关于Shiro中的Realm

最新推荐文章于 2024-09-07 06:15:00 发布
最新推荐文章于 2024-09-07 06:15:00 发布
阅读量3.7k 收藏 3
点赞数
分类专栏: shiro 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hotdust/article/details/53869252
版权

前言

  最近看关于Shiro的一些文章,看的有点一头雾水。看了看源码,又看了看文章,把自己的理解的记录一下。
(看的文章:跟我学Shiro目录贴 。有兴趣的可以看一下,这里的例子来自于这些文章)


正文

Realm能做的工作主要有以下几个方面:

  • 验证是否能登录,并返回验证信息(getAuthenticationInfo方法)
  • 验证是否有访问指定资源的权限,并返回所拥有的所有权限(getAuthorizationInfo方法)
  • 判断是否支持token(例如:HostAuthenticationToken,UsernamePasswordToken等)(supports方法)

这里主来说明一下关于前两点验证方面的逻辑。

1,验证是否能登录,并返回验证信息

首先先看一下Realm接口的内容,这个接口里有3个方法,内容如下:

  • AuthenticationInfo getAuthenticationInfo(AuthenticationToken token)
  • boolean supports(AuthenticationToken token)
  • String getName()

我们看到第一个方法就是我们上面说的“验证是否能登录,并返回验证信息”的方法。从方法的名字上看,只有取得验证信息的意思,其实这里面还包括了进行验证的逻辑。
看Javadoc,这个方法的作用是“根据传进来的Token,返回用户的验证信息”。下面说明一下“Token”和“用户验证信息”。

  • Token:就是要拿来进行验证的信息,例如:如果是UsernamePasswordToken的话,这个Token的内容就是“用户提交的用户名和密码”。
  • 用户验证信息:就是用户验证通过后,返回给系统的信息。例如:用户登录验证的话,一般来说,返回给系统的“用户验证信息”就应该是这个用户的“用户名和密码”。但也可以返回其它信息,例如返回用户的“邮箱地址和登录密码”信息,做为“用户验证信息”。
    (具体什么情况下需要这么做还不知道,可能在多系统通过同一点进行登录,但由于历史原因,每个系统使用的用户信息不一致(有的使用uid,有的使用邮箱)时,使用吧)。

上面说了“根据传进来的Token”和“返回用户的验证信息”,但没有说验证的过程,这个过程也是在这个方法中进行。我们看一下源码:

public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

    AuthenticationInfo info = getCachedAuthenticationInfo(token);
    // doGetAuthenticationInfo方法的内容,由各个子类来实现。
    // 主要是用来取得我们保存的“用户验证信息”,例如DB里保存的密码(具体看JdbcRealm的方法实现)
    if (info == null) {
        info = doGetAuthenticationInfo(token);
        ...
    }
    // 在这里,把用户提交的信息(Token)和我们保存的“用户验证信息”进行比较
    // 如果不通过,直接抛出定义好的异常。
    if (info != null) {
        assertCredentialsMatch(token, info);
    } else {

    return info;
}


2,验证是否有访问指定资源的权限,并返回所拥有的所有权限

  “验证是否登录”的处理,是由接口定义的。但“验证是否有访问权限”的逻辑,则是由类定义的。定义的类为:AuthorizingRealm ,在这个类中有个getAuthorizationInfo 方法。这个方法和getAuthenticationInfo 方法的处理流程有点像:

  • 验证是否有指定的权限
  • 返回用户的权限信息

同样,这个方法里面也包含了“验证”逻辑。


3,实现自定义Realm

  从上面的功能说明可以看出来,在权限控制中比较重要的验证(登录或权限)逻辑,都是在Realm中做的。Realm的类继承如下:
Realm类继承图


继承了AuthorizingRealm的类,都要实现上面说的getAuthenticationInfo和getAuthorizationInfo方法,来完成登录和权限的验证。但如果自定义的Realm类只实现Realm接口的话,只需要getAuthenticationInfo方法就可以。下面看一个只实现Realm接口的自定义Realm。

public class MyRealm1 implements Realm {  
    @Override  
    public String getName() {  
        return "myrealm1";  
    }  
    @Override  
    public boolean supports(AuthenticationToken token) {  
        //仅支持UsernamePasswordToken类型的Token  
        return token instanceof UsernamePasswordToken;   
    }  
    @Override  
    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {  
        String username = (String)token.getPrincipal();  //得到用户名  
        String password = new String((char[])token.getCredentials()); //得到密码  
        if(!"zhang".equals(username)) {  
            throw new UnknownAccountException(); //如果用户名错误  
        }  
        if(!"123".equals(password)) {  
            throw new IncorrectCredentialsException(); //如果密码错误  
        }  
        //如果身份认证验证成功,返回一个AuthenticationInfo实现;  
        return new SimpleAuthenticationInfo(username, password, getName());  
    }  
}

在上面的自定义Realm中,我们可以看到getAuthenticationInfo方法的实现。在这里,把用户名和密码都写死了,只为了简单的呈现上面说的逻辑。登录验证通过后,必须要返回一个AuthenticationInfo类型的实例。


  为什么要返回AuthenticationInfo 呢?框架里,最后把返回的AuthenticationInfo 保存到了SecurityManager里了,可能是为了以后在某些地方使用,还没有深入去看。
 
 
 
 
 
 
 
 
  
 

hotdust
关注
专栏目录
ShiroRealm
temie的博客
05-03 143
文章目录Realm1. 简介:2. 功能3. shiro提供的Realm4. 自定义Realm4.1 认证4.1.1 使用md5+salt 认证4.2 授权4.2.1 关键对象4.2.2 授权流程4.2.3 常用权限控制注解4.2.4 给用户授权 Realm 1. 简介: Realm:域,Realm 充当了 Shiro 与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro 会从应用配置的 Realm 查找用户及其权限信息。从这个意义上讲,Real
shiro安全管理器设置realm参数运行报No bean of type ‘org.apache.shiro.realm.Realm‘ found.
weixin_45392991的博客
12-08 2479
安全管理器里参数不设置了,直接调用getRealm()方法。解决
shiro的源码学习(四)-- 深入理解realm
weixin_33850015的博客
07-21 151
IniRealm的类结构如下图: 下面分析每个类: (1)Ream: 域的顶点,其代码如下:securityManager会使验证器来调用,验证器通过Realm返回用户信息,确定用户是否登录成功: 1 public interface Realm { 2 String getName();//返回Realm的名字,唯一 3 boolean supports(...
Realm: Android 移动数据库的革新者
最新发布
Unity打怪升级
09-07 991
在移动应用开发,数据存储是一个核心需求。传统的 SQLite 数据库虽然功能强大,但在使用上存在一定的复杂性。Realm 是一种现代的移动数据库解决方案,它提供了简单、高效且线程安全的数据库操作,旨在为开发者带来更加流畅的开发体验。本文将带你深入了解 Realm 的核心特性、使用方法以及如何在 Android 应用实现数据存储。
Shrio02 Realm作用、自定义简洁RealmRealm实现类使用
weixin_30662539的博客
01-20 176
1 Realm简介 1.1 Realm作用 shiro最终是通过Realm获取安全数据的(如用户、角色、权限),也就是说认证或者授权都会通过Realm进行数据操作 1.2 Realm接口 1.2.1 源代码 1.2.2 方法说明》getName:返回一个唯一的 Realm 名字》supports:判断此 Realm 是否支持此 Token》getAuthenticationInfo:...
shriorealm的理解
Andrew_Yuan的博客
03-07 466
tomcatrealm可以理解一个仓库,专门用于存储账号,密码,角色及权限等数据。 当应用程序向 Shiro 提供了 账号和密码之后, Shiro 就会问 Realm 这个账号密码是否对, 如果对的话,其所对应的用户拥有哪些角色,哪些权限。Realm 得到了 Shiro 给的用户名和密码后,有可能去找 ini 文件,也可以直接去找数据库。 所以Realm 是什么? 其实就是个介。Realm...
Shiro自定义Ream
SunnyJava的博客
03-03 1314
Shiro自定义ream
Spring配置shiro时自定义Realm属性无法使用注解注入的解决办法
08-26
总结一下,解决Spring配置Shiro时自定义Realm属性无法使用注解注入的问题,关键在于理解两个框架的生命周期,并调整配置文件确保Spring先于Shiro加载。这样做不仅解决了注解注入的问题,也使得整个应用的启动流程...
shiro-realm案例
03-02
在"shiro-realm案例",我们将探讨如何自定义Realm来实现与应用程序特定的权限验证。 RealmShiro扮演着核心角色,它是身份验证(Authentication)和授权(Authorization)的基础。 Realm可以看作是Shiro与...
关于shiro部分SpringCache失效问题的解决方法
08-27
shiro部分SpringCache失效问题的解决方法可以通过避免shirorealm对service的依赖来解决,具体方法有三种:在realm不要依赖service,依赖dao;在依赖的service上添加@Lazy注解,延迟加载service的实例化;shiro...
用于测试shiro自定义Realm的测试代码
04-05
在这个名为“用于测试shiro自定义Realm的测试代码”的项目,我们主要关注的是如何自定义Realm来适应特定的认证和授权需求。 RealmShiro扮演着核心角色,它是Shiro与应用程序特定的安全存储(如数据库、...
Apache Shiro Realm(五)
山不转的博客
11-23 195
与用户安全相关的数据,如Users、Roles、Permissions等信息可能位于各种数据源,如文件系统、LDAP、各种数据库等。ShiroRealm相当于是DAO层,对于低层的数据源而言,它调用相应的接口API获取数据,对于Shiro的其它组件如Authenticator与Authorizer而言,Realm为它们提供统一的接口,Realm作用就是屏蔽不同的数据源,为上层的组件提供统一...
第八节 Shiro安全数据来源之Realm讲解
菜鸟联盟
08-24 340
1,讲解shiro默认自带的realm和常见使用方法 realm作用:ShiroRealm 获取安全数据 默认自带的realm:idae查看realm继承关系,有默认实现和自定义继承的realm 两个概念 principal : 主体的标示,可以有多个,但是需要具有唯一性,常见的有用户名,手机号,邮箱等 credential:凭证, 一般就是密码 所以一般我们说 principal + credential 就账号 + 密码 开发,往往是自定义realm
Shiro核心——Realm
小凯的博客
03-08 779
shiro核心原理Realm笔记整理
shiro自定义多realm,并指定realm实现验证
qq_37941840的博客
06-13 2582
我们平常的系统建设大多数都涉及到两种及以上的登陆方式,例如:手机号码登陆、用户名及密码登陆等,而此时我们是不是就得需要两个realm才能实现?
shiro讲解之 Realm
egegerhn的博客
04-22 620
shiro讲解之 Realm 本章节我们将详细讲解一下ShiroRealm。 概念 官方文档 As mentioned above, Realms act as the ‘bridge’ or ‘connector’ between Shiro and your application’s security data. When it comes time to actually interact with security-related data like user accounts to
Shiro系列-ShiroRealm如何使用
初学者
10-28 2016
导语   之前的分享,了解到了用户身份认证,在说用户认证的时候提到了一个概念就是Realm,在之前的入门分享提到了,Realm其实就是一个安全数据源,那么怎么样使用这个安全数据源呢?下面就来一起研究一下 文章目录Realm概念Realm接口源码Realm如何使用单个Realm配置1、自定Realm的实现com.nihui.shiro.realm.MyRealm2、ini 配置文件指定自...
第六章 Realm及相关对象——《跟我学Shiro
jinnianshilongnian的专栏
02-26 999
  目录贴: 跟我学Shiro目录贴     6.1 Realm 【2.5 Realm】及【3.5 Authorizer】部分都已经详细介绍过Realm了,接下来再来看一下一般真实环境下的Realm如何实现。    1、定义实体及关系 即用户-角色之间是多对多关系,角色-权限之间是多对多关系;且用户和权限之间通过角色建立关系;在系统验证时通过权限验证,角色只是权限集合,即...
shiro realm何时调用
shaoying.c的专栏
07-03 1089
shiro 的AuthorizingRealm有2个方法doGetAuthorizationInfo()和doGetAuthenticationInfo()都继承AuthorizingRealm类然后重写doGetAuthorizationInfo和doGetAuthenticationInfo。         doGetAuthenticationInfo这个方法是在用户登录的时候调用的也就...
Shiro框架 Realm认证实现详解
"这篇文档介绍了如何在Java项目使用Apache Shiro进行权限管理,特别是 Realm 的实现方式。文章提到了Shiro的核心组件以及其工作流程,包括Subject、SecurityManager和Realm,同时也概述了Shiro的认证过程。" ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值