shiro_07_自定义Realm

最新推荐文章于 2024-08-09 19:15:33 发布
最新推荐文章于 2024-08-09 19:15:33 发布
阅读量209 收藏
点赞数
分类专栏: shiro 文章标签: 自定义Realm shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27163329/article/details/81840519
版权

在之前我们用的都是直接读取ini文件的数据,显然这种方式不现实,仅针对数据量较小的时候的测试,这一篇来介绍利用自定义的Realm读取数据库的数据。

第一步,根据用户拥有角色和权限建立数据库:

我们按照上一篇的用户关系来建数据库,一个角色可以对应多个用户,一个角色也可以对应多个权限。所以我们要建3张表:

t_user(id,userName,password,roleId)

t_roles(id,roleName)

t_permission(id,permission,roleId)

每个用户对应一个roleId外键,关联t_role表,这样就实现了一个角色对应多个用户,每一个权限对应一个roleId外键,关联t_role表,这样实现了一个角色对应多个权限。

按照之前的数据填好表。

第二步:自定义Realm

新建MyRealm类,继承AuthorizingRealm,实现里面的doGetAuthenticationInfo,doGetAuthorizationInfo方法,

首先实现doGetAuthenticationInfo方法:获取token里面的用户名,然后去数据库找看是否有这一个用户名,如果没有直接抛出异常,如果有,会new 一个SimpleAuthenticationInfo对象将从数据库找到的用户名和密码传进去,看是否和token里面的密码一样,如果不一样,也会抛出异常,如果一样则身份验证通过,

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
		String userName= (String)token.getPrincipal();//获取身份信息
		//根据用户名查找
		Connection con = null;
		try {
			con = dbUtil.getCon();
			User user = userDao.getByUserName(con, userName);
			if(user!=null) {
				AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user.getUserName(),user.getPassword(),"xx");
				return authenticationInfo;
			}
		}catch (Exception e) {
			e.printStackTrace();
		}finally {
			try {
				con.close();
			} catch (SQLException e) {
				// TODO Auto-generated catch block
				e.printStackTrace();
			}
		}
		return null;
		
	}

然后调用doGetAuthorizationInfo方法去把拥有的权限和角色获取到,通过用户名从数据库里找到角色和权限分别存储在set集合里,new 一个authorizationInfo对象,调用setRoles和setStringPermissions方法将从数据库里获得的set集合放入,返回authorizationInfo即可。

	/**
	 * 对已经身份认证过的用户授予权限
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		String userName = (String)principals.getPrimaryPrincipal();
		SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
		Connection con = null;
		try {
			con = dbUtil.getCon();
			authorizationInfo.setRoles(userDao.getRole(con,userName));
			authorizationInfo.setStringPermissions(userDao.getPermissions(con,userName));
		}catch (Exception e) {
			e.printStackTrace();
		}finally {
			try {
				con.close();
			} catch (SQLException e) {
				// TODO Auto-generated catch block
				e.printStackTrace();
			}
		}
		return authorizationInfo;
	}

数据库的操作就不一一说明了,很简单。

第三步:配置ini文件:

[main]
authc.loginUrl=/login
roles.unauthorizedUrl=/unauthorized.jsp
perms.unauthorizedUrl=unpermitted.jsp
MyRealm=com.java.realm.MyRealm
securityManager.realm=$MyRealm
[urls]
/login=anon
/admin=authc
/student=roles[teacher]
/delete=perms["user:delete"]

把用户,角色,权限信息去掉,然后换成自定义的realm。

第四步:测试。

没有问题。

分析一遍执行过程:

首先,从登录界面开始说,用户输入用户名和密码,点击登录,请求/login请求,从web.xml中找到对应映射的servlet类,找到了LoginServlet,执行里面的dopost方法,这个方法将用户输入的用户名和密码获取,并利用shiro得到当前用户subject,并将用户名密码封装成一个token,当subject当前用户执行.login方法时,把token带着就执行刚才写的doGetAuthenticationInfo方法,进行身份验证,具体验证过程上面已经介绍了,当身份验证通过后,有调用doGetAuthorizationInfo方法进行角色和权限的授权,并进行角色和权限的验证,执行完login ,接着执行我们自己写的转发到sueecss界面。当登录后,用户再请求时,shiro会再进行一遍角色和权限的授权,并再进行一次角色和权限的验证,因此说shiro安全性很高。

loginServlet的dopost方法:

	@Override
	protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
		System.out.println("login dopost");
		String userName = req.getParameter("userName");
		String password = req.getParameter("password");
		Subject subject = SecurityUtils.getSubject();
		UsernamePasswordToken token = new UsernamePasswordToken(userName, password);
		try {
			subject.login(token);
			resp.sendRedirect("success.jsp");
		}catch(Exception e) {
			e.printStackTrace();
			req.setAttribute("errorMsg", "用户名或密码错误");
			req.getRequestDispatcher("login.jsp").forward(req, resp);
		}
	}

 

一夏洛克一
关注
专栏目录
shiro_tool.zip
11-18
如果包含自定义Realm,那可能是为了连接特定数据库或其他数据源进行用户验证。 学习和使用Shiro,你可以了解如何创建安全的登录系统,如何实现基于角色的权限控制,以及如何管理用户会话。此外,熟悉Shiro的事件...
Spring配置shiro自定义Realm中属性无法使用注解注入的解决办法
08-26
在Spring集成Shiro进行安全控制时,我们常常需要自定义Realm来实现权限验证与授权功能。然而,在实际操作中,可能会遇到一个问题:当我们在自定义Realm类中使用注解(@Autowired)尝试注入Spring管理的Bean时,这些...
Shiroshiro自定义Realm
来日浅谈的博客
05-27 1232
Shiroshiro自定义Realm1. 创建数据库表2. Dao层和Service层3. 自定义Realm4. 配置Realm shirorealm的是进行认证和授权的组件,自带了几种实现,比如jdbcRealm和iniRealm,实际项目中肯定都是自己实现realm。 1. 创建数据库表 创建⽤户表,⻆⾊表,权限表,以及对应的中间表。 create table t_user( id int primary key auto_increment, username varchar(
Shiro自定义Realm
2401_85480529的博客
08-09 323
通过以上步骤,就可以在Shiro中定义并使用自定义Realm
Shiro权限管理之自定义Realm
你今天真好看呀
04-04 1711
文章目录1. SpringBoot集成shiro快速入门1. shiro 用户认证2. shiro用户授权2. SpringBoot 使用IniRealm进行认证授权3. Spring Boot 使用 JdbcRealm 进行认证授权1. 数据库驱动2. 数据库表结构3. 创建 testJdbcRealm方法4. 更改数据库表名4. Spring Boot 使用自定义 Realm 进行认证授权5. SpringBoot整合shiro之盐值加密认证详解 1. SpringBoot集成shiro快速入门 导入s
Shiro入门(五)Shiro自定义Realm和加密算法
Ajekseg的博客
04-22 725
前言 本章讲解shiro自定义realm和它的加密算法 方法 1.概念 通过前面的讲解,我已经带入了自定义Realm的相关概念。那么为什么要自定义realm呢?显而易见,我们在数据库中创建的users表和它的字段受限于shiro自己的jdbcRealm,所以通常情况下我们需要使用自己的表,跟着必须使用自定义realm。 再者,在用户表中,密码字段的值是一个敏感的存在。我们需要采取某些加密算法保证在数据库中保存密码值的复杂性。那么常见的加密算法就是md5、sha等等。通过在传统加密算法上“加盐”和增加迭代次
⑥【Shiro】使多个自定义Realm规则生效。
ebb29bbe的博客
04-19 669
多个Realm实现原理: - 当应用程序配置多个 Realm 时,例如:用户名密码校验、手机号验证码校验等等。Shiro 的 **ModularRealmAuthenticator** 会使用内部的 **AuthenticationStrategy** 组件判断认证是成功还是失败。
Shiro自定义Realm
Heling's Blog
10-04 275
Shiro中,如果没有自定义Realm的话,那么权限管理数据是通过IniRealm的形式去读取配置文件shiro.ini来加载数据,但是以后的权限管理数据肯定都是来源于数据库的,所以我们要把数据更改到数据库。 shiro提供的Realm 在SimpleAccountRealm类中进行认证 在SimpleAccountRealm类中有两个方法,分别提供认证和授权 public class SimpleAccountRealm extends AuthorizingRealm { //省略
Shiro学习(二)自定义Realm之认证
qq_30072161的博客
05-24 117
package com.dxp.shiro.Realm; import org.apache.shiro.authc.*; import org.apache.shiro.realm.Realm; public class MyRealm1 implements Realm { @Override public String getName() { return "myRealm1"; } @Override public boolean sup
shiro自定义realm
Kevinnsm的博客
12-28 571
前言: 首先我们先分析怎么实现自定义某些realm,按照以往的方法肯定是实现接口或者继承某类 查看继承树结构 通过debug模式下分析源码可以得知 AuthenticatingRealm类中的 doGetAuthenticationInfo()方法是实现用户认证的 AuthorizingRealml类中的doGetAuthorizationInfo()方法是完成用户授权的 然后在这两个类中只是声明了该方法,没有去实现,接着我们看继承树中最根部的SimpleAccountRealm类 我们可以发
安全框架Shiro框架_自定义Realm认证
专注Java(全栈)应用开发,求知若渴,虚心若愚,talk is cheap, show me the code.
10-12 178
authclogout: 注销过滤器 /logout=logoutroles: 角色授权过滤器,验证用户是否拥有资源角色;下面写一写关于自定义Realm–认证相关的东西:1.获取用户名token强转为UsernamePasswordToken–>getUsername()2.2.以用户名为条件,查询mysql数据库,得到用户对象(用户名/密码)模拟从数据库查询的对象 ------->自己new一个3.将用户对象封装成认证info对象返回。
Shiro_自定义Realm完成认证和权限验证
qq_44193036的博客
03-04 577
通过前面的入门程序,我们需要对Shiro的基本API执行过程有一定的了解。 securityManager在框架中充当安全管理器的角色,Subject为实体对象,通过Subject我们可以封装前台传输的用户名和密码数据,并且将实体对象传递给securitymanager。然后securitymanager会将数据交给认证器和授权器进行认证和权限验证,而认证的依据就是通过Realm,认证完成之后将结...
shiro_shiro_
10-03
Shiro 具有良好的扩展性,许多核心组件如Realm(认证和授权信息提供者)都是可插拔的,开发者可以根据需求自定义 Realm 实现与后端数据源的交互。 通过阅读和理解Shiro的源代码,开发者能够更深入地了解其内部工作...
SSM-Shiro.zip_shiro ssm 整合_ssm web shiro%2_ssm+shiro_ssm590.com_
09-23
8. **项目结构**:项目通常包含以下模块:配置文件(如Spring的applicationContext.xml和shiro.xml)、Shiro自定义 Realm 类、过滤器链配置、Web入口类、以及示例的控制器和视图。 综上所述,SSM-Shiro.zip提供的...
变压器变频器配电柜电路控制原理图CAD施工图纸设备控制图恒温烘房电气控制柜原理图120KW
09-22
变压器变频器配电柜电路控制原理图CAD施工图纸设备控制图恒温烘房电气控制柜原理图120KW
使用R语言的jiebaR包的情感分析_jiebaR_emotion.zip
最新发布
09-22
使用R语言的jiebaR包的情感分析_jiebaR_emotion
springboot基于双因素身份认证的学生社团管理系统论文.docx
09-22
springboot基于双因素身份认证的学生社团管理系统论文
鳄梨酱guacamole:1.5.5和guacd:1.5.5容器
09-22
鳄梨酱guacamole:1.5.5和guacd:1.5.5容器
【高创新】基于人工鱼群算法ASFO-TCN-Attention的用负荷预测算法研究Matlab实现.rar
09-22
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
Apache Shiro入门与自定义Realm详解
在Apache Shiro框架中,`三简单扩展-shiro使用规范`这部分内容主要讲述了如何自定义 RealmRealmShiro中的核心概念,它负责与应用程序的特定安全存储进行交互,比如数据库、LDAP服务器等,用于实现身份验证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值