shiro使用自定义realm实现数据认证

最新推荐文章于 2021-12-06 21:08:57 发布
最新推荐文章于 2021-12-06 21:08:57 发布
阅读量145 收藏
点赞数
分类专栏: shiro 文章标签: java shiro md5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hubertbb3/article/details/120204441
版权

自定义realm实现数据认证

在开发中,有时会与一些nosql或者其他地方保存的数据进行认证,这时候,shiro定义的那些realm类可能不能满足实际的功能需求,这时候我们可以通过自定义一个realm来沟通这些数据。实现认证和权限控制。

首先自定义一个realm,继承自AuthorizingRealm抽象类,并实现它的两个功能:

package com.yinhai.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

/**
 * 自定义Realm
 */
public class CoustomRealm  extends AuthorizingRealm {
    //做授权管理的
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    //做认证的
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
         //拿到account
        String principal = (String) token.getPrincipal();

        if("zhangsan".equals(principal)){ //模拟在数据库中查找用户名的过程,如果找到有,则将用户名和密码返回,没有直接返回null
            //通过用户名在数据库中拿到正确的密码,我这里直接省略
            String password = "123456";
            //新建一个返回信息返回给manager,manager会根据正确的账户和密码自动匹配用户传递过来的账户和密码,参数3是当前realm的名称,底			    层会自动生成的。
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(principal, password, this.getName());
            return simpleAuthenticationInfo;
        }


        return null;
    }
}

然后就可以使用这个realm了:

package com.yinhai;

import com.yinhai.realm.CoustomRealm;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;

/**
 * 使用自定义realm进行认证测试
 */
public class CostumeRealmAuthTest {
    public static void main(String[] args) {
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        securityManager.setRealm(new CoustomRealm());
        SecurityUtils.setSecurityManager(securityManager);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken zhangsan = new UsernamePasswordToken("zhangsan", "123456");
        try{
            subject.login(zhangsan);
            System.out.println(subject.isAuthenticated());
        }catch (Exception e){
            e.getMessage();
        }
    }
}

以上是普通的,明文密码匹配方式认证,如果要使用加密的话可以采用以下:

package com.yinhai.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

public class CostumeMD5Realm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //拿到account
        String principal = (String) token.getPrincipal();

        if("zhangsan".equals(principal)){ //模拟在数据库中查找用户名的过程,如果找到有,则将用户名和密码返回,没有直接返回null
            //通过用户名在数据库中拿到正确的密码,我这里直接省略
            String password = "458e4c8450daf785d77e92c6d391e6a2";
            //新建一个返回信息返回给manager,manager会根据正确的账户和密码自动匹配用户传递过来的账户和密码,
            // 参数3是盐加密规则
            // 参数4是当前realm的名称,底层会自动生成的。
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(principal,
                    password,
                    ByteSource.Util.bytes("07?*xx"),
                    this.getName());
            return simpleAuthenticationInfo;
        }


        return null;
    }
}

使用:

package com.yinhai;

import com.yinhai.realm.CostumeMD5Realm;
import com.yinhai.realm.CoustomRealm;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.CredentialsMatcher;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;

public class CostumeMD5RealmAuthTest {
    public static void main(String[] args) {
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        CostumeMD5Realm costumeMD5Realm = new CostumeMD5Realm();
        //获取密码匹配器
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        //设置加密方式
        hashedCredentialsMatcher.setHashAlgorithmName("MD5");
        //设置hash散列次数
        hashedCredentialsMatcher.setHashIterations(512);
        //设置自定义realm的密码匹配器
        costumeMD5Realm.setCredentialsMatcher(hashedCredentialsMatcher);

        securityManager.setRealm(costumeMD5Realm);
        SecurityUtils.setSecurityManager(securityManager);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken zhangsan = new UsernamePasswordToken("zhangsan", "123456");
        try{
            subject.login(zhangsan);
            System.out.println(subject.isAuthenticated());
        }catch (Exception e){
            e.getMessage();
        }
    }
}
hubertbb3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全框架Shiro框架_自定义Realm认证
专注Java(全栈)应用开发,求知若渴,虚心若愚,talk is cheap, show me the code.
10-12 173
authclogout: 注销过滤器 /logout=logoutroles: 角色授权过滤器,验证用户是否拥有资源角色;下面写一写关于自定义Realm认证相关的东西:1.获取用户名token强转为UsernamePasswordToken–>getUsername()2.2.以用户名为条件,查询mysql数据库,得到用户对象(用户名/密码)模拟从数据库查询的对象 ------->自己new一个3.将用户对象封装成认证info对象返回。
SpringBoot:集成Shiro自定义Realm实现认证授权
得不到的永远是骚栋.
01-21 1114
前言 前面的两篇博客使用了INI的形式完成了用户的认证授权操作.我曾经多次在博客中提到过INI文件形式进行认证授权只适用于用户较少的情况下,但是,当用户较多的情况下,我们可能需要数据库来管理,这时候,我们就需要自定义Realm了. 接下来,我们来看一下如何使用自定义Realm实现认证授权操作. 自定义Realm的继承与创建 前面我们说到我们要自定义Realm,首先我们需要先确定我们定义的Realm类中所需要的功能都需要什么,我们需要缓存功能,认证功能,授权功能,三大功能 .我们首先看一下INiR..
Shiro 几种Realm使用认证、授权
chy1984的博客
07-19 1333
目录shiro的依赖   shiro的依赖 <!--在springboot中使用shiro--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.5.1</version> </dependency&g
ShiroRealm下允许用户指定匹配策略
u014268482的博客
07-05 450
查看源代码得出: Shiro中默认已经有以下匹配策略: AllSuccessfulStrategy AtLeastOneSuccessfulStrategy FirstSuccessfulStrategy Shiro与spring整合后在多Realm下修改匹配策略如下: &lt;bean id="authenticator" class="org.apache.shiro.authc....
Shiro自定义Realm时用注解的方式注入父类的credentialsMatcher
weixin_33671935的博客
04-30 317
Shiro做登录权限控制时,密码加密是自定义的。 数据库的密码通过散列获取,如下,算法为:md5,盐为一个随机数字,散列迭代次数为3次,最终将salt与散列后的密码保存到数据库内,第二次登录时将登录的令牌再进行同样的运算后再与数据库的做对比。 String algorithmName = "md5";String userName = "rose";...
从实例入手学习Shiro自定义Realm实现查询数据进行验证示例代码.zip
05-12
本实例将通过自定义Realm来演示如何使用Shiro数据库中查询数据进行用户验证。 首先,我们需要了解 Realm 的基本概念。在Shiro中, Realm 是一个接口,它实现认证和授权的功能。默认的 Realm 类型包括 JdbcRealm...
用于测试shiro自定义Realm的测试代码
04-05
自定义RealmShiro的一个重要特性,它允许开发者根据自己的业务逻辑和数据源定制认证和授权过程。 要创建一个自定义Realm,你需要继承`org.apache.shiro.realm.AuthenticatingRealm`或`AuthorizingRealm`类,并...
Apache Shiro 使用手册(四) Realm 实现
09-15
总结来说,`Realm`在Shiro中扮演了核心的安全数据提供者角色,负责认证和授权的具体实现。通过自定义`Realm`,开发者可以根据自己的数据存储结构和逻辑,灵活地集成Shiro以满足应用的安全需求。同时,`Realm`的设计...
shiro权限框架自定义Realm示例
09-10
4. ** 集成自定义Realm**:在应用启动时,Shiro会自动发现并使用配置中的Realm来处理认证和授权请求。确保在应用程序启动后,Shiro能够正确地加载和使用这个自定义Realm。 5. ** 测试和调试**:创建一个测试用例,...
shiro web中自定义Realm
02-01
自定义Realm需要继承Shiro的`AuthorizingRealm`类,因为我们需要实现认证和授权功能。`AuthorizingRealm`已经为我们提供了一些基本的骨架方法,如`doGetAuthenticationInfo`用于认证,`doGetAuthorizationInfo`用于...
shiro自定义realm,并指定realm实现验证
qq_37941840的博客
06-13 2436
我们平常的系统建设中大多数都涉及到两种及以上的登陆方式,例如:手机号码登陆、用户名及密码登陆等,而此时我们是不是就得需要两个realm才能实现
Shiro验证策略-shiro自定义实现Realm实现身份验证-shiro散列加密算法-shiro授权-shiro自定义Realm实现授权
pshdhx的博客
08-09 4254
Shiro验证策略 Authentication Strategy:认证策略,在shiro中有三种认证策略; AtleastOneSuccessfulStrategy【默认】 如果一个或多个Realm验证成功,则整体的尝试被认为是成功的。如果没有一个验证成功,则整体尝试失败; FirstSuccessfulStrategy 只有第一个成功地验证的Realm返回的信息将被使用。所有进一步的Realm将被忽略。如果没有一个验证成功,则整
Shiro学习笔记(二):自定义Realm实现
weixin_47382783的博客
12-06 552
上一篇文章中提到了Realm,它相当于datasource数据源,SecurityManager进行安全验证时需要通过Realm获取用户权限数据,比如:如果用户身份数据数据库,那么Realm就需要从数据库中获取用户身份信息。因此,在本文中我们将通过跟踪源码的形式来看一下Shiro中的认证和授权是如何完成的。 1、 源码跟踪 以上一篇文章的代码为例,在subject.login()进行断点调试,整体过程如下: (1)进入DelegatingSubject的login()方法。 ...
Shiro+SpringMVC 实现更安全的登录(加密匹配&登录失败超次数锁定帐号)
热门推荐
小灯光环
09-17 4万+
关于shiro实现登录中的安全加密匹配与登录失败超次数锁定账户的功能。
shiro自定义密码匹配验证,密码加密验证。
Kally_Wang的专栏
03-28 1万+
1.更改shiro安全管理配置 是jeesite写的,Spring自动注入。 2.自定义密码验证 /** * Description: 告诉shiro如何验证加密密码,通过SimpleCr
SpringBoot 与Shirorealm实现realm不同数据表用户登录认证和权限管理的方法,以及出现的错误
三横同学的博客
08-20 850
在本次编写学生宿舍管理系统时,在实现shiro对不同的表进行登录认证与权限管理的时候,出现错误。 首先,我们要知道的是shiro与spring整合配置两个realm时,两个realm返回了不同的AuthenticationInfo,但PrincipalCollection只包含一个principal。 这个时候,如果你依然使用单个realm的话,是无论无何也无法实现对两张表的操作的。 通过查看相关的源码 以及他人的经验,最终得以解决。 这里我推荐一篇博客SpringBoot 与Shiro 整合系列(四)多r
Shiro系列-ShiroRealm如何使用
初学者
10-28 1994
导语   之前的分享中,了解到了用户身份认证,在说用户认证的时候提到了一个概念就是Realm,在之前的入门分享中提到了,Realm其实就是一个安全数据源,那么怎么样使用这个安全数据源呢?下面就来一起研究一下 文章目录Realm概念Realm接口源码Realm如何使用单个Realm配置1、自定Realm实现com.nihui.shiro.realm.MyRealm类中2、ini 配置文件指定自...
Shiro 之 CredentialsMatcher
Zllvincent的博客
09-22 1万+
一、简介 应有系统中需要保存用户登录账号、密码以供用户登录校验。如果在数据库中保存密码明文则有一定的安全性,通常对密码使用Hash运算保存,常见的Hash算法有MD5、SHA等。 二、INI 配置CredentialsMatcher [main] #自定义Reaml 实现认证、授权 realm=com.vincent.UserRealm #定义凭证匹配器 credentialsMatcher=or...
Spring Boot系列(十五) 安全框架Apache Shiro(一)基本功能
xtiawxf的专栏
09-18 2万+
Apache ShiroJava的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。
生成一个shiro自定义Realm的代码
最新发布
03-31
以下是一个简单的Shiro自定义Realm代码示例: ``` import org.apache.shiro.authc.*; import org.apache.shiro.realm.*; public class MyRealm extends AuthorizingRealm { @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 这里实现权限和角色信息的获取和设置,可以从数据库或其他数据源获取 SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); authorizationInfo.addRole("admin"); authorizationInfo.addStringPermission("user:create"); return authorizationInfo; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 这里实现用户认证,可以从数据库或其他数据源获取用户信息进行验证 String username = (String) token.getPrincipal(); String password = new String((char[]) token.getCredentials()); if (!"admin".equals(username)) { throw new UnknownAccountException(); } if (!"password".equals(password)) { throw new IncorrectCredentialsException(); } return new SimpleAuthenticationInfo(username, password, getName()); } } ``` 该自定义Realm实现Shiro的`AuthorizingRealm`接口,实现了权限和角色信息的获取和设置,以及用户认证的方法。其中,`doGetAuthorizationInfo`方法用于获取用户的角色和权限信息,并将其封装到`AuthorizationInfo`对象中返回;`doGetAuthenticationInfo`方法用于验证用户的身份和凭证信息,并将其封装到`AuthenticationInfo`对象中返回。在这个简单的示例中,认证信息被硬编码为了"admin"和"password",实际使用时应该从数据库或其他数据源中获取。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值