needed in Shiro 1.0\.  Remove it in 1.1 and later:
credentialsMatcher.hashSalted = true

...
myRealm = com.company.....
myRealm.credentialsMatcher = $credentialsMatcher
...
  1. 在上边创建用户的例子了,为密码加了盐,在实际开发中,盐与用户信息往往保存在不同的地方,单纯的盐泄露与用户信息泄露都是安全的,提高安全度。所以对于自定义的myRealm,要实现里边的SaltedAuthenticationInfo接口,自定义获得盐的方式。

3、Disabling Authentication

指禁止掉某个Realm的身份认证功能,原因可能只是想将某个Realm当成授权处理的数据源。只要让这个Realm的support方法一直返回false就可以了。

4、Realm与Authorization

基于角色的授权:

  1. Subject将授权请求托管给SecurityManager
  2. SecurityManager再将请求托管给Authorizer组件。
  3. Authorizer逐个查找Realm,直到在某个Realm中找到匹配的角色,并返回true。如果查找了全部Realm以后也没有为当前Subject找到Role,则返回false。
  4. 对于每个Realm,它自己要从自己的数据源返回当前Subject的所有Role
  5. 如果没有角色,或者有角色但不匹配,返回false,否则返回true。

基于权限的授权:

  1. Subject将授权请求托管给SecurityManager
  2. SecurityManager再将请求托管给Authorizer组件。
  3. Authorizer逐个查找Realm,直到在某个Realm中找到匹配的权限,并返回true。如果查找了全部Realm以后也没有为当前Subject找到匹配的权限,则返回false。
  4. 对于Realm则执行如下步骤:
    a.通过调用getObjectPermissions()方法获取Subject的全部权限,然后调用AuthorizationInfo的getStringPermissions方法聚合返回结果。
    b.如果Realm被配置了RolePermissionResolver,则调用其RolePermissionResolver.resolvePermissionsInRole()方法,这个方法将与Subject对应的所有Role的所有Permission转换成标准格式。
    c.调用 implies()方法检查权限,参考WildcardPermission

 

五星上炕
关注
专栏目录
Apache shiro 1.13.0源码
01-17
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,简化了企业级应用的安全实现。Shiro 1.13.0 是其一个重要的版本,包含了多项更新和改进。在这个版本中,开发者可以深入理解其...
Shiro系列-ShiroRealm如何使用
初学者
10-28 2010
导语   之前的分享中,了解到了用户身份认证,在说用户认证的时候提到了一个概念就是Realm,在之前的入门分享中提到了,Realm其实就是一个安全数据源,那么怎么样使用这个安全数据源呢?下面就来一起研究一下 文章目录Realm概念Realm接口源码Realm如何使用单个Realm配置1、自定Realm的实现com.nihui.shiro.realm.MyRealm类中2、ini 配置文件指定自...
Apache Shiro(一)
qq_42847719的博客
01-01 1212
如同上面提到的,Realmshiro 和你的应用程序安全数据之间的“桥”或“连接”,当实际要与安全相关的数据进行交互如用户执行身份认证(登录)和授权验证(访问控制)时,shiro 从程序配置的一个或多个Realm 中查找这些数据,你需要配置多少个 Realm 便可配置多少个 Realm(通常一个数据源一个),shiro 将会在认证和授权中协调它们。是不是需要所有方面的验证都成功?简单就是不同的角色用户只能访问指定的信息 ,我们需要知道用户有那些角色,用户有那些权限 ,包结构和之前的一致3-3。
Shiro入门(Shiro自定义Realm和加密算法
jwang的博客
05-11 2154
前言 本章讲解shiro自定义的realm和它的加密算法 方法 1.概念 通过前面的讲解,我已经带入了自定义Realm的相关概念。那么为什么要自定义realm呢?显而易见,我们在数据库中创建的users表和它的字段受限于shiro自己的jdbcRealm,所以通常情况下我们需要使用自己的表,跟着必须使用自定义realm。 再者,在用户表中,密码字段的值是一个敏感的存在。我们需...
shiro认证自定义realm
最新发布
虾米大王的学习历程
10-04 105
在src/main/java文件夹下,新建包method1,编写自定义realm。通过切换string类型的用户名,查看测试结果。新建springboot项目,导入依赖。在test文件夹下,编写测试类。
Shiro 中的 Realm
热门推荐
尽力而为
05-29 2万+
之前写项目用了 Shiro 框架,来进行安全验证以及权限管理。当时项目赶得急,没怎么深入了解,只能说能跑能改,不过在使用的过程中发现 Shiro 确实很优秀。现在回过头来学习原理,读读源码,深入的学习下。· 本篇博文主要写的是关于使用 Shiro 起步时最重要的一块,找了一些资料,力求写得简单明了。
Apache Shiro教程
12-30
Apache Shiro是一个强大的Java安全框架,它为应用程序提供了身份验证、授权、会话管理和加密等功能。这个教程将帮助你深入理解和有效地使用Shiro框架。在本文中,我们将详细探讨Shiro的核心概念、主要功能和常见用法...
Apache Shiro 使用手册(四) Realm 实现
09-15
Apache Shiro 是一个强大且易用的Java安全框架,它提供了认证、授权、加密和会话管理功能,简化了企业级应用的安全实现。在Shiro的架构中,`Realm` 是一个至关重要的组件,它是Shiro与应用程序特定安全数据源(如...
Apache Shiro 框架简介
01-11
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能:  认证 – 用户身份识别,常被称为用户“登录”; 授权 – 访问控制; 密码加密 – 保护或隐藏数据防止被偷窥; ...
Shiro系列七:Realm
苍穹尘的博客
06-07 1738
Realm:域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色和权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。如我们之前的ini配置方式将使用org.apache.shiro.realm...
第二节 自定义Realm之继承AuthorizingRealm
大宇的博客,欢迎访问
05-06 1万+
一、Realm基本架构 为了快速上手,我们需要知道的是,Shiro将数据库中的数据,存放到Realm这种对象中。而Shiro提供的Realm体系较为复杂,一般我们为了使用Shiro的基本目的就是:认证、授权。 所以,一般在真实的项目中,我们不会直接实现Realm接口,也不会直接继承最底层的功能贼复杂的IniRealm。我们一般的情况就是直接继......
Realm [realm.ShiroDbRealm@15408475] does not support authentication token
牛栏山矿泉水
08-10 1063
1、错误描述 [ERROR:]2015-08-03 10:03:26,508 [Realm [realm.ShiroDbRealm@15408475] does not support authentication token [org.apache.shiro.cas.CasToken@3eb82839]. Please ensure that the appropriate Realm i...
shirorealm抛出异常问题
qq_46416934的博客
04-07 951
shirorealm抛出异常问题 关于这个问题百度会搜到很多内容,但是大多数都不全,只是提到了一部分内容,所以综合本人以及网上搜到的内容,提出如下解决方案: 我是使用了两个Realm,一个用于用户登录验证和访问权限获取;一个用于jwt token的认证,所以出现了 Authentication token of type [class org.apache.shiro.authc.Username PasswordToken] could not be authenticated by any confi
第六章 Realm及相关对象——《跟我学Shiro
jinnianshilongnian的专栏
02-26 989
  目录贴: 跟我学Shiro目录贴     6.1 Realm 【2.5 Realm】及【3.5 Authorizer】部分都已经详细介绍过Realm了,接下来再来看一下一般真实环境下的Realm如何实现。    1、定义实体及关系 即用户-角色之间是多对多关系,角色-权限之间是多对多关系;且用户和权限之间通过角色建立关系;在系统中验证时通过权限验证,角色只是权限集合,即...
AuthorizingRealm中的两大方法
TAaron666的博客
03-23 4239
doGetAuthenticationInfo和doGetAuthorizationInfo的区别 这两个方法名字中只有Authen和Author的区别,非常容易混淆。 其中Authen单词意思是:认证,所以doGetAuthenticationInfo方法功能就是认证(登录); 而Author就是authority简写,这个单词意思是:权利,所以doGetAuthorizationInfo方法功能就是授权。 方法 功能 doGetAuthenticationInfo 认证 doGe
Shiro自定义AuthorizingRealm子类SampleRealm中Service类无法注入成功
stay hungry ! stay foolish!
04-24 3858
Shiro自定义AuthorizingRealm子类SampleRealm中Service类无法注入成功转载:https://blog.csdn.net/ahou2468/article/details/69949092https://blog.csdn.net/CmdSmith/article/details/53838220https://blog.csdn.net/u013354696/ar...
关于Shiro中的Realm
冲吧,不要停!
12-25 3719
前言   最近看关于Shiro的一些文章,看的有点一头雾水。看了看源码,又看了看文章,把自己的理解的记录一下。 (看的文章:跟我学Shiro目录贴 。有兴趣的可以看一下,这里的例子来自于这些文章)
Shrio02 Realm作用、自定义简洁RealmRealm实现类使用
weixin_30662539的博客
01-20 174
1 Realm简介 1.1 Realm作用 shiro最终是通过Realm获取安全数据的(如用户、角色、权限),也就是说认证或者授权都会通过Realm进行数据操作 1.2 Realm接口 1.2.1 源代码 1.2.2 方法说明》getName:返回一个唯一的 Realm 名字》supports:判断此 Realm 是否支持此 Token》getAuthenticationInfo:...
Shiro多个Realm认证及授权
严阵以待的专栏
08-04 1万+
关于Shiro多个Realm这个问题,也算是被烦的焦头烂额,万幸在疯狂百度后也算是得出了一个解决方案 解决方案如下:  首先自定义一个DefaultUsernamepasswordToken.java,继承Shiro自带的UsernamePasswordToken,在DefaultUsernamepasswordToken中新加一个属性  private String loginType
Apache Shiro入门与自定义Realm详解
Apache Shiro框架中,`三简单扩展-shiro使用规范`这部分内容主要讲述了如何自定义 RealmRealmShiro中的核心概念,它负责与应用程序的特定安全存储进行交互,比如数据库、LDAP服务器等,用于实现身份验证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值