Shiro-多Realm配置及认证策略

最新推荐文章于 2022-12-26 08:47:16 发布
最新推荐文章于 2022-12-26 08:47:16 发布
阅读量1k 收藏 1
点赞数
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36722039/article/details/85042529
版权

 认证策略

 用法

spring配置文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">


	<!-- 配置SecurityManager -->
	<bean id="securityManager"
		class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="cacheManager" ref="cacheManager" />
		<!-- Single realm app. If you have multiple realms, use the 'realms' property 
			instead. -->
		<property name="sessionMode" value="native" />
		<!-- 这里是将多个Realm配置在实现了 AbstractAuthenticator 的org.apache.shiro.authc.pam.ModularRealmAuthenticator中 ,由ModularRealmAuthenticator进行认证-->
		<property name="authenticator" ref="authenticator"></property>
		<!-- <property name="realm" ref="jdbcRealm" /> -->
	</bean>

	<!-- 配置cacheManager
			需要加入ehcache的配置文件和jar包
	 -->
	<bean id="cacheManager"	class="org.apache.shiro.cache.ehcache.EhCacheManager">
		<property name="cacheManagerConfigFile" value="classpath:ehcache.xml"/>
	</bean>


	<!-- 配置多reaml的认证器 -->
	<bean id="authenticator" class="org.apache.shiro.authc.pam.ModularRealmAuthenticator">
		<property name="realms">
			<list>
				<ref bean="jdbcRealm"/>
				<ref bean="secondRealm"/>
			</list>
		</property>
	</bean>

	<!-- Used by the SecurityManager to access security data (users, roles, 
		etc). Many other realm implementations can be used too (PropertiesRealm, 
		LdapRealm, etc. -->
	<!-- 直接使用实现了Realm接口的bean -->
	<bean id="jdbcRealm" class="com.atguigu.shiro.realms.ShiroRealm">
		<!-- 配置凭证匹配器 -->
		<property name="credentialsMatcher">
			<!-- shiro推荐直接使用 HashedCredentialsMatcher-->
			<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
				<property name="hashAlgorithmName" value="MD5"></property>
				<property name="hashIterations" value="1024"></property>
			</bean>
		</property>
	</bean>

	<bean id="secondRealm" class="com.atguigu.shiro.realms.SecondRealm">
		<!-- 配置凭证匹配器 -->
		<property name="credentialsMatcher">
			<!-- shiro推荐直接使用 HashedCredentialsMatcher-->
			<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
				<property name="hashAlgorithmName" value="SHA1"></property>
				<property name="hashIterations" value="1024"></property>
			</bean>
		</property>
	</bean>
	<!-- ========================================================= Shiro Spring-specific integration ========================================================= -->
	<!-- Post processor that automatically invokes init() and destroy() methods 
		for Spring-configured Shiro objects so you don't have to 1) specify an init-method 
		and destroy-method attributes for every bean definition and 2) even know 
		which Shiro objects require these methods to be called. -->
	<!-- 配置生命周期的后置处理器,自动调用spirng的IOC容器中shiro的方法 -->
	<bean id="lifecycleBeanPostProcessor"
		class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

	<!-- Enable Shiro Annotations for Spring-configured beans. Only run after 
		the lifecycleBeanProcessor has run: 
		启用shiro的生命周期注解,其依赖lifecycleBeanPostProcessor,所以在配置了lifecycleBeanPostProcessor之后才能生效	
	-->
	<bean
		class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
		depends-on="lifecycleBeanPostProcessor" />
	<bean
		class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
		<property name="securityManager" ref="securityManager" />
	</bean>

	<!--
		这里的id必须于web.xml文件中配置的DelegatingFilterProxy的filter-name一样
		若不一样则抛出NoSuchBeanDefinitionException 
		因为shiro会到spring的IOC容器中找shiroFilter对应的bean
		
		若不一致的话也可以在fileter的初始化参数中配置targetBeanName,将这里的shiroFilter换成targetBeanName的值就可以了
	-->
	<bean id="shiroFilter"
		class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
		<property name="securityManager" ref="securityManager" />
		<property name="loginUrl" value="/login.jsp" />
		<property name="successUrl" value="/list.jsp" />
		<property name="unauthorizedUrl" value="/unauthorized.jsp" />
		<!-- 
			配置哪些页面需要保护
			以及访问页面的权限
			拦截器:(这里的url支持Ant风格模式)
			1).anon 可以被匿名访问
			2) .authc 需要认证才能访问
			3) .logout 登出过滤器
			这里的url优先匹配
		 -->
		<property name="filterChainDefinitions">
			<value>
				/login.jsp = anon
				/shiro/login = anon
				/shiro/logout = logout
				# everything else requires authentication:
				/** = authc
				
				/list.jsp = anon
			</value>
		</property>
	</bean>


</beans>

ShiroRealm.java

package com.atguigu.shiro.realms;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.crypto.hash.SimpleHash;
import org.apache.shiro.realm.AuthenticatingRealm;
import org.apache.shiro.util.ByteSource;

/**
 * 
 * @author Lee
 *
 */
public class ShiroRealm extends AuthenticatingRealm {

	private static final String MONSTER = "monster";
	private static final String UNKNOW = "unknow";
	private static final String ALGORITHM_NAME = "MD5";

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

		System.out.println("[First] doGetAuthenticationInfo");

		// 1、将AuthenticationToken转换为UsernamePasswordToken
		UsernamePasswordToken upToken = (UsernamePasswordToken) token;
		// 2、从UsernamePasswordToken中获取username
		String username = upToken.getUsername();
		// char[] password = upToken.getPassword();
		// 3、从数据库中获取username对应的记录
		System.out.println("从数据库中查找" + username + "对应的记录");
		// 4、若用户不存在抛出UnknownAccountException异常
		if (UNKNOW.equals(username)) {
			throw new UnknownAccountException("用户不存在");
		}
		// 5、根据用户的信息决定是否抛出AuthenticationException异常
		if (MONSTER.equals(username)) {
			throw new LockedAccountException("用户被锁定");
		}
		// 6、根据用户情况,构建 AuthenticationInfo 对象并返回
		// 一下信息是从数据库中获取
		// 1)principal:认证的实体信息,可以是username,也可以是数据表对应的用户的实体类对象。
		Object principal = username;
		// 2) credentials:密码
		Object hashedCredentials = null; // "fc1709d0a95a6be30bc5926fdb7f22f4";
		if (username.equals("admin")) {
			hashedCredentials = "038bdaf98f2037b31f1e75b5b4c9b26e";
		} else if (username.equals("user")) {
			hashedCredentials = "098d2c478e9c11555ce2823231e02ec1";
		}

		// 3) realmName:当前realm对象的name,调用父类的getName()方法获取
		String realmName = getName();
		// 比较密码是由AuthenticatingRealm的CredentialsMatcher进行比较的
		// 4) credentialsSalt:盐值.
		// 这里的ByteSource为接口,里面有内部类Util,方法中的字符串是唯一的字符串,这里使用username,username是用户的唯一标识

		// 唯一的字符串
		ByteSource credentialsSalt = ByteSource.Util.bytes(username);
		SimpleAuthenticationInfo info = null; // new SimpleAuthenticationInfo(principal, credentials, realmName);
		info = new SimpleAuthenticationInfo(principal, hashedCredentials, credentialsSalt, realmName);
		return info;
	}

	public static void main(String[] args) {
		ByteSource credentialsSalt = ByteSource.Util.bytes("user");
		int hashIterations = 1024;
		String credentials = "123456";
		SimpleHash simpleHash = new SimpleHash(ALGORITHM_NAME, credentials, credentialsSalt, hashIterations);
		System.out.println(simpleHash);

	}

}

SecondRealm.java

package com.atguigu.shiro.realms;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.crypto.hash.SimpleHash;
import org.apache.shiro.realm.AuthenticatingRealm;
import org.apache.shiro.util.ByteSource;

/**
 * 
 * @author Lee
 *
 */
public class SecondRealm extends AuthenticatingRealm {

	private static final String MONSTER = "monster";
	private static final String UNKNOW = "unknow";
	private static final String ALGORITHM_NAME = "SHA1";

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

		System.out.println("[SecondRealm] doGetAuthenticationInfo");

		// 1、将AuthenticationToken转换为UsernamePasswordToken
		UsernamePasswordToken upToken = (UsernamePasswordToken) token;
		// 2、从UsernamePasswordToken中获取username
		String username = upToken.getUsername();
		// char[] password = upToken.getPassword();
		// 3、从数据库中获取username对应的记录
		System.out.println("从数据库中查找" + username + "对应的记录");
		// 4、若用户不存在抛出UnknownAccountException异常
		if (UNKNOW.equals(username)) {
			throw new UnknownAccountException("用户不存在");
		}
		// 5、根据用户的信息决定是否抛出AuthenticationException异常
		if (MONSTER.equals(username)) {
			throw new LockedAccountException("用户被锁定");
		}
		// 6、根据用户情况,构建 AuthenticationInfo 对象并返回
		// 一下信息是从数据库中获取
		// 1)principal:认证的实体信息,可以是username,也可以是数据表对应的用户的实体类对象。
		Object principal = username;
		// 2) credentials:密码
		Object hashedCredentials = null; // "fc1709d0a95a6be30bc5926fdb7f22f4";
		if (username.equals("admin")) {
			hashedCredentials = "ce2f6417c7e1d32c1d81a797ee0b499f87c5de06--";
		} else if (username.equals("user")) {
			hashedCredentials = "073d4c3ae812935f23cb3f2a71943f49e082a718--";
		}

		// 3) realmName:当前realm对象的name,调用父类的getName()方法获取
		String realmName = getName();
		// 比较密码是由AuthenticatingRealm的CredentialsMatcher进行比较的
		// 4) credentialsSalt:盐值.
		// 这里的ByteSource为接口,里面有内部类Util,方法中的字符串是唯一的字符串,这里使用username,username是用户的唯一标识

		// 唯一的字符串
		ByteSource credentialsSalt = ByteSource.Util.bytes(username);
		SimpleAuthenticationInfo info = null; // new SimpleAuthenticationInfo(principal, credentials, realmName);
		info = new SimpleAuthenticationInfo("SecondRealm", hashedCredentials, credentialsSalt, realmName);
		return info;
	}

	public static void main(String[] args) {
		ByteSource credentialsSalt = ByteSource.Util.bytes("admin");
		int hashIterations = 1024;
		String credentials = "123456";
		SimpleHash simpleHash = new SimpleHash(ALGORITHM_NAME, credentials, credentialsSalt, hashIterations);
		System.out.println(simpleHash);

	}

}

 

qq_36722039
关注
专栏目录
shiro实现多个realm认证和授权
kuai_le_de_xiao_erbi的博客
01-02 4889
认证的话大家可以参考这个链接shiro实现不同身份使用不同Realm进行验证 这里具体说一下授权的处理,下面是我的代码public class CustomerAuthrizer extends ModularRealmAuthorizer { @Override public boolean isPermitted(PrincipalCollection principals,
Shiro-----认证策略
qq_48788523的博客
01-09 2388
睡前小文章,学完睡更香
shiro-jwt-oauth权限认证
11-11
包含两个项目模块,一个是基于jwt的token认证方式,一个是基于shiro-jwt-oatuh的认证方式。
Shiro之多Realm认证认证策略-yellowcong
chengkuiwu3328的博客
02-02 237
多重认证是操作的是多个Realm。第一种方式是,在ModularRealmAuthenticator里面可以配置多个Reamls,默认的验证策略是,至少一个满足即可(AtLeastOneSuccessfulStrategy)。建议将多Realm配置在DefaultWebSecur...
Shiro-多Realm验证
weixin_34341117的博客
01-08 586
2019独角兽企业重金招聘Python工程师标准>>> ...
Apache Shiro 认证过程
王浩的技术博客
10-11 256
3.1.1 示例 Shiro验证Subjects 的过程中,可以分解成三个不同的步骤: 1. 收集Subjects 提交的Principals(身份)和Credentials(凭证); 2. 提交Principals(身份)和Credentials(凭证)进行身份验证; 3. 如果提交成功,则允许访问,否则重新进行身份验证或者阻止访问。 收集身份/凭据信息 //Example...
Shiro之多个Realm实现
qq_57907966的博客
12-26 466
实现原理:当应用程序配置多个Realm时,例如:用户名密码校验、手机验证码校验等等Shiro的ModularRealmAuthenticator会使用内部的AuthenticationStrategy组件判断认证成功还是失败。
shiro框架多realm登录认证配置
秋雨 De Blog
11-03 1363
我们做shiro框架经常会遇到这种情况,用户数量很多,又不在同一个表里,比如管理员一个表,用户一个表,商家一个表。这时我们就需要用到多realm配置让他们用不同得realm来进行登录
shiro篇---配置多个realmrealms】
m0_67393157的博客
04-07 619
securityManager的配置 当调用SecurityUtils. getSubject().login( token); 即subject的login 方法;默认会调用realm里面的 doGetAuthenticationInfo方法进行身份验证。但上面设置了配置使用自定义认证器 会先进入这个,再决定进入哪个realm. 验 证成功后会进入当前realm的 doGetAuthorizationInfo 方法进行授权 ...
Shiro的多Realm配置认证策略
理解Shiro的多Realm ### 1.1 介绍Shiro框架 Shiro是一个强大且灵活的Java安全框架,它提供了身份验证、授权、加密和会话管理等功能。Shiro的设计目标是简单易用,同时也具备定制化的能力,可以广泛应用于各种Java...
shiro-root-1.2.3-source-release zipa包 和相关jar包
04-20
Apache Shiro是一个强大且易用的Java安全框架,它提供了认证、授权、加密和会话管理功能,可以简化开发人员处理安全的复杂性。在"shiro-root-1.2.3-source-release zipa包"中,包含了Shiro框架的核心源代码,允许...
shiro-spring-support:提供shiro权限控制支持
04-30
Shiro 提供了各种认证策略,如记住我(Remember Me)功能,可以通过存储用户的凭据在服务器端实现无状态登录。 2. **授权 (Authorization)**:也称为权限控制,它确定了验证过的用户可以访问哪些资源。Shiro 提供了...
Shiro(四):ShiroRealm验证和认证策略
12程序猿的博客
10-19 628
Shiro(三)介绍Shiro 密码的比对与MD5盐值加密,接下来对 多Realm验证和认证策略进行简单的介绍。 存在这样一种场景,我们可能会把安全数据放到不同的数据库,比方说 mysql里有,oracle里也有,mysql里面的加密算法是MD5,oracle里面的加密算法是SHA1。这个时候我们进行用户认证时,就需要同时访问这两个数据库,就需要多个Realm。如果有多个Realm的话,还需要涉及到认证策略的问题。 目录一、多Realm验证配置流程:1.添加第二个Realm SecondRealm.jav
SpringBoot集成Shiro,并使用多个Realm
GDUT_Trim的博客
04-26 831
Realm的执行自定义Token自定义ModularRealmAuthenticator创建多个RealmUserRealmManagerRealm和MerchantRealm配置ShiroConfig测试 Realm是用来做授权和认证的。 最近项目上有个需求是添加上一个新角色,导致要重写整个登录接口,又不太想修改原来的代码,看着那堆屎山就有点烦,所以就打算直接加一个RealmRealm的执行 首先,我们先看Realm是怎么被执行的 Realm是被一个名叫ModularRealmAuthenticat.
3. shiro认证策略
weixin_46009658的博客
12-24 138
1.AuthenticationStrategy 认证策略shiro中有三种认证策略 **a. AtLeastOneSuccessfulStrategy :**如果一个(或更多)Realm 验证成功,则整体的 尝试被认为是成功的。如果没有一个验证成功则整体尝试失败。 **b.FirstSuccessfulStrategy :** 只有第一个成功地验证的 Rea...
Spring Boot(十一)Shiro 整合 配置Realm
好好学习 天天向上
07-08 385
import java.util.ArrayList; import java.util.Collection; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.Authent...
Shiro (六)多Realm验证
m0_46065798的博客
10-08 184
在com.dw.shiro.realms下创建SecondRealm 验证方式改为SHA1验证 1. SecondRealm代码如下: public class SecondRealm extends AuthenticatingRealm{ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { System
大学生职业生涯规划书Word模板范文就业求职简历应聘工作PPT医疗康复专业
最新发布
10-12
大学生职业生涯规划书Word模板范文就业求职简历应聘工作PPT医疗康复专业
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值