005-shiro的Realm源码解析与自定义Realm

最新推荐文章于 2023-07-12 17:45:00 发布
最新推荐文章于 2023-07-12 17:45:00 发布
阅读量334 收藏
点赞数
分类专栏: 人在江湖之shiro详解 文章标签: shiro realms 源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/forlinkext/article/details/115539028
版权

shrio自带的Realm

  • IniRealm:我们前面的示例中使用的,从ini文件中提供用户信息和认证信息
  • JdbcRealm:shrio提供的使用Jdbc访问数据库的方式,提供用户信息和认证信息
  • 其他PropertiesRealm等
    shiro自带的Realm都有其相应的局限性,在大多数情况下我们还是需要根据业务要求自定义Realm

继承AuthorizingRealm来实现自定义Realm

为什么自定义Realm要继承AuthorizingRealm来实现?Realm接口的定义如下:

public interface Realm {
    String getName(); 

    boolean supports(AuthenticationToken var1); 
    // shiro认证一章我们已经提到,每个Realm认证前都会调用该方法
    // 以查看是否supports(支持)已提交AuthenticationToken
    // 如果由于某种原因,您不希望Realm对数据源执行身份验证(也许是因为您只希望Realm执行授权),使该方法返回false即可

    AuthenticationInfo getAuthenticationInfo(AuthenticationToken var1) throws AuthenticationException;
    // 如果supports方法返回true,则会调用该方法进行用户认证并返回认证信息AuthenticationInfo
}

来看看Realm的继承关系图

在这里插入图片描述

  • 图中我们可以看到shiro自定义的几个Realm都直接或间接继承自AuthorizingRealm
  • CachingRealm提供了可缓存的Realm(最终是通过CacheManager接口来实现的缓存,Realm通过setCacheManager方法来设置)(感兴趣可自己去查看CachingRealm的代码)
  • AuthenticatingRealm实现了Realm的全部3个接口方法,其中getAuthenticationInfo方法的实现如下:
public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
	// 先获取缓存信息,通过CachingRealm中设置的CacheManager来实现的
   AuthenticationInfo info = this.getCachedAuthenticationInfo(token);
   if (info == null) {
   		// 如果缓存信息为空,则执行本类中的doGetAuthenticationInfo方法,该方法是抽象方法,由实现类实现
       info = this.doGetAuthenticationInfo(token);
       log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);
       if (token != null && info != null) {
           this.cacheAuthenticationInfoIfPossible(token, info);
       }
   } else {
       log.debug("Using cached authentication info [{}] to perform credentials matching.", info);
   }

   if (info != null) {
       this.assertCredentialsMatch(token, info);
   } else {
       log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);
   }

   return info;
}

通过该源码可知,AuthenticatingRealm实现了shiro的认证流程,也就是调用login方法后如果有缓存则返回缓存认证信息,如果没有缓存则调用doGetAuthenticationInfo方法,我们自定义Realm就需要实现该方法。

  • AuthorizingRealm(注意单词,这几个单词真的太相近了)其实现了Authorizer接口,Authorizer接口中定义了has*、check*等权限认证的方法,AuthorizingRealm中实现了这些权限认证的方法,每个has*,check*方法执行时都会执行如下getAuthorizationInfo方法。
protected AuthorizationInfo getAuthorizationInfo(PrincipalCollection principals) {
   if (principals == null) {
        return null;
    } else {
        AuthorizationInfo info = null;
        if (log.isTraceEnabled()) {
            log.trace("Retrieving AuthorizationInfo for principals [" + principals + "]");
        }

        Cache<Object, AuthorizationInfo> cache = this.getAvailableAuthorizationCache();
        Object key;
        if (cache != null) {
            if (log.isTraceEnabled()) {
                log.trace("Attempting to retrieve the AuthorizationInfo from cache.");
            }

            key = this.getAuthorizationCacheKey(principals);
            info = (AuthorizationInfo)cache.get(key);
            if (log.isTraceEnabled()) {
                if (info == null) {
                    log.trace("No AuthorizationInfo found in cache for principals [" + principals + "]");
                } else {
                    log.trace("AuthorizationInfo found in cache for principals [" + principals + "]");
                }
            }
        }

        if (info == null) {
            info = this.doGetAuthorizationInfo(principals);
            if (info != null && cache != null) {
                if (log.isTraceEnabled()) {
                    log.trace("Caching authorization info for principals: [" + principals + "].");
                }

                key = this.getAuthorizationCacheKey(principals);
                cache.put(key, info);
            }
        }

        return info;
    }
}

该方法中doGetAuthorizationInfo方法是抽象方法,需要其实现类实现。且在执行的时候,如果有缓存则直接返回缓存AuthorizationInfo 对象,如果缓存为空,才执行doGetAuthorizationInfo返回AuthorizationInfo 对象

自定义Realm

注意:该示例我们需要创建如下3个类
在这里插入图片描述

MyUser类

package com.yyoo.mytest.shiro1.bean;

import java.util.ArrayList;
import java.util.List;

/**
 * 自己的user对象,一般和你的数据库设计一致
 * 当然你还可以添加部门什么的其他信息
 */
public class MyUser {

    private String userName;

    private String password;

    /**
     * 用户角色列表(我们将角色和用户绑定)
     */
    private List<String> roles = new ArrayList<String>();

    /**
     * 用户权限列表
     */
    private List<String> permissions = new ArrayList<String>();

    public String getUserName() {
        return userName;
    }

    public void setUserName(String userName) {
        this.userName = userName;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public List<String> getRoles() {
        return roles;
    }

    public void setRoles(List<String> roles) {
        this.roles = roles;
    }

    public List<String> getPermissions() {
        return permissions;
    }

    public void setPermissions(List<String> permissions) {
        this.permissions = permissions;
    }

    @Override
    public String toString() {
        final StringBuilder sb = new StringBuilder("MyUser{");
        sb.append("userName='").append(userName).append('\'');
        sb.append(", password='").append(password).append('\'');
        sb.append(", roles=").append(roles);
        sb.append(", permissions=").append(permissions);
        sb.append('}');
        return sb.toString();
    }
}

MyRealm1

由于AuthorizingRealm继承自AuthenticatingRealm,其具备了基本的认证逻辑,而AuthorizingRealm本身又实现了基本的授权逻辑,这意味着我们只要继承AuthorizingRealm然后实现doGetAuthenticationInfo、doGetAuthorizationInfo两个方法即可。所以我们自定义的Realm如下:

package com.yyoo.mytest.shiro1.realm;

import com.yyoo.mytest.shiro1.bean.MyUser;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

public class MyRealm1 extends AuthorizingRealm {

    /**
     * 用户认证
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        // 我们login的时候使用的UsernamePasswordToken,所以此处我直接强转了,大家可以根据自己的需要来做
        UsernamePasswordToken token = (UsernamePasswordToken)authenticationToken;

        // 实际开发中,请使用log打印日志
        System.out.println("realm获取的username:"+token.getUsername());// 需要认证的用户名和密码
        System.out.println("realm获取的password:"+new String(token.getPassword()));

        // 此处可自定义一个Service来实现数据库的查询以验证用户名、密码
        // 当然密码可能需要进行加密比对等,这里我们先写死,一步步来(这里我们再定义一个我们自己的User类MyUser)
        MyUser user = new MyUser(); // 此处应该通过Service获取
        user.setUserName(token.getUsername());
        user.setPassword(new String(token.getPassword()));
        // 建设实际使用中不用返回密码(只需通过用户名、密码查询数据库即可,有值说明认证通过,没有表示用户名、密码错误)
        user.getRoles().add("role1");
        user.getPermissions().add("p1:*");

        // 这里存入user,通过 subject.getPrincipal(); 返回就是对应的MyUser类型
        SimpleAuthenticationInfo simpleAuthenticationInfo =
                new SimpleAuthenticationInfo(user,
                        user.getPassword(), getName());
        return simpleAuthenticationInfo;
    }

    /**
     * 用户授权(角色权限和对应权限添加到shiro)
     * @param principalCollection
     * @return
     * 注:只有在调用如下几种情况的链接时才会执行该方法
     *
     * 直接使用checkPermissions或checkoutRoles方法鉴权
     * 或者是添加了权限注解的url
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        // 获取登录用户Bean(因为下面方法中设置的就是MyUser对象)
        // principalCollection就是在上面认证成功后会存在shiro的session的用户信息
        // 调用shiro鉴权方法后,用户信息会通过参数传递到此,所以此处直接可以获取当前登录人的信息
        MyUser user = (MyUser) principalCollection.getPrimaryPrincipal();
        // 这里需要使用获取自定义的用户信息(角色和权限)
        // 添加当前用户所拥有的角色和权限
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        // 添加角色
        simpleAuthorizationInfo.addRoles(user.getRoles());
        // 添加权限
        simpleAuthorizationInfo.addStringPermissions(user.getPermissions());

        return simpleAuthorizationInfo;
    }
}

Demo5

package com.yyoo.mytest.shiro1.demo;

import com.yyoo.mytest.shiro1.realm.MyRealm1;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.subject.Subject;

public class Demo5 {

    public static void main(String[] args) {

        // 定义多个领域
        Realm realm1 = new MyRealm1();

        DefaultSecurityManager securityManager = new DefaultSecurityManager(realm1);
        SecurityUtils.setSecurityManager(securityManager);

        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("user2","password");
        subject.login(token);

        System.out.println(subject.isAuthenticated());
        System.out.println(subject.getPrincipal());// 打印出来就是我们自定义的MyUser


        System.out.println(subject.isPermitted("p1"));// 会执行我们自定义的doGetAuthorizationInfo方法
        System.out.println(subject.isPermitted("p2"));

        System.out.println(subject.getSession());
        subject.getSession();
        System.out.println(subject.getSession());
        subject.logout();
        System.out.println(subject.getSession());

    }

}

缓存

上面我们提到doGetAuthenticationInfo、doGetAuthorizationInfo这两个方法的缓存都是通过CacheManager来管理,关于缓存的设置与使用我们将在后续章节讨论。

上一篇:004-shiro授权
下一篇:006-springboot整合shrio

遇到问题----shrio------shiro自定义filters无效
直到世界的尽头
03-08 1万+
shiro  自定义filters无效需要注意filterChainDefinitions中的顺序,roles等应放在authc的前面。
Realm源码分析之Writes
Android
07-26 1734
上篇是Realm源码分析的开篇,是关于Realm数据库的初始化,关键一点是要抓住RealmProxyMediator这个代理中介者的实例化过程。在理解了Realm初始化之后,接下来就可以追踪Realm数据库读写等操作的源码了。因篇幅限制,先分析Writes。
Shiro 中的 Realm
热门推荐
尽力而为
05-29 2万+
之前写项目用了 Shiro 框架,来进行安全验证以及权限管理。当时项目赶得急,没怎么深入了解,只能说能跑能改,不过在使用的过程中发现 Shiro 确实很优秀。现在回过头来学习原理,读读源码,深入的学习下。· 本篇博文主要写的是关于使用 Shiro 起步时最重要的一块,找了一些资料,力求写得简单明了。
shiro讲解之 Realm
Dusty丶one的博客
10-28 849
shiro讲解之 Realm本章节我们将详细讲解一下ShiroRealm。概念 官方文档As mentioned above, Realms act as the ‘bridge’ or ‘connector’ between Shiro and your application’s security data. When it comes time to actually interact w
关于Realm源码分析
weixin_30336061的博客
10-25 117
http://blog.csdn.net/wojiaolinaaa/article/details/48195889 转载于:https://www.cnblogs.com/flytogalaxy/p/7729107.html
shiro realm源码分析
u013995395的博客
06-03 237
核心接口Realm,主要功能是获取要验证的用户用心,可以从数据库,文件等数据源 抽象类CachingRealm,增加了设置缓存功能。 AuthenticationRealm 1:验证缓存,子类实现cache.put(cacheKey, subclassAuthenticationInfoInstance); 2:logout的时候清除缓存 实现接口Realm的方法: ...
Shiro验证策略-shiro自定义实现Realm来实现身份验证-shiro散列加密算法-shiro授权-shiro自定义Realm实现授权
pshdhx的博客
08-09 4318
Shiro验证策略 Authentication Strategy:认证策略,在shiro中有三种认证策略; AtleastOneSuccessfulStrategy【默认】 如果一个或多个Realm验证成功,则整体的尝试被认为是成功的。如果没有一个验证成功,则整体尝试失败; FirstSuccessfulStrategy 只有第一个成功地验证的Realm返回的信息将被使用。所有进一步的Realm将被忽略。如果没有一个验证成功,则整
Spring配置shiro自定义Realm中属性无法使用注解注入的解决办法
08-26
在Spring集成Shiro进行安全控制时,我们常常需要自定义Realm来实现权限验证授权功能。然而,在实际操作中,可能会遇到一个问题:当我们在自定义Realm类中使用注解(@Autowired)尝试注入Spring管理的Bean时,这些...
shiro 自定义realm类 抛出自定义异常
DeepSea_JIE的博客
06-16 1009
自定义realm抛出自定义异常时,会被Authenticationexception打包, 出现zheyi Authentication failed for token submission
springboot-shiro
10-18
《SpringBootShiro构建细粒度动态权限管理系统详解》 在现代Web开发中,权限管理是不可或缺的一部分,尤其对于企业级应用来说更是如此。SpringBoot以其轻量级、便捷的特性,已经成为Java开发的首选框架之一。而...
realm-IOT
03-30
物联网 概述 MongoDB Realm sync是一个功能强大的工具,现已被带到物联网用例的世界中。 在此示例中,我们使用DHT11传感器和Raspberry Pi从送货卡车发送温度和湿度数据,作为解决冷链物流问题的一部分。 视频 动手实验室 在“动手实验”中,我们将创建我们自己的功能齐全的IOT传感器设备,该设备将从远程IOT设备向MongoDB Atlas发送数据。 在设置完Raspberry pi并在DHT11温湿度传感器中进行接线后,我们将以一个简单的python脚本开始,该脚本通过REST API webhook通过2-docker-setup-broker.sh直接将数据发送到MongoDB。 然后,我们将增强此简单代码,以便在本地网络中断的情况下重试发送其数据。 最后,我们将升级我们的简单脚本以MQTT代理进行对话,该代理将把数据发送到Realm中间件,从而保证Mon
Apache Shiro Realms
iteye_9972的博客
04-19 131
Apache Shiro Realms Realm 是可以访问程序特定的安全数据如用户、角色、权限等的一个组件。Realm会将这些程序特定的安全数据转换成一种shiro可以理解的形式,shiro就可以依次提供容易理解的Subject程序API而不管有多少数据源或者程序中你的数据如何组织。 Realm 通常和数据源如数据库、LDAP目录、文件系统或者其它类似的数据源是一对一的关系,所以,可以...
Realm接口源码解析
iteye_10899的博客
11-04 295
Realm用来实现安全数据源信息,先对其解析如下: 1.获取Realm名称 String getName(); 2.是否支持认证(如果支持,返回true;如果不支持,返回false) boolean supports(AuthenticationToken token); 3.根据token获取AuthenticationInfo信息 AuthenticationInfo getA...
六、realm
Mr丶Yang
09-20 455
realm RealmShiroRealm 获取安全数据(如用户、角色、权限),就是说 SecurityManager要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法,也需要从 Realm 得到用户相应的角色/权限进行验证用户是否能进行操作。 可以配置多...
Shiro核心——Realm
小凯的博客
03-08 849
shiro核心原理中的Realm笔记整理
Shiro--Realm
IT利刃出鞘的博客
03-09 333
在认证、授权内部实现机制中都有提到,最终处理都将交给Real进行处理。因为在Shiro中,最终是通过Realm来获取应用程序中的用户、角色及权限信息的。通常情况下,在Realm中会直接从我们的数据源中获取Shiro需要的验证信息。可以说,Realm是专用于安全框架的DAO. 一、认证实现 正如前文所提到的,Shiro的认证过程最终会交由Realm执行,这时会调用...
Realm源码分析之初始化
Android
07-21 2807
Realm源码下载 上篇Realm总结是关于Realm的基础使用,可粗略地概括为如下关系图: 在感受了Realm的强大之后,更让人对其背后的实现原理感到好奇,点击下载Realm源码一探究竟吧。 目前Realm java的版本是3.5,如下工程截图,模块简介如下: realm-java工程囊括了好几个模块,而编译配置说明是在工程根目录下的README.md examples模块是
Shiro自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)
最新发布
07-12 1547
Shiro自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值