shiro教程之三自定义realm

最新推荐文章于 2023-07-12 17:45:00 发布
最新推荐文章于 2023-07-12 17:45:00 发布
阅读量306 收藏
点赞数
分类专栏: shiro 文章标签: shiro java springboot spring springmvc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oatmeal2015/article/details/100019719
版权

使用java以及ini文件来测试如何利用散列以及自定义匹配器来测试自定义realm以及如何使用自己的自定义匹配器

自定义realm的项目结构

在这里插入图片描述

1、自定义realm,继承 AuthorizingRealm 重写3方法:getName doGetAuthorizationInfo doGetAuthenticationInfo
  • 自定义realm
public class MyRealm extends  AuthorizingRealm{
	
	@Override
	public String getName() {
		// TODO Auto-generated method stub
		return "MyRealm";//只是个名字  一般项目中有很多realm
	}
	
	//授权操作
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
		return null;
	}

	//认证操作
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		System.out.println(token);
		//参数token:表示登录时包装的UsernamePasswordToken
		//通过用户名到数据库中查用户信息,封装成一个AuthenticationInfo对象返回,方便认证器进行对比
		//获取token中的用户名
		String username = (String) token.getPrincipal();
		//通过用户名查询数据库,将该用户对应数据查询返回:账号和密码
		//假设查询数据库返回数据是:zhangsan  666
		if(!"zhangsan".equals(username)){
			return null;
		}
		String password = "666";
		//info对象表示realm登录比对信息:参数1:用户信息(真实登录中是登录对象user对象),参数2:密码  参数3:当前realm名字
		SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, password, getName());
		return info;
	}

}
  • shiro-realm.ini文件内容
#自定义realm
myRealm=cn.com.zhangjh.shiro.MyRealm
##指定SecurityManager的realms实现
securityManager.realms=$myRealm
  • 测试类
public class TestShiro {
	public static void main(String[] args) {
		//1、创建SecurityManager工厂对象,加载配置文件,创建工厂对象
		Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-realm.ini");
		//2、通过工厂对象,创建SecurityManager对象
		SecurityManager securityManager = factory.getInstance();
		//3、将SecurityManager绑定到当前运行环境中:让系统随时随地都可以访问SecurityManager对象
		SecurityUtils.setSecurityManager(securityManager);		
		//4、创建当前登录的主体、注意:此时主体没有经过认证
		Subject subject = SecurityUtils.getSubject();
		//5、收集主体登录的身份/凭证,即账号密码
		//参数1:将要登录的用户名,参数2:登录用户的密码
		UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "666");
		//6:主体登录
		try {
			subject.login(token);
		} catch (Exception e) {
			//登录失败
			e.printStackTrace();
		}
		//7、判断等是否成功
		System.out.println("验证登录是否成功:"+subject.isAuthenticated());
		//8:登出(注销)
		subject.logout();
		System.out.println("验证登录是否成功:"+subject.isAuthenticated());
	}
}

shiro加密算法以及自定义匹配器

散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据,常见的散列算法如MD5、SHA等。一般进行散列时最好提供一个salt(盐),
比如加密密码“admin”,产生的散列值是“21232f297a57a5a743894a0e4a801fc3”,可以到一些md5解密网站很容易的通过散列值得到密码“admin”,
即如果直接对密码进行散列相对来说破解更容易,此时我们可以加一些只有系统知道的干扰数据,如用户名和ID(即盐);这样散列的对象是“密码+用户名+ID”,这样生成的散列值相对来说更难破解。
  • 散列值的测试
public class Md5Test {
	public static void main(String[] args) {
		String password = "666";//密码
		//加密:md5
		Md5Hash md5Hash = new Md5Hash(password);
		//fae0b27c451c728867a567e8c1bb4e53
		System.out.println(md5Hash);
		//加密:md5 + 盐
		md5Hash = new Md5Hash(password,"zhangsan");
		//2f1f526e25fdefa341c7a302b47dd9df
		System.out.println(md5Hash);
		//加密:md5+盐+散列次数
		md5Hash = new Md5Hash(password,"zhangsan",3);
		//cd757bae8bd31da92c6b14c235668091
		System.out.println(md5Hash);
	}
}
  • 自定义的散列文件
public class PasswordRealm extends  AuthorizingRealm{
	
	@Override
	public String getName() {
		// TODO Auto-generated method stub
		return "PasswordRealm";
	}
	
	//授权操作
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) {
		return null;
	}

	//认证操作
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		System.out.println(token);
		//参数token:表示登录时包装的UsernamePasswordToken
		//通过用户名到数据库中查用户信息,封装成一个AuthenticationInfo对象返回,方便认证器进行对比
		//获取token中的用户名
		String username = (String) token.getPrincipal();
		//通过用户名查询数据库,将该用户对应数据查询返回:账号和密码
		//假设查询数据库返回数据是:zhangsan  666
		if(!"zhangsan".equals(username)){
			return null;
		}
		String password = "cd757bae8bd31da92c6b14c235668091";
		//info对象表示realm登录比对信息:参数1:用户信息(真实登录中是登录对象user对象),参数2:密码  参数3:盐  参数4:当前realm名字
		SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, password,ByteSource.Util.bytes("zhangsan"), getName());
		return info;
	}

}
  • shiro-realm.ini文件
#定义凭证匹配器
credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher
#散列算法
credentialsMatcher.hashAlgorithmName=md5
#散列次数
credentialsMatcher.hashIterations=3

#自定义realm
myRealm=cn.com.zhangjh.shiro.PasswordRealm
##指定SecurityManager的realms实现
myRealm.credentialsMatcher=$credentialsMatcher
securityManager.realms=$myRealm
  • 测试类
public class TestShiro {
	public static void main(String[] args) {
		//1、创建SecurityManager工厂对象,加载配置文件,创建工厂对象
		Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-realm.ini");
		//2、通过工厂对象,创建SecurityManager对象
		SecurityManager securityManager = factory.getInstance();
		//3、将SecurityManager绑定到当前运行环境中:让系统随时随地都可以访问SecurityManager对象
		SecurityUtils.setSecurityManager(securityManager);		
		//4、创建当前登录的主体、注意:此时主体没有经过认证
		Subject subject = SecurityUtils.getSubject();
		//5、收集主体登录的身份/凭证,即账号密码
		//参数1:将要登录的用户名,参数2:登录用户的密码
		UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "666");
		//6:主体登录
		try {
			subject.login(token);
		} catch (Exception e) {
			//登录失败
		}
		//7、判断等是否成功
		System.out.println("验证登录是否成功:"+subject.isAuthenticated());
		//8:登出(注销)
		subject.logout();
		System.out.println("验证登录是否成功:"+subject.isAuthenticated());
	}
}
oatmeal2015
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro之自定义Realm
zhouym_的博客
07-16 274
将数据源信息定义在ini文件中会与我们实际开发环境有很大不兼容,所以此时希望能够自定义Realm。 自定义Realm类 需要我们创建一个自定义realm类,继承AuthorizingRealm,重写doGetAuthenticationInfo和doGetAuthorizationInfo两个方法 package com.zhouym.realm; import org.apache.shir...
shiro入门实战笔记(10)--自定义Realm
y-yg的博客
02-19 1327
[本系列文章是博主的学习笔记,而非经典教程,特此说明] 首先,我们先来回顾下面这张图: 接着,我们在来回顾一下Realm的概念:Realm可以有1个或多个,可以认为是安全实体数据源,即用于获取安全实体的;可以是JDBC 实现,也可以是LDAP 实现,或者内存实现等等;由用户提供;注意:Shiro不知道你的用户/权限存储在哪及以何种格式存储;所以我们一般在应用中都需要实现自己的Rea
Shiro定义Realms
程高伟
12-30 2245
Shiro定义Realms
Shiro定义Realm
a1498665771的博客
02-22 180
Shiro定义Realm
Shiro 实现自定义Realm
小宋的博客
06-21 5803
本篇博客讲的是如何自定义Realm。 在 https://blog.csdn.net/weixin_42236165/article/details/92801105 该博客上改进实现。 自定义Realm 1.在main的java下创建一个com.imooc.shiro.realm包然后创建CustomRealm类 CustomRealm类代码: package com.imooc.shir...
Spring配置shiro时自定义Realm中属性无法使用注解注入的解决办法
08-26
在Spring集成Shiro进行安全控制时,我们常常需要自定义Realm来实现权限验证与授权功能。然而,在实际操作中,可能会遇到一个问题:当我们在自定义Realm类中使用注解(@Autowired)尝试注入Spring管理的Bean时,这些...
shiro权限框架自定义Realm示例
09-10
在这个“shiro权限框架自定义Realm示例”中,我们将深入理解Shiro的核心组件Realm以及如何根据实际需求对其进行定制。 RealmShiro中扮演着关键角色,它是Shiro与应用程序特定的安全数据源(如数据库、LDAP或文件...
shiro web中自定义Realm
02-01
在Web应用中,自定义Realm是为了适配具体的应用场景,因为Shiro的默认Realm并不能满足所有需求。自定义Realm可以让我们更好地控制认证和授权的过程,以满足业务逻辑。以下将详细介绍如何在Shiro中创建自定义Realm。 ...
用于测试shiro中自定义Realm的测试代码
04-05
在这个名为“用于测试shiro中自定义Realm的测试代码”的项目中,我们主要关注的是如何自定义Realm来适应特定的认证和授权需求。 RealmShiro中扮演着核心角色,它是Shiro与应用程序特定的安全存储(如数据库、...
shiro-realm案例
03-02
在"shiro-realm案例"中,我们将探讨如何自定义Realm来实现与应用程序特定的权限验证。 RealmShiro中扮演着核心角色,它是身份验证(Authentication)和授权(Authorization)的基础。 Realm可以看作是Shiro与...
shiro-2】自定义Realm
desperado0726的博客
02-25 89
创建MyRealm import com.kang.model.User; import org.apache.shiro.authc.*; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.authz.SimpleAuthorizationInfo; import org.apache.shiro.r...
关于shiro doGetAuthorizationInfo授权方法和doGetAuthenticationInfo登陆认证方法的执行时机
weixin_43874015的博客
09-12 1840
1.默认情况下不关闭shiro自带的session 登陆时生成JESSIONID,执行doGetAuthorizationInfo的时机 1、subject.hasRole(“admin”) 或 subject.isPermitted(“admin”):自己去调用这个是否有什么角色或者是否有什么权限的时候; 2、@RequiresRoles(“admin”) :在方法上加注解的时候; 3、[@shiro.hasPermission name = “admin”][/@shiro.hasPermission]
shiro realm何时调用
weixin_43703769的博客
08-11 751
shiro realm何时调用 1.shiro 中的AuthorizingRealm有2个方法doGetAuthorizationInfo()和doGetAuthenticationInfo() 2.都继承AuthorizingRealm类然后重写doGetAuthorizationInfo和doGetAuthenticationInfo。 3.doGetAuthenticationInfo这个方法是在用户登录的时候调用的也就是执行SecurityUtils.getSubject().login()的时候调
Shiro【自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)
最新发布
07-12 1250
Shiro【自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)
Spring Boot 使用自定义 Realm 进行认证授权(五)
深入Java世界:探索编程之美与技术深度
09-16 435
Spring Boot 使用自定义 Realm 进行认证授权概述自定义 Realm创建 CustomRealm创建 testCustomRealm 方法测试 概述 虽然 jdbcRealm 已经实现了从数据库中获取用户的验证信息,但是jdbcRealm灵活性也是稍差一些的,如果要实现自己的一些特殊应用时将不能支持,这个时候可以通过自定义realm来实现身份的认证功能。 通常自定义Realm只需要继承:AuthorizingRealm重写doGetAuthenticationInfo(用户认证)、doGetA
shiro授权拦截器的重写
lanlansir的博客
12-01 1400
shiro整合前后端分离的springboots,Vue项目真的是有很多大坑啊。 直接进总结: 先看总结 今天我的主题是:如何设置shiro过滤器。 遇到问题:我的项目是前后端分离的,shiro里面有一个shiroFilterFactoryBean.setUnauthorizedUrl(“你自己的url”); 函数 这是什么意思呢:这表示如果你访问了一个需要权限的url,但是目前你登陆的角色没有权限,那么页面默认跳转的地址。 看着似乎是没啥毛病。 但是!!! 如果是前后端分离怎么办呢?后端shiro让项目
2021-06-04
Huan_Bo的博客
06-04 203
spring boot+shiro+jwt结合微信实现免密登录+权限控制本人第一次写博客,如有错误请大佬们指正情况说明一.导入maven二.免密登录三.shiro配置文件四.前后端分离实现登录认证及权限认证此篇文章用于记录自己项目中所遇到的错误,如有不足之处,还望进行指点! 本人第一次写博客,如有错误请大佬们指正 情况说明 由于需求原因,在微信授权登录的基础上需要实现免密登录,在微信第三方页面中集成了后台管理,此处需要用权限做验证,思来想去,用拦截器也可以实现,但由于强迫症的原因,还是想用shiro做权限验
Shiro 之 HashedCredentialsMatcher 认证匹配,前端加密传输密码及解密
weixin_38637161的博客
03-30 1468
Shiro 提供了用于加密密码和验证密码服务的 CredentialsMatcher 接口,而 HashedCredentialsMatcher 正是 CredentialsMatcher 的一个实现类。写项目的话,总归会用到用户密码的非对称加密,目前主流的非对称加密方式是 MD5 ,以及在 MD5 上的加盐处理,而 HashedCredentialsMatcher 也允许我们指定自己的算法和盐。本文将介绍 HashedCredentialsMatcher 的使用,以及对相关源码的进行解析,MD5 等加密知
shiro捕捉不到Authoricaton异常进行处理的解决办法
qq_30815659的博客
12-29 2942
AuthenticationException 异常时Shiro内部进行抛出的,全局异常捕获器在 Filter 之后执行,不能正常进行补捕获,只能在 Filter内部进行处理。 解决方案: 自定义realm抛出错误信息: /*验证这个账号是否被封号了*/ if(userRespository.getBan()==1){ throw new AuthenticationException("账号已被封禁,请联系管理员");
生成一个shiro定义Realm的代码
03-31
以下是一个简单的Shiro定义Realm代码示例: ``` import org.apache.shiro.authc.*; import org.apache.shiro.realm.*; public class MyRealm extends AuthorizingRealm { @Override protected ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值