shiro Realm以及相关对象

最新推荐文章于 2024-05-20 10:53:39 发布
最新推荐文章于 2024-05-20 10:53:39 发布
阅读量568 收藏
点赞数
分类专栏: shiro 文章标签: shiro realm 对象

本文是对张开涛老师的shiro Realm以及相关对象教材、博客及代码的提炼 仅自己学习和项目集成使用 如有版权问题 请联系我删除 

张老师原贴:http://jinnianshilongnian.iteye.com/blog/2022468


一、Realm

1.1 Realm:提供待验证数据的比对值,即安全数据源。

自定义Realm类要实现Realm接口:

public class MyRealm1 implements Realm { 
	String getName(); //返回一个唯一的Realm名字  
	boolean supports(AuthenticationToken token); //判断此Realm是否支持此Token  
	AuthenticationInfo getAuthenticationInfo(AuthenticationToken token)  
	 throws AuthenticationException;  //根据Token获取认证信息 
	 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) //授权
 }

 

1.2 说明:

1.2.1、doGetAuthenticationInfo  获取身份验证相关信息

/1.2.2、doGetAuthorizationInfo  获取授权信息:PrincipalCollection 是一个身份集合。可以调用 getPrimaryPrincipal 等方法得到之前传入的用户名,再根据用户名调用 UserService 接口获取角色及权限信息

 

1.3分类:

org.apache.shiro.realm.text.IniRealm:[users]部分指定用户名/密码及其角色;[roles]部分指定角色即权限信息;

org.apache.shiro.realm.text.PropertiesRealm: user.username=password,role1,role2指定用户名/密码及其角色;role.role1=permission1,permission2指定角色及权限信息;

org.apache.shiro.realm.jdbc.JdbcRealm:通过sql查询相应的信息

….

 

二、Authenticator及AuthenticationStrategy

Authenticator:职责是验证用户帐号,是Shiro API中身份验证核心的入口点,如果验证成功,将返回AuthenticationInfo验证信息

AuthenticationStrategy:指定验证规则,包括但不限于FirstSuccessfulStrategyAtLeastOneSuccessfulStrategyAllSuccessfulStrategy

 

三、Authorizer、PermissionResolver及RolePermissionResolver

1、Authorizer:

1.1 职责是进行授权(访问控制),是Shiro API中授权核心的入口点,其提供了相应的角色/权限判断接口。

1.2 SecurityManager继承了Authorizer接口,且提供了ModularRealmAuthorizer用于多Realm时的授权匹配。

2、PermissionResolver:PermissionResolver用于解析权限字符串到Permission实例

3、RolePermissionResolver:用于根据角色解析相应的权限集合

 

四、AuthenticationToken、AuthenticationInfo、PrincipalCollection

1、 AuthenticationToken接口用于收集用户提交的身份(如用户名)及凭据(如密码)

public interface AuthenticationToken extends Serializable {
Object getPrincipal(); //身份
Object getCredentials(); //凭据
}

常用实现类:UsernamePasswordToken

1、 AuthenticationInfo:

2.1身份验证信息类,有两个作用

2.1.1如果 Realm 是 AuthenticatingRealm 子类,则提供给 AuthenticatingRealm 内部使用的CredentialsMatcher 进行凭据验证; (如果没有继承它需要在自己的 Realm中自己实现验证);

2.1.2提供给 SecurityManager 来创建 Subject(提供身份信息)。

2.2 常见子接口和实现类:MergableAuthenticationInfo、Account、SimpleAuthenticationInfo

2、 PrincipalCollection:用于聚合身份信息,通过getPrimaryPrincipal等方法获取验证成功的身份。

 

五、AuthorizationInfo

AuthorizationInfo 用于聚合授权信息

public interface AuthorizationInfo extends Serializable {
Collection<String> getRoles(); //获取角色字符串信息
Collection<String> getStringPermissions(); //获取权限字符串信息
Collection<Permission> getObjectPermissions(); //获取 Permission 对象信息
}

常用实现类:SimpleAuthorizationInfo


六、Subject

1、 Subject 是 Shiro 的核心对象,基本所有身份验证、授权都是通过 Subject 完成,一般的用法:

1.1身份信息获取

Object getPrincipal(); //Primary Principal

PrincipalCollection getPrincipals(); // PrincipalCollection

1.2身份验证

void login(AuthenticationToken token) throws AuthenticationException;

boolean isAuthenticated();

boolean isRemembered();

1.3角色/权限授权验证

hasRole*、checkRole*进行角色验证,isPermitted*、checkPermission*进行权限验证

1.4会话

Session getSession();

1.5退出

void logout();

1.6  RunAs、多线程:略

2、  Subject 自己不会实现相应的身份验证/授权逻辑,而是通过 DelegatingSubject 委托给SecurityManager 实现;及可以理解为 Subject 是一个面门。

3、  对于 Subject 的构建一般没必要我们去创建;一般通过 SecurityUtils.getSubject()获取。






jing12062011
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro介绍(四):定义自己的安全域Realm
SHARE & TOP
12-07 5281
在前面的介绍中,我提到过真正的安全逻辑其实都在Pluggable Realms里面,那么今天我们就来讨论一下这个安全域Realm
shiro-realm案例
03-02
在`shiro.web`这个项目中,我们可以看到Web应用的相关配置,可能包括了Spring MVC的Controller、Service和DAO,以及与Shiro相关的配置文件,如`shiro.ini`或`shiro.xml`。 在配置文件中,我们需要将自定义的Realm...
ShiroRealm对象
weixin_38297879的博客
07-31 327
总体来看,对Shiro的操作,是围绕Realm对象来进行操作的,Realm提供的是待校验数据的比对值,即安全数据源 1,doGetAuthenticationinfo:获取身份验证相关信息 2,doGetAuthorizationinfo:是用户获取授权信息的,PrincipalCollection 是一个身份集合,可以调用getPrimaryPrincipal等方法得到之前传入的用户名,在...
基于JWT 和 Shiro 做接口权限认证
最新发布
ewii12567的博客
05-20 915
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
Shiro系列-ShiroRealm如何使用
初学者
10-28 1997
导语   之前的分享中,了解到了用户身份认证,在说用户认证的时候提到了一个概念就是Realm,在之前的入门分享中提到了,Realm其实就是一个安全数据源,那么怎么样使用这个安全数据源呢?下面就来一起研究一下 文章目录Realm概念Realm接口源码Realm如何使用单个Realm配置1、自定Realm的实现com.nihui.shiro.realm.MyRealm类中2、ini 配置文件指定自...
前后端分离项目Shiro多端登录实现多个realm解决方案
weixin_43860634的博客
03-30 909
前后端分离项目Shiro多端登录实现多个realm解决方案
shiro文档以及代码
01-14
2. **配置Shiro**:创建Shiro配置类,设置Realm(认证和授权信息来源),以及会话管理等相关配置。 3. **编写 Realm**:自定义 Realm 类,实现AuthenticationInfo和AuthorizationInfo接口,连接数据库或其他数据源...
shiro权限框架自定义Realm示例
09-10
6. ** 文件`ShiroRealmProject`**:这个项目可能包含了一个完整的示例应用,包括了自定义Realm的实现、Shiro配置以及相关的测试代码。通过研究这个项目,你可以更好地理解自定义Realm的全过程,并将其应用到自己的...
shiro第六章Realm完整Demo
08-23
在本"shiro第六章Realm完整Demo"中,我们将深入理解Shiro的核心组件——Realm,以及如何通过 Realm 实现用户认证和授权的完整流程。 RealmShiro中扮演着关键角色,它是与应用安全数据源(如数据库、LDAP等)的...
Apache Shiro 使用手册(四) Realm 实现
09-15
Shiro的架构中,`Realm` 是一个至关重要的组件,它是Shiro与应用程序特定安全数据源(如数据库、LDAP或其它来源)之间的桥梁。在Shiro的认证和授权过程中,`Realm` 扮演着核心角色。 **一、认证实现** 认证是...
Springboot整合Shiro进行权限认证-两种获取realm的方式
规则中找出不规则,挫折中找出突破点
07-12 1144
Shiro安全框架 在学习之前先了解了解shiro,防止掉坑。 1. 什么是Shiro? 1.1 Shiro的官网解释 Apache Shiro™是一个功能强大且易于使用的Java安全框架,它执行身份验证,授权,加密和会话管理。使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序-从最小的移动应用程序到最大的Web和企业应用程序 特点:属于Apache开源组织的一个产品,功能强大并且易用的Java安全框架 可以完成用户认证、授权、密码以及会话管理 可以在任何的应用系统中使用(主要针对单体项
第六章 Realm相关对象——《跟我学Shiro
jinnianshilongnian的专栏
02-26 983
  目录贴: 跟我学Shiro目录贴     6.1 Realm 【2.5 Realm】及【3.5 Authorizer】部分都已经详细介绍过Realm了,接下来再来看一下一般真实环境下的Realm如何实现。    1、定义实体及关系 即用户-角色之间是多对多关系,角色-权限之间是多对多关系;且用户和权限之间通过角色建立关系;在系统中验证时通过权限验证,角色只是权限集合,即...
Shiro 中的 Realm
热门推荐
尽力而为
05-29 2万+
之前写项目用了 Shiro 框架,来进行安全验证以及权限管理。当时项目赶得急,没怎么深入了解,只能说能跑能改,不过在使用的过程中发现 Shiro 确实很优秀。现在回过头来学习原理,读读源码,深入的学习下。· 本篇博文主要写的是关于使用 Shiro 起步时最重要的一块,找了一些资料,力求写得简单明了。
shiro授权,自定义realm实现授权,shiro与项目集成,在项目中实现认证及授权
wumengjie123的博客
11-15 6904
讲前必读 第一节:shiro授权 1. 重点:讲解授权流程并实现对用户授权。 2. 课程实际内容 a)    简介:回顾shiro架构及相关对象以及认证流程 b)    重点:shiro授权流程 c)     简介:授权方式 d)    重点:授权实现 e)    简介:测试 3. 重点:课堂总结 a)    授权实现 练习20分钟 第二节:自定义Realm实现授权 1.
shiro讲解之 Realm
Dusty丶one的博客
10-28 773
shiro讲解之 Realm本章节我们将详细讲解一下ShiroRealm。概念 官方文档As mentioned above, Realms act as the ‘bridge’ or ‘connector’ between Shiro and your application’s security data. When it comes time to actually interact w
Shiro基础知识——Realm(一)
有天你会让我妒忌的.
06-14 239
RealmRealm:域,ShiroRealm 获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色 / 权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource,即安全数据源。org.apache.shiro.real...
自学-为什么自定义的Realm认证中 直接继承AuthenticatingRealm呢?-06
女神的高冷范
12-17 2331
先我们先来对上一节中的遗留的问题进行简单的解答下: Realm 的继承关系: Realm是他们的父类,继承AuthenticatingRealm其也间接继承了 CachingRealm(带有缓存实现)。 通过源码分析,可以查看认证只是调用了doGetAuthenticationInfo 接下里的一节将探讨加密算法及怎么实现。
Shiro框架 Realm权限分配与认证流程解析
"这篇文档主要讨论了 RealmShiro 框架中的代码实现和权限分配与授权的相关知识。Shiro 是一个强大的 Java 安全框架,提供了认证、授权、加密和会话管理功能,简化了开发人员处理安全问题的过程。在 Shiro 中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值