Shiro【自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)

已于 2023-07-13 14:14:57 修改
阅读量1k 收藏 6
点赞数 2
分类专栏: Java基础深化和提高 文章标签: java 数据库 Shiro
于 2023-07-12 17:45:00 首次发布
1
本文链接:https://blog.csdn.net/m0_58719994/article/details/131670686
版权

 

目录

Shiro认证_自定义Realm 

Shiro认证_多Realm认证 

 Shiro认证_多Realm认证策略

Shiro认证_异常处理

Shiro认证_自定义Realm 

 使用 JdbcRealm 认证时,数据库表名、字段名、认证逻辑都不能改变, 我们可以自定义Realm进行更灵活的认证。

1、准备数据表

CREATE TABLE `users`  (
  `uid` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `password` varchar(255) CHARACTER SET
utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`uid`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8
COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
INSERT INTO `users` VALUES (1, 'bizan','123');

2、编写实体类

@Data
public class Users {
    private Integer uid;
    private String username;
    private String password;
}

3、编写mapper接口

public interface UsersMapper extends BaseMapper<Users> { }

4、在启动类加载mapper接口

@SpringBootApplication
@MapperScan("com.tong.myshiro1.mapper")
public class Myshiro1Application {
    public static void main(String[] args)
   {
      SpringApplication.run(Myshiro1Application.class, args);
   }
}

5、编写自定义Realm类

public class MyRealm extends
AuthorizingRealm {
    @Autowired
    private UserInfoMapper userInfoMapper;
    // 自定义认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 1.获取用户输入的用户名
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username = token.getUsername();
        // 2.根据用户名查询用户
        QueryWrapper<Users> wrapper = new QueryWrapper<Users>().eq("username",username);
        Users users = usersMapper.selectOne(wrapper);
        // 3.将查询到的用户封装为认证信息
        if (users == null) {
            throw new UnknownAccountException("账户不存在");
       }
        /**
         * 参数1:用户
         * 参数2:密码
         * 参数3:Realm名
         */
        return new SimpleAuthenticationInfo(users,users.getPassword(),"myRealm");
   }
    // 自定义授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
   }
}

6、将自定义Realm放入SecurityManager对象中

@Configuration
public class ShiroConfig {
    // 自定义Realm
    @Bean
    public MyRealm myRealm(){
        return new MyRealm();
   }
    
    // SecurityManager对象
    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm myRealm){
        DefaultWebSecurityManager defaultSecurityManager=new DefaultWebSecurityManager();
        // 自定义Realm放入SecurityManager中
       defaultSecurityManager.setRealm(myRealm);
       return defaultSecurityManager;
   }
}

7、无需修改Service和Controller

8、启动项目,访问登录页http://localhost/login,测试登录功能。

Shiro认证_多Realm认证 

 在实际开发中,我们的认证逻辑可能不止一种,例如:

1、系统支持用户名密码认证,也支持扫描二维码认证;

2、在系统中有管理员和普通用户两张表,管理员和普通用户的认证逻辑是不一样的;

3、用户数据量庞大,分别存在不同的数据库中,认证时需要连接多个数据源。

以上情况都需要配置多个Realm进行认证,我们以第二种情况举 例,讲解Shiro中多Realm认证的写法:

1、在数据库创建admin表

CREATE TABLE `admin`  (
  `id` int(11) NOT NULL,
  `name` varchar(255) CHARACTER SET utf8
COLLATE utf8_general_ci NULL DEFAULT NULL,
  `password` varchar(255) CHARACTER SET
utf8 COLLATE utf8_general_ci NULL DEFAULT
NULL,
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8
COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
INSERT INTO `admin` VALUES (1, 'bizan','123');
INSERT INTO `admin` VALUES (2, 'xtzb','456');

2、创建Admin实体类和AdminMapper接口

@Data
public class Admin {
    private Integer id;
    private String name;
    private String password;
}
public interface AdminMapper extends BaseMapper<Admin> {}

3、MyRealm 认证User用户, MyRealm2 认证Admin用户

public class MyRealm2 extends AuthorizingRealm {
@Autowired
    private AdminMapper adminMapper;
    // 自定义认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 1.获取输入的管理员名
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username = token.getUsername();
        // 2.根据管理员名查询管理员
        QueryWrapper<Admin> wrapper = new QueryWrapper<Admin>().eq("name",username);
        Admin admin =adminMapper.selectOne(wrapper);
        // 3.将查询到的管理员封装为认证信息
        if (admin == null) {
            throw new UnknownAccountException("账户不存在");
       }
        /**
         * 参数1:管理员
         * 参数2:密码
         * 参数3:Realm名
         */
        return new SimpleAuthenticationInfo(admin,
                admin.getPassword(),
                "myRealm2");
   }
    // 自定义授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
   }
}

4、在SecurityManager中配置Realm

// Realm
@Bean
public MyRealm getMyRealm() {
    return new MyRealm();
}
@Bean
public MyRealm2 getMyRealm2() {
    return new MyRealm2();
}
// SecurityManager对象
@Bean
public DefaultWebSecurityManager
getDefaultWebSecurityManager(MyRealm realm, MyRealm2 realm2){
    DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager();
    // Realm放入SecurityManager中
    List<Realm> realms = new ArrayList();
    realms.add(realm);
    realms.add(realm2);
    defaultSecurityManager.setRealms(realms);
    return defaultSecurityManager;
}

5、使用 bizan:123 和 xtzb:456 测试认证效果

 Shiro认证_多Realm认证策略

 如果有多个Realm,怎样才能认证成功,这就是认证策略。认证策 略主要使用的是 AuthenticationStrategy 接口,这个接口有三个实现类:

// Realm管理者
@Bean
public ModularRealmAuthenticator modularRealmAuthenticator(){
    ModularRealmAuthenticator modularRealmAuthenticator = new ModularRealmAuthenticator();
    //设置认证策略
    modularRealmAuthenticator.setAuthenticationStrategy(new AtLeastOneSuccessfulStrategy());
    return modularRealmAuthenticator;
}
// SecurityManager对象
@Bean
public DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm realm,MyRealm2 realm2){
    DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager();
    // 设置Realm管理者(需要在设置Realm之前)
    defaultSecurityManager.setAuthenticator(modularRealmAuthenticator());
    List<Realm> realms = new ArrayList();
    realms.add(realm);
    realms.add(realm2);
    defaultSecurityManager.setRealms(realms);
    return defaultSecurityManager;
}

ModularRealmAuthenticator 中的 doMultiRealmAuthentication 方法中添加断点可以 查看认证通过信息。

Shiro认证_异常处理

 当Shiro认证失败后,会抛出 AuthorizationException 异常。该异常的子类分 别代表不同的认证失败原因,我们可以通过捕捉它们确定认证失败原因。

1、DisabledAccountException:账户失效

2、ConcurrentAccessException:竞争次数过多

3、ExcessiveAttemptsException:尝试次数过多

4、UnknownAccountException:用户名不正确

5、IncorrectCredentialsException:凭证(密码)不正确

6、ExpiredCredentialsException:凭证过期

我们一般在Controller中处理认证异常:

@RequestMapping("/user/login2")
public String login(String username, String password) {
    try {
        usersService.userLogin(username, password);
        return "main";
   } catch (DisabledAccountException e) {
        System.out.println("账户失效");
        return "fail";
   } catch (ConcurrentAccessException e) {
        System.out.println("竞争次数过多");
        return "fail";
   } catch (ExcessiveAttemptsException e) {
        System.out.println("尝试次数过多");
        return "fail";
   } catch (UnknownAccountException e) {
        System.out.println("用户名不正确");
        return "fail";
   } catch (IncorrectCredentialsException e) {
        System.out.println("密码不正确");
        return "fail";
   } catch (ExpiredCredentialsException e)
{
        System.out.println("凭证过期");
        return "fail";
   }
}

注: 如果将异常信息提示给用户,尽量把异常信息表示的婉转一 些。比如不管用户名还是密码错误,都提示用户名或密码错误,这样有助于提升代码的安全性。

童小纯
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
shiro权限框架自定义Realm示例
09-10
shiro权限框架自定义Realm示例
Shiro基本使用详解以及多Realm使用和配置.rar
08-09
Shiro基本使用详解以及多Realm使用和配置,拿来可以直接使用,也可以在此基础上进行自己业务逻辑的添加和修改,如果希望进一步深入学习,可以查看我的博客,可以查看https://blog.csdn.net/u014748504/article/details/107813181,或给我留言
spring boot 2.x + shiro实现多种登录方式(多个Realm
zhourenfei17的专栏
03-26 4906
继上篇关于shiro使用的博文介绍,我们已经初步了解了在spring boot中如何使用shiro,但是当我们集成shiro实现登录认证的时候会发现,我们的系统支持多种登录方式(密码登录、手机验证码登录、其他第三方登录),而且每种登录方式的具体实现又会存在差异,这时候我们就需要用shiro的多realm的方式去实现登录,每个realm对应不同的登录方式的具体实现。 此处举例以密码登录、手机验证码...
springboot整合shiro实现多realm不同数据表登陆
u012954380的博客
11-22 6526
shiro是一个很好的登陆以及权限管理框架,但是默认是单realm单数据表,如果业务中用户分布在不同的数据表,单realm就很难实现登陆以及权限管理的功能,这篇博客就简单的介绍一个家长 学生 老师的账号分布在不同的数据表情况下,shiro的多realm登陆验证,使用springboot,mybatis mysql等相关技术,博客底部附上源码,有兴趣的可以去下载 1.项目pom依赖 ...
shiro认证与授权
qq_41644069的博客
10-27 580
1.shiro认证 1.1.身份验证 身份验证:一般需要提供如身份ID等一些标识信息来表明登录者的身份,如提供email,用户名/密码来证明。 在shiro中,用户需要提供principals(身份)和credentials(证明)给shiro,从而应用能验证用户身份。 principals:身份,即主体的标识属性,可以是任何属性,如用户名、邮箱等,唯一即可。一个主体可以有多个principals,但只有一个Primaryprincipals,一般是用户名/邮箱/手机号。 credentials.
shiro学习三(spring boot整合shiro读取数据库数据实现用户登录,权限认证
bird_tp的博客
07-08 957
一、本篇概述 如果大家看过我shiro类的其他博客,关于shiro的一些基本知识点就不再讲诉,本篇博客主要是讲诉Spring boot如何通过Java配置获取securityManager对象,如何通过调用数据库数据实现认证登录等功能,其中与数据库交互用的mybatis -plus。因为代码量比上篇博客多,我就不将所有代码粘贴出来了,主要展示一些重要的部分,如果需要整个demo的,可以下载我的案例 、pom依赖 粘贴项目中需要引入的依赖信息‘ <!-- 添加shrio依赖
Shiro 中的 Realm
热门推荐
尽力而为
05-29 2万+
之前写项目用了 Shiro 框架,来进行安全验证以及权限管理。当时项目赶得急,没怎么深入了解,只能说能跑能改,不过在使用的过程中发现 Shiro 确实很优秀。现在回过头来学习原理,读读源码,深入的学习下。· 本篇博文主要写的是关于使用 Shiro 起步时最重要的一块,找了一些资料,力求写得简单明了。
Shiro-多Realm验证
weixin_34341117的博客
01-08 565
2019独角兽企业重金招聘Python工程师标准>>> ...
自定义Realm
weixin_34232744的博客
10-08 62
【单Realm】 1)jar包 2)实现自定义Realm 1 public class RealmOne implements Realm{ 2 /** 3 * 获取基本类名 4 */ 5 @Override 6 public String getName() { 7 // TODO...
Shiro之多个Realm实现
qq_57907966的博客
12-26 385
实现原理:当应用程序配置多个Realm时,例如:用户名密码校验、手机验证码校验等等Shiro的ModularRealmAuthenticator会使用内部的AuthenticationStrategy组件判断认证成功还是失败。
Spring配置shiro自定义Realm中属性无法使用注解注入的解决办法
08-26
今天小编就为大家分享一篇关于Spring配置shiro自定义Realm中属性无法使用注解注入的解决办法,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
shiro-realm案例
03-02
shiro自定义realm案例,参考文档:http://blog.csdn.net/qq_19558705/article/details/50775509
从实例入手学习Shiro自定义Realm实现查询数据进行验证示例代码.zip
05-12
从实例入手学习Shiro自定义Realm实现查询数据进行验证示例代码.zip
java方法重写(重点讲),方法重载
weixin_46281068的博客
04-27 931
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
Day25-Java基础之常用类1
m0_46053885的博客
04-27 880
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个进制数据,而是将这个将其转换成一个无限的。
链表刷题集
最新发布
yajunjiao的专栏
04-30 279
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
Lambda表达式特点
weixin_57763462的博客
04-24 799
**API 设计**:Lambda 表达式鼓励使用函数式接口的设计模式,这改变了 Java 库的设计,例如 `java.util.function` 包下的一系列函数式接口。- **函数式编程**:Lambda 表达式引入了函数式编程的理念,使得 Java 更接近于函数式编程语言,如 Scala 和 Clojure。- **并发编程**:Lambda 表达式与 Java 8 新增的 Stream API 结合使用,可以简化并发编程,特别是与集合的操作相关。
MSE实现全链路灰度实践
云计算、数据库、大数据、深度学习、NLP、Python
04-24 411
待更新。
Java | 冒泡排序算法实现
yingzix688的博客
04-24 881
题目描述 编写一个Java程序,实现冒泡排序算法。程序需要能够接收一个整型数组作为输入,并输出排序后的数组。 冒泡排序是一种简单的排序算法,它重复地走访过要排序的数列,一次比较两个元素,如果他们的顺序错误就把他们交换过来。走访数列的工作是重复地进行直到没有再需要交换,也就是说该数列已经排序完成。
shirorealm多登录界面
05-18
Shiro支持多个Realm,你可以在shiro.ini或者shiro-config.xml中配置多个Realm。每个Realm可以用于不同类型的认证,比如一个Realm可以用于数据库认证,另一个Realm可以用于LDAP认证等等。 至于多个登录界面的实现,可以通过在不同的URL上部署不同的登录页面来实现。你可以在Shiro的FilterChain中定义多个过滤器链,每个过滤器链可以用于不同的URL,并在其中指定对应的登录页面。比如: ```ini [main] ... authc1 = org.apache.shiro.web.filter.authc.FormAuthenticationFilter authc1.loginUrl = /login1.jsp authc2 = org.apache.shiro.web.filter.authc.FormAuthenticationFilter authc2.loginUrl = /login2.jsp [urls] /login1 = authc1 /login2 = authc2 ``` 这样,当用户访问/login1时,会跳转到/login1.jsp页面进行认证;当用户访问/login2时,会跳转到/login2.jsp页面进行认证。你也可以根据自己的实际需要进行修改和扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

童小纯

你的鼓励是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值