Shiro笔记四:Shiro安全数据来源之Realm
Realm和常见方法
- Realm的作用:shiro从Realm获取安全数据
- 两个概念
principal:主体的标识,可以有多个,但是需要具有唯一性,常见的有用户名,手机号,邮箱等。
credential:凭证,一般是密码。
所以一般我们说principal+credential 就是账号+密码。
开发中往往是自定义realm.即集成AuthorizingRealm
- 配置shiro.ini
# 格式 name=password,role1,role2,..roleN。用户名=密码,角色
[users]
# user 'root' with password 'secret' and the 'admin' role,
jack = 456, user
# user 'guest' with the password 'guest' and the 'guest'
role xdcalss = 123, root
# 格式 role=permission1,permission2...permissionN 也可以用通配符 .角色=服务模块:操作类型,分隔。
# 下面配置user的权限为所有video:find,video:buy,如果需要配置video全部操作crud 则 user = video:*
[roles]
user = video:find,video:buy
# 'admin' role has all permissions, indicated by the wildcard '*'
admin = *
- 使用java获取ini的数据并进行shiro检验
public void testAuthentication(){
//创建SecurityManager工厂,通过配置文件ini创建。
Factory<SecurityManager> factory= new IniSecurityManagerFactory("classpath:shiro.ini");
SecurityManager securityManager = factory.getInstance();
//将securityManager设置到当前运行环境中
SecurityUtils.setSecurityManager(securityManager);
Subject subject = SecurityUtils.getSubject();
//用户输入账号和密码
UsernamePasswordToken usernamePasswordToken=new UsernamePasswordToken("jack","456");
//调用login执行认证内容,login里面会调用SecurityManager的认证内容。SecurityManager会调用Authenticator进行校验,Authenticator会调用Realm
subject.login(usernamePasswordToken);
System.out.println("认证结果:"+subject.isAuthenticated());
System.out.println("是否有对应的user角色:"+subject.hasRole("user"));
System.out.println("getPrincipal=:"+subject.getPrincipal());
subject.checkPermission("video:find");
System.out.println("是否有video:find权限:"+subject.isPermitted("video:find"));
subject.logout();
System.out.println("logout后认证结果:"+subject.isAuthenticated());
}
操作shiro内置的jdbcRealm
- 使用jdbcrealm.ini:通过SecurityManager工厂类加载该ini,生成SecurityManager实体类。
public void testAuthentication(){
//创建SecurityManager工厂,通过配置文件ini创建。
Factory<SecurityManager> factory= new IniSecurityManagerFactory("classpath:jdbcrealm.ini");
SecurityManager securityManager = factory.getInstance();
//将securityManager设置到当前运行环境中
SecurityUtils.setSecurityManager(securityManager);
Subject subject = SecurityUtils.getSubject();
//用户输入账号和密码
UsernamePasswordToken usernamePasswordToken=new UsernamePasswordToken("jack","123");
//调用login执行认证内容,login里面会调用SecurityManager的认证内容。SecurityManager会调用Authenticator进行校验,Authenticator会调用Realm
subject.login(usernamePasswordToken);
System.out.println("认证结果:"+subject.isAuthenticated());
System.out.println("是否有对应的user角色:"+subject.hasRole("role2"));
System.out.println("是否有video:find权限"+subject.isPermitted("video:find"));
}
- 还有另一种写法,不用imi,直接在类得内部加载sql连接
public void test2(){
DefaultSecurityManager securityManager = new DefaultSecurityManager();
DruidDataSource ds = new DruidDataSource();
ds.setDriverClassName("com.mysql.jdbc.Driver");
ds.setUrl("jdbc:mysql://127.0.0.1:3306/xdclass_shiro?characterEncoding=UTF-8&serverTimezone=UTC&useSSL=false&serverTimezone=Asia/Shanghai");
ds.setUsername("root");
ds.setPassword("123456");
JdbcRealm jdbcRealm = new JdbcRealm();
jdbcRealm.setPermissionsLookupEnabled(true);
jdbcRealm.setDataSource(ds);
securityManager.setRealm(jdbcRealm);
//将securityManager 设置到当前运行环境中
SecurityUtils.setSecurityManager(securityManager);
Subject subject = SecurityUtils.getSubject();
//用户输入的账号密码
UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("jack", "123");
subject.login(usernamePasswordToken);
System.out.println(" 认证结果:"+subject.isAuthenticated());
System.out.println(" 是否有对应的role1角色:"+subject.hasRole("role1"));
System.out.println("是否有video:find权限:"+ subject.isPermitted("video:find"));
System.out.println("是否有任意权限:"+ subject.isPermitted("aaaa:xxxxxxxxx"));
}
自定义realm
- 步骤
- 创建一个类,继承AuthorizingRealm–>AuthenticatingRealm–>CachingRealm—>Realm
- 重写授权方法doGetAuthorizationInfo
- 重写认证方法doGetAuthenticationInfo
- 对象
- UsernamePasswordToken:对应就是shiro的token中有Principal和Credential
UsernamePasswordToken—>HostAuthenticationToken—>AuthenticationToken
- SimpleAuthorizationInfo:代表用户角色权限信息
- SimpleAuthenticationInfo:代表用户的认证信息。
- 方法:
- 当用户登陆的时候会调用 doGetAuthenticationInfo
- 进行权限校验的时候会调用:doGetAuthorizationInfo
- 总结
创建继承AuthorizingReal的类的主要目的是:
1、获取前端传过来的用户登录信息。
2、拿着用户信息从连接数据库,判断用户是否登录,以及其权限等信息。
3、将结果封装到SimpleAuthorizationInfo中,返回给web端。
4、web端通过调用主体类就能知道该用户是否有权限访问该接口。
- 继承Realm,对Realm进行重写。
public class CustomRealm extends AuthorizingRealm {
private final Map<String,String> userInfoMap=new HashMap<>();
{
userInfoMap.put("jack","123");
userInfoMap.put("xdclass","456");
}
//role-->permission
private final Map<String,Set<String>> permissionMap=new HashMap<>();
{
Set<String> set1=new HashSet<>();
Set<String> set2=new HashSet<>();
set1.add("video:find");
set1.add("video:buy");
set2.add("video:add");
set2.add("video:delete");
permissionMap.put("jack",set1);
permissionMap.put("xdclass",set2);
}
//user--->role
private final Map<String,Set<String>> roleMap=new HashMap<>();
{
Set<String> set1=new HashSet<>();
Set<String> set2=new HashSet<>();
set1.add("role1");
set1.add("role2");
set2.add("root");
roleMap.put("jack",set1);
roleMap.put("xdclass",set2);
}
//进行权限校验和角色校验时会调用
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("权限 doGetAuthorizationInfo");
String name = (String) principalCollection.getPrimaryPrincipal();
Set<String> permissions=getPermissionsByNameFromDB(name);
Set<String> roles=getRoleByNameFromDB(name);
SimpleAuthorizationInfo simpleAuthorizationInfo=new SimpleAuthorizationInfo();
simpleAuthorizationInfo.setRoles(roles);
simpleAuthorizationInfo.setStringPermissions(permissions);
return simpleAuthorizationInfo;
}
/**
* 模拟从数据库中获取角色信息
* @param name
* @return
*/
private Set<String> getRoleByNameFromDB(String name) {
return roleMap.get(name);
}
/**
* 模拟从数据库中获取权限信息
* @param name
* @return
*/
private Set<String> getPermissionsByNameFromDB(String name) {
return permissionMap.get(name);
}
//用户登录时会调用
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
System.out.println("认证 doGetAuthenticationInfo");
//从token中获取用户身份信息,token代表用户输入的信息。
String name=(String)authenticationToken.getPrincipal();
//模拟从数据库中取密码
String pwd=getPwdByUserNameFromDB(name);
if(pwd==null||"".equals(pwd)){
return null;
}
SimpleAuthenticationInfo simpleAuthenticationInfo=new SimpleAuthenticationInfo(name,pwd,this.getName());
return simpleAuthenticationInfo;
}
private String getPwdByUserNameFromDB(String name) {
return userInfoMap.get(name);
}
}
- 调用Realm
public void testAuthentication(){
//获取当前操作的主体
Subject subject=SecurityUtils.getSubject();
//用户输入账号和密码
UsernamePasswordToken usernamePasswordToken=new UsernamePasswordToken("jack","123");
//调用login执行认证内容,login里面会调用SecurityManager的认证内容。SecurityManager会调用Authenticator进行校验,Authenticator会调用Realm
subject.login(usernamePasswordToken);
System.out.println("认证结果:"+subject.isAuthenticated());
//拿到主体标识名称
System.out.println("拿到主体标识名称"+subject.getPrincipal());
subject.checkRole("role1");
System.out.println(" 是否有对应的role1角色:"+subject.hasRole("role1"));
System.out.println("是否有video:find权限:"+ subject.isPermitted("video:find"));
}
- 流程分析
认证流程解读
1、subject.login(usernamePasswordToken);
2、DelegatingSubject->login()
3、DefaultSecurityManager->login()
4、AuthenticatingSecurityManager->authenticate()
5、AbstractAuthenticator->authenticate()
6、ModularRealmAuthenticator->doAuthenticate()
7、ModularRealmAuthenticator->doSingleRealmAuthentication()
8、AuthenticatingRealm->getAuthenticationInfo()
密码验证方法:AuthenticatingRealm-> assertCredentialsMatch()
- 授权流程
授权流程解读:
1、subject.checkRole(“admin”)
2、DelegatingSubject->checkRole()
3、AuthorizingSecurityManager->checkRole()
4、ModularRealmAuthorizer->checkRole()
5、AuthorizingRealm->hasRole()
6、AuthorizingRealm->doGetAuthorizationInfo()