Shiro笔记四:Shiro安全数据来源之Realm

最新推荐文章于 2023-03-08 10:08:21 发布
最新推荐文章于 2023-03-08 10:08:21 发布
阅读量374 收藏 2
点赞数
分类专栏: 【springBoot+shiro】 文章标签: shiro的数据操作
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33322074/article/details/106033718
版权

Shiro笔记四:Shiro安全数据来源之Realm

Realm和常见方法
  1. Realm的作用:shiro从Realm获取安全数据
  2. 两个概念

principal:主体的标识,可以有多个,但是需要具有唯一性,常见的有用户名,手机号,邮箱等。

credential:凭证,一般是密码。

所以一般我们说principal+credential 就是账号+密码。

开发中往往是自定义realm.即集成AuthorizingRealm

  1. 配置shiro.ini
# 格式 name=password,role1,role2,..roleN。用户名=密码,角色
[users]
# user 'root' with password 'secret' and the 'admin' role,
jack = 456, user
# user 'guest' with the password 'guest' and the 'guest'
role xdcalss = 123, root

# 格式 role=permission1,permission2...permissionN 也可以用通配符  .角色=服务模块:操作类型,分隔。
# 下面配置user的权限为所有video:find,video:buy,如果需要配置video全部操作crud 则 user = video:*
[roles]
user = video:find,video:buy
# 'admin' role has all permissions, indicated by the wildcard '*'
admin = *
  1. 使用java获取ini的数据并进行shiro检验
public void testAuthentication(){

    //创建SecurityManager工厂,通过配置文件ini创建。
    Factory<SecurityManager> factory= new IniSecurityManagerFactory("classpath:shiro.ini");
    SecurityManager securityManager = factory.getInstance();
    //将securityManager设置到当前运行环境中
    SecurityUtils.setSecurityManager(securityManager);

    Subject subject = SecurityUtils.getSubject();
    //用户输入账号和密码
    UsernamePasswordToken usernamePasswordToken=new UsernamePasswordToken("jack","456");
    //调用login执行认证内容,login里面会调用SecurityManager的认证内容。SecurityManager会调用Authenticator进行校验,Authenticator会调用Realm
    subject.login(usernamePasswordToken);

    System.out.println("认证结果:"+subject.isAuthenticated());
    System.out.println("是否有对应的user角色:"+subject.hasRole("user"));
    System.out.println("getPrincipal=:"+subject.getPrincipal());
    subject.checkPermission("video:find");
    System.out.println("是否有video:find权限:"+subject.isPermitted("video:find"));
    subject.logout();
    System.out.println("logout后认证结果:"+subject.isAuthenticated());


}
操作shiro内置的jdbcRealm
  1. 使用jdbcrealm.ini:通过SecurityManager工厂类加载该ini,生成SecurityManager实体类。
public void testAuthentication(){

    //创建SecurityManager工厂,通过配置文件ini创建。
    Factory<SecurityManager> factory= new IniSecurityManagerFactory("classpath:jdbcrealm.ini");
    SecurityManager securityManager = factory.getInstance();
    //将securityManager设置到当前运行环境中
    SecurityUtils.setSecurityManager(securityManager);

    Subject subject = SecurityUtils.getSubject();
    //用户输入账号和密码
    UsernamePasswordToken usernamePasswordToken=new UsernamePasswordToken("jack","123");
    //调用login执行认证内容,login里面会调用SecurityManager的认证内容。SecurityManager会调用Authenticator进行校验,Authenticator会调用Realm
    subject.login(usernamePasswordToken);

    System.out.println("认证结果:"+subject.isAuthenticated());
    System.out.println("是否有对应的user角色:"+subject.hasRole("role2"));
    System.out.println("是否有video:find权限"+subject.isPermitted("video:find"));


}
  1. 还有另一种写法,不用imi,直接在类得内部加载sql连接
public void test2(){
    DefaultSecurityManager securityManager = new DefaultSecurityManager();

    DruidDataSource ds = new DruidDataSource();
    ds.setDriverClassName("com.mysql.jdbc.Driver");
    ds.setUrl("jdbc:mysql://127.0.0.1:3306/xdclass_shiro?characterEncoding=UTF-8&serverTimezone=UTC&useSSL=false&serverTimezone=Asia/Shanghai");
    ds.setUsername("root");
    ds.setPassword("123456");


    JdbcRealm jdbcRealm = new JdbcRealm();
    jdbcRealm.setPermissionsLookupEnabled(true);
    jdbcRealm.setDataSource(ds);

    securityManager.setRealm(jdbcRealm);

    //将securityManager 设置到当前运行环境中
    SecurityUtils.setSecurityManager(securityManager);

    Subject subject = SecurityUtils.getSubject();

    //用户输入的账号密码
    UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("jack", "123");

    subject.login(usernamePasswordToken);


    System.out.println(" 认证结果:"+subject.isAuthenticated());

    System.out.println(" 是否有对应的role1角色:"+subject.hasRole("role1"));

    System.out.println("是否有video:find权限:"+ subject.isPermitted("video:find"));

    System.out.println("是否有任意权限:"+ subject.isPermitted("aaaa:xxxxxxxxx"));

}
自定义realm
  1. 步骤
  • 创建一个类,继承AuthorizingRealm–>AuthenticatingRealm–>CachingRealm—>Realm
  • 重写授权方法doGetAuthorizationInfo
  • 重写认证方法doGetAuthenticationInfo
  1. 对象
  • UsernamePasswordToken:对应就是shiro的token中有Principal和Credential

UsernamePasswordToken—>HostAuthenticationToken—>AuthenticationToken

  • SimpleAuthorizationInfo:代表用户角色权限信息
  • SimpleAuthenticationInfo:代表用户的认证信息。
  1. 方法:
  • 当用户登陆的时候会调用 doGetAuthenticationInfo
  • 进行权限校验的时候会调用:doGetAuthorizationInfo
  1. 总结

创建继承AuthorizingReal的类的主要目的是:

1、获取前端传过来的用户登录信息。

2、拿着用户信息从连接数据库,判断用户是否登录,以及其权限等信息。

3、将结果封装到SimpleAuthorizationInfo中,返回给web端。

4、web端通过调用主体类就能知道该用户是否有权限访问该接口。

  • 继承Realm,对Realm进行重写。
public class CustomRealm extends AuthorizingRealm {

    private final Map<String,String> userInfoMap=new HashMap<>();
    {
        userInfoMap.put("jack","123");
        userInfoMap.put("xdclass","456");
    }

    //role-->permission
    private final Map<String,Set<String>> permissionMap=new HashMap<>();
    {
        Set<String> set1=new HashSet<>();
        Set<String> set2=new HashSet<>();
        set1.add("video:find");
        set1.add("video:buy");
        set2.add("video:add");
        set2.add("video:delete");
        permissionMap.put("jack",set1);
        permissionMap.put("xdclass",set2);
    }

    //user--->role
    private final Map<String,Set<String>> roleMap=new HashMap<>();
    {
        Set<String> set1=new HashSet<>();
        Set<String> set2=new HashSet<>();
        set1.add("role1");
        set1.add("role2");
        set2.add("root");
        roleMap.put("jack",set1);
        roleMap.put("xdclass",set2);
    }
    //进行权限校验和角色校验时会调用
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        System.out.println("权限 doGetAuthorizationInfo");
        String name = (String) principalCollection.getPrimaryPrincipal();
        Set<String> permissions=getPermissionsByNameFromDB(name);
        Set<String> roles=getRoleByNameFromDB(name);
        SimpleAuthorizationInfo simpleAuthorizationInfo=new SimpleAuthorizationInfo();

        simpleAuthorizationInfo.setRoles(roles);
        simpleAuthorizationInfo.setStringPermissions(permissions);
        return simpleAuthorizationInfo;
    }

    /**
     * 模拟从数据库中获取角色信息
     * @param name
     * @return
     */
    private Set<String> getRoleByNameFromDB(String name) {
        return roleMap.get(name);
    }

    /**
     * 模拟从数据库中获取权限信息
     * @param name
     * @return
     */
    private Set<String> getPermissionsByNameFromDB(String name) {
        return permissionMap.get(name);
    }

    //用户登录时会调用
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("认证 doGetAuthenticationInfo");
        //从token中获取用户身份信息,token代表用户输入的信息。
        String name=(String)authenticationToken.getPrincipal();
        //模拟从数据库中取密码
        String pwd=getPwdByUserNameFromDB(name);
        if(pwd==null||"".equals(pwd)){
            return null;
        }
        SimpleAuthenticationInfo simpleAuthenticationInfo=new SimpleAuthenticationInfo(name,pwd,this.getName());
        return simpleAuthenticationInfo;
    }

    private String getPwdByUserNameFromDB(String name) {
        return userInfoMap.get(name);
    }
}
  • 调用Realm
public void testAuthentication(){

    //获取当前操作的主体
    Subject subject=SecurityUtils.getSubject();
    //用户输入账号和密码
    UsernamePasswordToken usernamePasswordToken=new UsernamePasswordToken("jack","123");
    //调用login执行认证内容,login里面会调用SecurityManager的认证内容。SecurityManager会调用Authenticator进行校验,Authenticator会调用Realm
    subject.login(usernamePasswordToken);
    System.out.println("认证结果:"+subject.isAuthenticated());

    //拿到主体标识名称
    System.out.println("拿到主体标识名称"+subject.getPrincipal());

    subject.checkRole("role1");

    System.out.println(" 是否有对应的role1角色:"+subject.hasRole("role1"));

    System.out.println("是否有video:find权限:"+ subject.isPermitted("video:find"));

}
  1. 流程分析

认证流程解读

1、subject.login(usernamePasswordToken);

2、DelegatingSubject->login()

3、DefaultSecurityManager->login()

4、AuthenticatingSecurityManager->authenticate()

5、AbstractAuthenticator->authenticate()

6、ModularRealmAuthenticator->doAuthenticate()

7、ModularRealmAuthenticator->doSingleRealmAuthentication()

8、AuthenticatingRealm->getAuthenticationInfo()

密码验证方法:AuthenticatingRealm-> assertCredentialsMatch()

  • 授权流程

授权流程解读:

1、subject.checkRole(“admin”)

2、DelegatingSubject->checkRole()

3、AuthorizingSecurityManager->checkRole()

4、ModularRealmAuthorizer->checkRole()

5、AuthorizingRealm->hasRole()

6、AuthorizingRealm->doGetAuthorizationInfo()

¥诸葛村夫¥
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro-example:《跟我学shiro》学习笔记
05-18
项目介绍《跟我学shiro》学习笔记参照着张开涛老师的博客进行Shiro学习,然后自己写博客记录一下学习中的知识点,一来可以加深理解,二来以后遗忘了可以查阅。本项目是学习过程中的代码。:beaming_face_with_smiling...
shiro-site:Apache Shiro网站
04-28
Apache Shiro网站概述Apache Shiro网站是静态内容网站,可以从访问。 网站内容被创作为Markdown和HTML文件。 这些文件由工具扫描,该工具根据需要将页面模板应用于每个文件的内容,并将呈现的静态.html文件输出到...
Shiro的简介及原理
笙箫的博客
10-23 919
1. 简单介绍一下 Shiro 框架 Apache Shiro 是 Java 的一个安全框架。使用 shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。三个核心组件:Subject, SecurityManager 和 Realms. Subject:...
第八节 Shiro安全数据来源Realm讲解
菜鸟联盟
08-24 311
1,讲解shiro默认自带的realm和常见使用方法 realm作用:ShiroRealm 获取安全数据 默认自带的realm:idae查看realm继承关系,有默认实现和自定义继承的realm 两个概念 principal : 主体的标示,可以有多个,但是需要具有唯一性,常见的有用户名,手机号,邮箱等 credential:凭证, 一般就是密码 所以一般我们说 principal + credential 就账号 + 密码 开发中,往往是自定义realm
Shiro基础知识——Realm(二)
有天你会让我妒忌的.
06-14 428
AuthenticationInfo有两个作用:1)如果Realm 是AuthenticatingRealm 子类(包括AuthorizingRealm,它继承AuthenticationRealm),则提供给AuthenticatingRealm 内部使用的CredentialsMatcher进行凭据验证;(如果没有继承它需要在自己的Realm中自己实现验证);2)提供给SecurityMana...
Shiro 中的 Realm
热门推荐
尽力而为
05-29 2万+
之前写项目用了 Shiro 框架,来进行安全验证以及权限管理。当时项目赶得急,没怎么深入了解,只能说能跑能改,不过在使用的过程中发现 Shiro 确实很优秀。现在回过头来学习原理,读读源码,深入的学习下。· 本篇博文主要写的是关于使用 Shiro 起步时最重要的一块,找了一些资料,力求写得简单明了。
Shiro核心——Realm
小凯的博客
03-08 668
shiro核心原理中的Realm笔记整理
Apache Shiro 使用手册() Realm 实现
01-09
通常情况下,在Realm中会直接从我们的数据源中获取Shiro需要的验证信息。可以说,Realm是专用于安全框架的DAO. 一、认证实现 正如前文所提到的,Shiro的认证过程最终会交由Realm执行,这时会调用Realm的...
shiro-biz:Shiro 扩展实现
04-10
shiro-biz说明基于Shiro的基础扩展,以便方便业务开发###Subject:主体,可以看到主体可以是任何可以与应用交互的“用户”;###SecurityManager:相当于SpringMVC中的DispatcherServlet或者Struts2中的...
Shiro简易实例:HelloWorld
11-03
本资源包含一篇文档和一个完整实例。实例用了maven创建项目。 大家下载的时候,这点注意一些。然后吧,里面用的是最最简单的shiro实例。
shiro重点
UpClear的博客
12-03 227
shiro
第六章 Realm及相关对象——《跟我学Shiro
jinnianshilongnian的专栏
02-26 963
  目录贴: 跟我学Shiro目录贴     6.1 Realm 【2.5 Realm】及【3.5 Authorizer】部分都已经详细介绍过Realm了,接下来再来看一下一般真实环境下的Realm如何实现。    1、定义实体及关系 即用户-角色之间是多对多关系,角色-权限之间是多对多关系;且用户和权限之间通过角色建立关系;在系统中验证时通过权限验证,角色只是权限集合,即...
Shiro系列-ShiroRealm如何使用
初学者
10-28 1973
导语   之前的分享中,了解到了用户身份认证,在说用户认证的时候提到了一个概念就是Realm,在之前的入门分享中提到了,Realm其实就是一个安全数据源,那么怎么样使用这个安全数据源呢?下面就来一起研究一下 文章目录Realm概念Realm接口源码Realm如何使用单个Realm配置1、自定Realm的实现com.nihui.shiro.realm.MyRealm类中2、ini 配置文件指定自...
shiro前端传参到后端验证
阿拉斯加大闸蟹的博客
03-14 2607
https://github.com/singgel?tab=repositories UsernamePasswordAuthenticationToken继承AbstractAuthenticationToken实现Authentication所以当在页面中输入用户名和密码之后首先会进入到UsernamePasswordAuthenticationToken验证(Authentication...
使用自定义Realm后如何进行认证及授权
Randal_wang的博客
10-26 938
在使用自定义Realme之后subject如何进行认证 securityManager配置 @Bean public DefaultWebSecurityManager securityManager(AdminRealm adminRealm, WxRealm wxRealm, DefaultWebSessionManager sessionManager,
第七节 快速上手之Shiro认证和授权流程实操
菜鸟联盟
08-24 122
认证:用户身份识别,俗称为用户“登录” //是否有对应的角色 subject.hasRole("root") ​ //获取subject名 subject.getPrincipal() ​ //检查是否有对应的角色,无返回值,直接在SecurityManager里面进行判断 subject.checkRole("admin") ​ //检查是否有对应的角色 subject.hasRole("admin") ​ //退出登录 subject.logout(); ...
shiro 没有注销再登录_shiro 安全框架入门,看这一篇就够了
weixin_39585974的博客
12-29 172
序言大家好,我是老马。前面我们学习了 5 分钟入门 shiro 安全框架实战笔记,让大家对 shiro 有了一个最基本的认识。shiro 还有其他优秀的特性,今天我们就一起来学习一下,为后续深入学习奠定基础。Apache Shiro 是什么?Apache Shiro 是一种功能强大且易于使用的Java安全框架,它执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移...
Shiro
qq_40298175的博客
09-27 253
一、权限管理 1.1 什么是权限管理? 不同身份的用户进入到系统所能够完成的操作是不相同的,我们对不同用户进行的可执行的操作的管理称之为权限管理。 1.2 如何实现权限管理? 权限管理设计 基于主页的权限管理(不同用户使用不同的主页,权限通过主页功能菜单进行限制) 适用于权限管理比较单一、用户少、每类用户权限固定 | 基于用户和权限的权限管理 可以实现权限的动态分配,但是不够灵活 | 基于角色的
Dependency 'org.apache.shiro:shiro-spring:' not found
最新发布
06-09
这个错误提示说明在你的项目中缺少了 Apache Shiro Spring 的依赖。你可以在你的 Maven 或 ...implementation 'org.apache.shiro:shiro-spring:1.7.1' ``` 请注意,版本号可能需要根据你的项目实际情况进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值