Shiro系列-Shiro中Realm如何使用

最新推荐文章于 2023-10-04 10:33:35 发布
最新推荐文章于 2023-10-04 10:33:35 发布
阅读量1.9k 收藏 3
点赞数 2
分类专栏: Shiro系列 文章标签: Shiro Realm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nihui123/article/details/102779797
版权

导语
  之前的分享中,了解到了用户身份认证,在说用户认证的时候提到了一个概念就是Realm,在之前的入门分享中提到了,Realm其实就是一个安全数据源,那么怎么样使用这个安全数据源呢?下面就来一起研究一下

文章目录

Realm概念

  Realm 域,Shiro从Realm获取安全数据(例如用户、角色、权限等)。之前提到SecurityManager需要进行身份验证就必须从Realm中获取到一个合法的用户身份,从而比较用户身份是否合法,同时在SecurityManager获取身份的同时Realm也需要维护一套用户身份用来判断用户是否能执行某项操作。可以把Realm看作是一个DataSource。也就是上面提到的安全数据源。

  在之前的例子中的ini配置文件就可以看做是一个安全数据源

Realm接口源码

在这里插入图片描述

public interface Realm {

	//返回一个唯一的Realm名字
    String getName();
	//判断此Realm是否支持此Token
    boolean supports(AuthenticationToken token);
    //根据Token获取认证信息
    AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException;
}

  从上面代码中看到Realm最为重要的一个事情就是根据一个Token获取的认证的信息。

Realm如何使用

  在之前有简单的提到,Realm 使用的时候可以是单个也可以是多个。下面就来分别Realm的不同使用方式。

单个Realm配置

1、自定Realm的实现com.nihui.shiro.realm.MyRealm类中
public class MyRealm implements Realm {

    public String getName() {
        return "myrealm";
    }
    public boolean supports(AuthenticationToken token) {
        //仅仅支持一个UsernamePaasswordToke
        return token instanceof UsernamePasswordToken;
    }
    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //获取到用户名和密码
        String username = (String) token.getPrincipal();
        String password = new String((char[]) token.getCredentials());
        if (!"nihui".equals(username)){
            //用户名错误
            throw new UnknownAccountException();
        }
        if (!"123".equals(password)){
            //密码错误
            throw new IncorrectCredentialsException();
        }
        //如果身份认证验证成功,返回一个AuthenticationInfo
        return new SimpleAuthenticationInfo(username,password,getName());
    }
}
2、ini 配置文件指定自定义的Realm
# 声明一个realm
myRealm=com.nihui.shiro.realm.MyRealm
# 指定SecurityManager的Realm实现
securityManager.realms=$myRealm
3、测试效果
public class SRealeTest {
    public static void main(String[] args) {
        //1、获取SecurityManager工厂,
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-realm.ini");
        //2、得到一个SecurityManager实例,绑定到SecurityUtils
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);

        //得到Subject 以及用户名密码的身份验证Token
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("nihui","123");
        // 验证登陆

        try {
            subject.login(token);
        }catch (AuthenticationException e){
            //身份认证失败
        }
        System.out.println(subject.isAuthenticated()); //true表示用户已经登陆

        //退出操作
        subject.logout();

    }
}

多个Realm配置

  多个Realm只需要将配置文件,改为如下的内容分别实现两个Realm就可以了。

# 声明realm
# 声明realm
myRealm1=com.nihui.shiro.realm.realmconfig.MyRealm1
myRealm2=com.nihui.shiro.realm.realmconfig.MyRealm2
# 指定SecurityManager的Realm实现
securityManager.realms=$myRealm1,$myRealm2

  按照SecurityManager会按照realms指定的顺序进行身份认证,按照上面配置文件中指定的顺序,来进行Realm的认证,如果删除了最后指定的securityManager.realms,那么会按照Realm声明的顺序来进行匹配。下面 就来测试一下

Realm1 规则用户名admin,密码123

public class MyRealm1 implements Realm {

    public String getName() {
        return "myrealm1";
    }
    public boolean supports(AuthenticationToken token) {
        //仅仅支持一个UsernamePaasswordToke
        return token instanceof UsernamePasswordToken;
    }
    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //获取到用户名和密码
        String username = (String) token.getPrincipal();
        String password = new String((char[]) token.getCredentials());
        if (!"admin".equals(username)){
            //用户名错误
            throw new UnknownAccountException();
        }
        if (!"123".equals(password)){
            //密码错误
            throw new IncorrectCredentialsException();
        }
        //如果身份认证验证成功,返回一个AuthenticationInfo
        return new SimpleAuthenticationInfo(username,password,getName());
    }
}

Realm2 规则用户名nihui,密码1234

public class MyRealm2 implements Realm {

    public String getName() {
        return "myrealm2";
    }
    public boolean supports(AuthenticationToken token) {
        //仅仅支持一个UsernamePaasswordToke
        return token instanceof UsernamePasswordToken;
    }
    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //获取到用户名和密码
        String username = (String) token.getPrincipal();
        String password = new String((char[]) token.getCredentials());
        if (!"nihui".equals(username)){
            //用户名错误
            throw new UnknownAccountException();
        }
        if (!"1234".equals(password)){
            //密码错误
            throw new IncorrectCredentialsException();
        }
        //如果身份认证验证成功,返回一个AuthenticationInfo
        return new SimpleAuthenticationInfo(username,password,getName());
    }
}

测试类

public class MultiRealmTest {
    public static void main(String[] args) {
        //1、获取SecurityManager工厂,
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-multi-realm.ini");
        //2、得到一个SecurityManager实例,绑定到SecurityUtils
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);

        //得到Subject 以及用户名密码的身份验证Token
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("nihui","1234");
//        UsernamePasswordToken token = new UsernamePasswordToken("admin","123");
        // 验证登陆

        try {
            subject.login(token);
        }catch (AuthenticationException e){
            //身份认证失败
        }
        System.out.println(subject.isAuthenticated()); //true表示用户已经登陆

        //退出操作
        subject.logout();

    }
}

  这个时候如果将配置文件改为如下,会发现它是按照默认顺序进行匹配的并且两个内容都进行了匹配。

# 声明realm
myRealm1=com.nihui.shiro.realm.realmconfig.MyRealm1
myRealm2=com.nihui.shiro.realm.realmconfig.MyRealm2
# 指定SecurityManager的Realm实现
#securityManager.realms=$myRealm1,$myRealm2

  如果将配置文件改为如下的内容效果如何呢?这时候就会发现只有一个nihui的规则被进行了匹配,没有指定的admin的规则则没有被匹配到。

# 声明realm
myRealm1=com.nihui.shiro.realm.realmconfig.MyRealm1
myRealm2=com.nihui.shiro.realm.realmconfig.MyRealm2
# 指定SecurityManager的Realm实现
securityManager.realms=$myRealm1

Shiro默认提供的Realm

  在org.apache.shiro.realm包中提供了默认的一些Realm实现,主要有如下一些内容
在这里插入图片描述
  一般情况下在使用扩展的时候只需要继承AuthorizingRealm(授权)就可以了,AuthorizingRealm继承了AuthenticatingRealm(身份验证),同时也间接的继承了CachingRealm(带有缓存的实现)。在上面类中比较重要的几个默认实现。

在实际中的使用

org.apache.shiro.realm.text.IniRealm

  [users]部分指定了用户名密码以及其角色,[roles]部分指定角色信息具体配置可以参考官网IniRealm配置

[users]
nihui=123
test=123
admin=123

org.apache.shiro.realm.text.PropertiesRealm

  通过配置文件的形式来指定。

private static final int DEFAULT_RELOAD_INTERVAL_SECONDS = 10;
private static final String USERNAME_PREFIX = "user.";
private static final String ROLENAME_PREFIX = "role.";
private static final String DEFAULT_RESOURCE_PATH = "classpath:shiro-users.properties";

org.apache.shiro.realm.jdbc.JdbcRealm

  通过SQL查询响应的信息,例如从用户表中查询用户信息,从角色表中查询角色信息。

   /**
     * The default query used to retrieve account data for the user.
     */
    protected static final String DEFAULT_AUTHENTICATION_QUERY = "select password from users where username = ?";
    
    /**
     * The default query used to retrieve account data for the user when {@link #saltStyle} is COLUMN.
     */
    protected static final String DEFAULT_SALTED_AUTHENTICATION_QUERY = "select password, password_salt from users where username = ?";

    /**
     * The default query used to retrieve the roles that apply to a user.
     */
    protected static final String DEFAULT_USER_ROLES_QUERY = "select role_name from user_roles where username = ?";

    /**
     * The default query used to retrieve permissions that apply to a particular role.
     */
    protected static final String DEFAULT_PERMISSIONS_QUERY = "select permission from roles_permissions where role_name = ?";

自定义Realm实现

  通过继承AuthorizingRealm类来实现自定义的Realm实现。


public class ShiroRealm extends AuthorizingRealm {
    @Autowired
    private AdminService adminService;

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //在实际项目中,这里可以根据实际情况做缓存操作。如果没有缓存操作,Shiro有自己的时间隔离机制,2分钟不会重复执行该方法。
        UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
        //获取到用户账号通过用户账号获取到用户信息
        String account = (String) token.getPrincipal();

//        UserAdmin userInfo = adminService.findByUsername(account);
        Admin userInfo  =adminService.findByUsername(account);
        if (userInfo==null){
            throw new UnknownAccountException();
        }
        if ("0".equals(userInfo.getStatus().toString())){
            throw new LockedAccountException();
        }

        SecurityUtils.getSubject().getSession().setAttribute("user",userInfo);

        ByteSource credentialsSalt = ByteSource.Util.bytes(userInfo.getPublic_salt());
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                userInfo,
                userInfo.getPassword(),
                credentialsSalt,
                getName());

        return authenticationInfo;
    }

    //这方法是用来做权限认证的方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }
}

总结

  通过上面的内容了解到了Realm作为关键数据节点在Shiro中的存在,并且介绍了关于Realm的类继承关系,了解了Realm的存在价值,如何使用Realm。

nihui123
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Apache Shiro 使用手册(四) Realm 实现
01-09
因为在Shiro,最终是通过Realm来获取应用程序的用户、角色及权限信息的。通常情况下,在Realm会直接从我们的数据源获取Shiro需要的验证信息。可以说,Realm是专用于安全框架的DAO. 一、认证实现 正如前文...
shiro-realm案例
03-02
在配置文件,我们需要将自定义的Realm注入到Shiro的安全管理器,这样Shiro在处理用户请求时会使用我们的自定义Realm进行认证和授权。例如,在`shiro.ini`: ```ini [main] myRealm = ...
shiro从入门到实战教程】第四章 Realm解析
波哩个波的博客
07-08 890
Realm概述 IniRealm、JdbcRealm、自定义Realm Shiro认证和授权流程的源码解读
Shiro Realm
热门推荐
尽力而为
05-29 2万+
之前写项目用了 Shiro 框架,来进行安全验证以及权限管理。当时项目赶得急,没怎么深入了解,只能说能跑能改,不过在使用的过程发现 Shiro 确实很优秀。现在回过头来学习原理,读读源码,深入的学习下。· 本篇博文主要写的是关于使用 Shiro 起步时最重要的一块,找了一些资料,力求写得简单明了。
Shiro的常见用法
chy1984的博客
07-25 1778
新建类CustomRealm,继承AuthorizingRealm/*** 自定义的Realm/*** 授权方法,权限校验时自动调用//获取主体标识 String username =(String) principalCollection . getPrimaryPrincipal();//使用dao层,根据主体标识查询用户对应的角色、权限,此处略过 Set < String > permissions = null;
shiro讲解之 Realm
egegerhn的博客
04-22 601
shiro讲解之 Realm 本章节我们将详细讲解一下ShiroRealm。 概念 官方文档 As mentioned above, Realms act as the ‘bridge’ or ‘connector’ between Shiro and your application’s security data. When it comes time to actually interact with security-related data like user accounts to
No bean of type ‘org.apache.shiro.realm.Realm‘ found
fly_or的博客
03-03 9469
Springboot + Mybatis-plus,集成shiro,启动报错: No bean of type 'org.apache.shiro.realm.Realm' found. Please create bean of type 'Realm' or add a shiro.ini in the root classpath (src/main/resources/shiro.ini) or in the META-INF folder (src/main/resources/META-
shiro-root-1.2.3-source-release zipa包 和相关jar包
04-20
而相关的jar包则提供了运行时所需的依赖,使得我们可以直接在项目使用Shiro的功能。 Shiro的主要组件包括: 1. **身份验证(Authentication)**:这是验证用户身份的过程,通常涉及到用户名和密码的校验。Shiro...
shiro-1.9.0版本jar包
05-10
5. **Web 支持**:Shiro 提供了Filter来集成到Servlet容器,可以方便地实现登录、权限控制等功能。 在1.9.0版本,可能包含以下改进: - **性能优化**:可能对内部算法或数据结构进行了优化,提高了运行效率。 ...
shiro-root-1.4.1-source-release.zip
06-10
3. **Filters**:Shiro 提供了一系列过滤器,它们可以插入到 Web 应用的过滤链,处理如登录、权限检查等安全相关的请求。 4. **Session Manager**:负责会话的创建、持久化、超时检测等功能,可以配置 session ...
Shiro系列七:Realm
苍穹尘的博客
06-07 1729
Realm:域,Shiro从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色和权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。如我们之前的ini配置方式将使用org.apache.shiro.realm...
ShiroRealm详解
Lvlht的博客
07-15 1329
Realm配置 明确的分配 隐含分配 Realm认证 支持AuthenticationTokens 处理支持的AuthenticationTokens 凭证匹配 简单的相等性检查 哈希证书 哈希和相应的匹配者 SaltedAuthenticationInfo 禁用身份验证 Realm授权 基于角色的授权 基于权限的授权 一个Realm...
Shiro【自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)
07-12 1262
Shiro【自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)
启动报错:No bean of type ‘org.apache.shiro.realm.Realm‘ found.java.lang.IllegalStateException: Failed to
qq_44215191的博客
04-17 4599
本人的错误原因是pom依赖文件导入了shiro依赖,但是没有对其进行配置,将shiro依赖注释掉之后即可正常启动 No bean of type 'org.apache.shiro.realm.Realm' found. Action: Please create bean of type 'Realm' or add a shiro.ini in the root classpath (src/main/resources/shiro.ini) or in the META-INF folder
Shiro入门(五)Shiro自定义Realm和加密算法
jwang的博客
05-11 2145
前言 本章讲解shiro自定义的realm和它的加密算法 方法 1.概念 通过前面的讲解,我已经带入了自定义Realm的相关概念。那么为什么要自定义realm呢?显而易见,我们在数据库创建的users表和它的字段受限于shiro自己的jdbcRealm,所以通常情况下我们需要使用自己的表,跟着必须使用自定义realm。 再者,在用户表,密码字段的值是一个敏感的存在。我们需...
shiro认证自定义realm
最新发布
虾米大王的学习历程
10-04 97
在src/main/java文件夹下,新建包method1,编写自定义realm。通过切换string类型的用户名,查看测试结果。新建springboot项目,导入依赖。在test文件夹下,编写测试类。
shiro安全管理器设置realm参数运行报No bean of type ‘org.apache.shiro.realm.Realm‘ found.
weixin_45392991的博客
12-08 2428
安全管理器里参数不设置了,直接调用getRealm()方法。解决
Shiro核心——Realm
小凯的博客
03-08 714
shiro核心原理Realm笔记整理
Shiro实现多realm方案
程序员田同学的博客
07-02 2967
公司开始了新项目,新项目的认证采用的是Shiro实现。由于涉及到多端登录用户,而且多端用户还是来自不同的表。 这就涉及到了Shiro的多realm,今天的demo主要是介绍Shiro的多realm实现方案,文包含所有的代码,需要的朋友可以无缝copy。...
《跟我学Shiro》- 开涛大神的全面教程
REALMShiro的关键概念,它负责与应用程序的特定数据源交互,以验证用户身份。此外,AUTHENTICATOR和AUTHENTICATIONSTRATEGY分别负责执行身份验证操作和策略。 3. **授权(Authorization)** 授权是确定用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

nihui123

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值