java安全框架-Shiro学习笔记(七)-自定义realm

最新推荐文章于 2021-02-12 10:53:29 发布
最新推荐文章于 2021-02-12 10:53:29 发布
阅读量440 收藏 2
点赞数
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26504875/article/details/51775356
版权
这一小节,我们将使用数据库中的数据,并自定义realm的形式,进行身份和权限的认证。
那我们依旧采用上节中用到的ShiroWeb项目
第一步:创建数据库的结构:
第二步:在pom.xml中添加mysql的驱动包 
	<dependency>
		<groupId>mysql</groupId>
		<artifactId>mysql-connector-java</artifactId>
		<version>5.1.37</version>
	</dependency>
第三步:在项目中添加工具类,用于创建数据库连接,关闭数据库连接。 
package com.java1234.util;

import java.sql.Connection;
import java.sql.DriverManager;

/**
 * 数据库工具类
 * @author 
 *
 */
public class DbUtil {

	/**
	 * 获取数据库连接
	 * @return
	 * @throws Exception
	 */
	public Connection getCon() throws Exception{
		Class.forName("com.mysql.jdbc.Driver");
		Connection con=DriverManager.getConnection("jdbc:mysql://localhost:3306/db_shiro", "root", "root");
		return con;
	}
	
	/**
	 * 关闭数据库连接
	 * @param con
	 * @throws Exception
	 */
	public void closeCon(Connection con)throws Exception{
		if(con!=null){
			con.close();
		}
	}
	
	public static void main(String[] args) {
		DbUtil dbUtil=new DbUtil();
		try {
			dbUtil.getCon();
			System.out.println("数据库连接成功");
		} catch (Exception e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
			System.out.println("数据库连接失败");
		}
	}
}
第四步:添加entity,用于封装数据库的数据信息,添加dao层,用于数据库的查询。
User.java 
package com.java1234.entity;

public class User {

	private Integer id;
	private String userName;
	private String password;
	
	public Integer getId() {
		return id;
	}
	public void setId(Integer id) {
		this.id = id;
	}
	public String getUserName() {
		return userName;
	}
	public void setUserName(String userName) {
		this.userName = userName;
	}
	public String getPassword() {
		return password;
	}
	public void setPassword(String password) {
		this.password = password;
	}
	
	
}
UserDao.java 
package com.java1234.dao;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.util.HashSet;
import java.util.Set;

import com.java1234.entity.User;

public class UserDao {
	//根据用户名,获取当前登录用户信息进行身份验证
	public User getByUserName(Connection con,String userName)throws Exception{
		User resultUser=null;
		String sql="select * from t_user where userName=?";
		PreparedStatement pstmt=con.prepareStatement(sql);
		pstmt.setString(1, userName);
		ResultSet rs=pstmt.executeQuery();
		if(rs.next()){
			resultUser=new User();
			resultUser.setId(rs.getInt("id"));
			resultUser.setUserName(rs.getString("userName"));
			resultUser.setPassword(rs.getString("password"));
		}
		return resultUser;
	}
	//根据用户名,获取当前登录用户全部角色
	public Set<String> getRoles(Connection con, String userName) throws Exception{
		Set<String> roles=new HashSet<String>();
		String sql="select * from t_user u,t_role r where u.roleId=r.id and u.userName=?";
		PreparedStatement pstmt=con.prepareStatement(sql);
		pstmt.setString(1, userName);
		ResultSet rs=pstmt.executeQuery();
		while(rs.next()){
			roles.add(rs.getString("roleName"));
		}
		return roles;
	}
	//根据用户名,获取当前登录用户全部权限
	public Set<String> getPermissions(Connection con, String userName)throws Exception {
		Set<String> permissions=new HashSet<String>();
		String sql="select * from t_user u,t_role r,t_permission p where u.roleId=r.id and p.roleId=r.id and u.userName=?";
		PreparedStatement pstmt=con.prepareStatement(sql);
		pstmt.setString(1, userName);
		ResultSet rs=pstmt.executeQuery();
		while(rs.next()){
			permissions.add(rs.getString("permissionName"));
		}
		return permissions;
	}
}
第五步:自定义realm,用于身份认证,以及用户身份(角色+权限)授权 
package com.java1234.realm;

import java.sql.Connection;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAccount;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import com.java1234.dao.UserDao;
import com.java1234.entity.User;
import com.java1234.util.DbUtil;

public class MyRealm extends AuthorizingRealm{
	
	//userDao用于提供数据库数据
	private UserDao userDao=new UserDao();
	//dbUtil创建数据库连接,关闭
	private DbUtil dbUtil=new DbUtil();
	
	/**
	 * 为当前登录的用户授予角色和权限
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		//获取当前用户登录名
		String userName=(String)principals.getPrimaryPrincipal();
		//authorizationInfo存储用户认证信息
		SimpleAuthorizationInfo authorizationInfo=new SimpleAuthorizationInfo();
		Connection con=null;
		try{
			con=dbUtil.getCon();
			//为当前用户授予角色
			authorizationInfo.setRoles(userDao.getRoles(con,userName));
			//为当前用户授予权限结合
			authorizationInfo.setStringPermissions(userDao.getPermissions(con,userName));
		}catch(Exception e){
			e.printStackTrace();
		}finally{
			try {
				dbUtil.closeCon(con);
			} catch (Exception e) {
				// TODO Auto-generated catch block
				e.printStackTrace();
			}
		}
		return authorizationInfo;
	}

	/**
	 * 验证当前登录的用户
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		//获取当前用户登录名
		String userName=(String)token.getPrincipal();
		Connection con=null;
		try{
			con=dbUtil.getCon();
			//获取当前用户信息
			User user=userDao.getByUserName(con, userName);
			if(user!=null){
				//该用户的数据库密码,与页面上传递过来的密码信息比较
				//三个参数,用户数据库中的登录名,密码,以及realm的名字(可以随意定义)
				AuthenticationInfo authcInfo=new SimpleAuthenticationInfo(user.getUserName(),user.getPassword(),"xx");
				return authcInfo;
			}else{
				return null;
			}
		}catch(Exception e){
			e.printStackTrace();
		}finally{
			try {
				dbUtil.closeCon(con);
			} catch (Exception e) {
				// TODO Auto-generated catch block
				e.printStackTrace();
			}
		}
		return null;
	}

}
第六步:通过修改配置文件shiro.ini,向securityManager中注册自定义的realm 
[main]
authc.loginUrl=/login
roles.unauthorizedUrl=/unauthorized.jsp
perms.unauthorizedUrl=/unauthorized.jsp
myRealm=com.java1234.realm.MyRealm
securityManager.realms=$myRealm
[urls]
/login=anon
/admin*=authc
/student=roles[teacher]
/teacher=pe硬编码rms["user:create"]
至于之前的[user][roles]等硬编码信息就可以删除了。

测试:
我们用java1234,123456进行登录,通过debug信息监测,授权信息。
通过ctrl+shirft+i(括起来后再使用快捷键:userDao.getRoles(con,userName)),监测到用户拥有的角色信息。

监测到的用户权限信息:


至此身份授权完成。



进击的马小林
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DBUtil工具类
09-10
操作数据库工具类,便于DAO层与数据库交互,提高了开发效率,使用时,要注意注释内容,选择需要的方法 , 让增删改查更加便利
DBUtil 的使用
rosinante
08-29 3311
目录 一、什么是DBUtil 二、DBUtil的增删改 三、DBUtil的查询 1.直接new接口的匿名实现类 2.直接使用框架已经写好的实现类 四、ResultSetHandler 常用的实现类 五、编写自己的DBUtilDBUtil的内部实现原理) 1.通用的增删改方法 2.通用的查询方法 一、什么是DBUtil Commons DBUtils是Apache组织提...
封装的DBUtil 简化增删改查
红尘浪子的专栏
11-19 6345
1、数据库配置文件 database.properties
DBUtil 代码细节
weixin_33949359的博客
09-18 127
2019独角兽企业重金招聘Python工程师标准>>> ...
JDBC基本操作
悦分享
08-12 424
连接数据库的工具类 DbUtil public class DbUtil { // 数据库地址 private static String dbUrl="jdbc:mysql://localhost:3306/db_bank"; // 用户名 private static String dbUserName="root"; // 密码 private static String...
Java 安全框架-security+shiro-源码
11-16
Java安全框架Security(原名Spring Security)和Apache Shiro是两个广泛使用的权限管理和认证框架,它们为Java应用程序提供了强大的安全防护。这两个框架在现代企业级应用中扮演着至关重要的角色,确保用户数据的...
Apache Shiro安全框架-其他
06-12
Apache Shiro(发音为“shee-roh”,日语为“castle”)是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web...
Java-Shiro学习思维导图.zip
最新发布
08-20
Java Shiro 是一个强大且灵活的开源安全框架,用于身份认证、授权和会话管理等安全领域的应用开发。学习 Java Shiro 可以通过思维导图来梳理核心概念和学习路径,以下是一个简要的 Java Shiro 学习思维导图。 Java ...
learning-shiro:Shiro学习笔记
04-27
Apache Shiro 是一个强大且易用的 Java 安全框架,提供了认证、授权、加密和会话管理功能,可以非常方便地开发出足够安全的应用。本项目“learning-shiro”显然是一个关于 Apache Shiro学习资源集合,包含了作者...
吴天雄--shiro个人总结笔记.doc
04-30
Apache Shiro 是一款Java安全框架,它提供了身份认证、授权、加密和会话管理功能,适用于Java SE和Java EE环境,甚至能在分布式集群环境中运行。Shiro因其简单易用而受到青睐,相比于依赖Spring的Spring Security,...
java增删改查代码_Java web 简单的增删改查程序(超详细)
weixin_42303192的博客
02-12 7334
就是简单的对数据进行增删改查。代码如下:1.bean层:用来封装属性及其get set方法 toString方法,有参构造方法,无参构造方法等。public classBean {private intid;privateString name;privateString password;privateString sex;public intgetId() {returnid;}public ...
数据库工具类DBUtil
ZhuangM
01-15 3139
1. AppConstants.javapublic class AppConstants { // jdbc public static final String JDBC_URL = "jdbc:mysql://127.0.0.1:3306/student?useUnicode=true&amp;characterEncodeing=UTF-8"; public static final...
DBUtil工具类的创建和使用
o_o_D_D的博客
09-10 1621
一.创建DBUtil 在前一天创建的文件夹"zr"里创建一个JAVA Class文件,将其命名为"DBUtil" 二.使用DBUtil 新建一个DBUtil类,再写一个静态方法static(通过类名直接使用,不需要new) 使用closeAll来关闭resultSet,statement,connection三个资源,关闭所有资源写入。 if语句是用来判断resultSet返回键是否为空,不为...
shiro的授权及自定义Realm实现授权
qq_25432245的博客
12-26 715
授权:给身份认证通过的人,授予他可以访问某些资源的权限。 权限粒度:分为粗粒度和细粒度。粗粒度:对user的crud。也就是对表的操作。细粒度:是对记录的操作。如:只允许查询id为1的user的工资。Shiro一般管理的时粗粒度的权限。比如:菜单、按钮、url。一般细粒度的权限是通过业务来控制的。      3. 权限表示规则:资源:操作:实例。可以用通配符表示。           ...
Shiro】Apache Shiro架构之自定义realm
武哥聊编程
07-05 1万+
之前写的博客里都是使用.ini文件来获取信息的,包括用户信息,角色信息,权限信息等。进入系统时,都是从.ini文件这读取进入的。实际中除非这个系统特别特别简单,一般都不是这样干的,这些信息都是需要在数据库中进行维护的,所以就需要用到自定义realm了。
shiro 实现认证授权
gaoyongjianqq的专栏
07-10 8597
一.认证和授权的概念 认证(authentication):show it,you are you; 授权(authoriziation):through it,you can do sth; 二.shiro中的认证与授权 AuthenticatingRealmshiro中的用于进行认证的领域,实现doGetAuthentcationInfo方法实现用户登录时的认证逻辑; Author...
springboot整合shiro实现多realm不同数据表登陆
u012954380的博客
11-22 6548
shiro是一个很好的登陆以及权限管理框架,但是默认是单realm单数据表,如果业务中用户分布在不同的数据表,单realm就很难实现登陆以及权限管理的功能,这篇博客就简单的介绍一个家长 学生 老师的账号分布在不同的数据表情况下,shiro的多realm登陆验证,使用springboot,mybatis mysql等相关技术,博客底部附上源码,有兴趣的可以去下载 1.项目pom依赖 ...
第二节 自定义Realm之继承AuthorizingRealm
热门推荐
大宇的博客,欢迎访问
05-06 1万+
一、Realm基本架构 为了快速上手,我们需要知道的是,Shiro将数据库中的数据,存放到Realm这种对象中。而Shiro提供的Realm体系较为复杂,一般我们为了使用Shiro的基本目的就是:认证、授权。 所以,一般在真实的项目中,我们不会直接实现Realm接口,也不会直接继承最底层的功能贼复杂的IniRealm。我们一般的情况就是直接继......
教你 Shiro 整合 SpringBoot,避开各种坑
weixin_33725239的博客
04-30 1893
最近搞了下 Shiro 安全框架,找了一些网上的博客文章,但是一到自己实现的时候就遇到了各种坑,需要各种查资料看源码以及各种测试。 那么这篇文章就教大家如何将 Shiro 整合到 SpringBoot 中,并避开一些小坑,这次实现了基本的登陆以及角色权限,往后的文章也讲解了其他的功能,如 《教你 Shiro + SpringBoot 整合 JWT》 附上源码:github.com/HowieYu...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值