Shiro安全框架第六篇| 自定义的Realm

最新推荐文章于 2023-05-29 07:57:18 发布
最新推荐文章于 2023-05-29 07:57:18 发布
阅读量710 收藏
点赞数
分类专栏: Shiro安全框架学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37745470/article/details/84849546
版权

 

自定义的Realm

我这里在原来的项目java/com.jiuyue.shiro下新建一个realm包,再建一个ConstomRealm类,继承AuthorizingRealm类,并且实现它的两个抽象方法。

 1public class ConstomRealm extends AuthorizingRealm {
 2    @Override
 3    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
 4        //在次方法体中实现用户的角色以及权限的人证
 5        return null;
 6    }
 7
 8    @Override
 9    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
10        //在次方法体中实现用户信息(username,passwprd)的认证
11        return null;
12    }
13}

这里为了演示,直接在ConstomRealm类中,模拟数据库信息存储,没有连接mysql数据库,使用HashMap集合。

1    Map<String,String> userMap = new HashMap<>();
2    {
3        userMap.put("jiuyue","12345");
4        super.setName("costomReal");
5    }

设计一个查询信息的接口,根据用户名返回用户密码,模拟到数据库查询相关用户信息。

1    private String getPasswordByUserName(String userName) {
2        return userMap.get(userName);
3    }

 

接下来在认证方法中实现自定义Realm的认证的代码编写,从主体中获取认证信息用户名,通过用户名过去密码,查询到用户,则返回AuthenticationInfo对象。

 1    @Override
 2    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
 3        //1、从主体中获取认证信息的用户名
 4        String userName = (String) token.getPrincipal();
 5        //2、通过用户名获得密码
 6        String password =  getPasswordByUserName(userName);
 7        if (password==null){
 8            return null;
 9        }
10        //查询到用户,则返回AuthenticationInfo对象
11        SimpleAuthenticationInfo simpleAuthenticationInfo =
12        new SimpleAuthenticationInfo(userName,password,"customReal");
13        return simpleAuthenticationInfo;
14    }

测试代码

 1/**
 2 * Create bySeptember
 3 * 2018/10/27
 4 * 14:29
 5 */
 6public class CostomRealTest {
 7   @Test
 8    public void costomRealTest(){
 9       ConstomRealm constomRealm =new ConstomRealm();
10       //构建SecurityManager环境
11       DefaultSecurityManager defaultSecurityManager =new DefaultSecurityManager();
12
13       //将自定义的constomRealm设置到SecurityManager中
14       defaultSecurityManager.setRealm(constomRealm);
15
16       SecurityUtils.setSecurityManager(defaultSecurityManager);
17       Subject subject = SecurityUtils.getSubject();
18
19       UsernamePasswordToken token =new UsernamePasswordToken("jiuyue","12345");
20       subject.login(token);
21       System.out.println("isAuthenticated:"+subject.isAuthenticated());
22   }
23
24}

下面在doGetAuthorizationInfo(PrincipalCollection principals)实现用户角色权限验证

1    @Override
2    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
3        return null;
4    }

 

首先我们应该模拟数据库,设计查询用户角色,以及权限的接口,这里也是为了方便直接根据认证用户的信息获取用户的角色权限。在这里模拟的是提交的用户是否jiuyue,如果是则具有集合中的权限(相当于数据库中这个用户拥有的权限)。

 1    private Set<String> getPermissionByUserName(String userName) {
 2        Set<String> sets = new HashSet<>();
 3        if (userName.equals("jiuyue")) {
 4            sets.add("user:delete");
 5            sets.add("user:add");
 6        }
 7        return sets;
 8    }
 9
10    private Set<String> getRolesByUserName(String userName) {
11        Set<String> sets = new HashSet<>();
12        if (userName.equals("jiuyue")) {
13            sets.add("admin");
14            sets.add("user");
15        }
16        return sets;
17    }

 

权限验证,提交用户的信息与从数据库或者缓存中获取用户角色信息进行比较验证,如果该用户拥有对应权限,则,返回AuthorizationInfo对象。

 1    @Override
 2    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
 3
 4        String userName = (String) principals.getPrimaryPrincipal();
 5        //从数据库或者缓存中获取用户角色信息
 6        Set<String> roles = getRolesByUserName(userName);
 7        System.out.println("UserName:"+userName);
 8
 9        Set<String> permissions = getPermissionByUserName(userName);
10        SimpleAuthorizationInfo simpleAuthorizationInfo =
11                new SimpleAuthorizationInfo();
12        simpleAuthorizationInfo.setRoles(roles);
13
14        simpleAuthorizationInfo.setStringPermissions(permissions);
15        return simpleAuthorizationInfo;
16    }

测试代码:

 1public class CostomRealTest {
 2   @Test
 3    public void costomRealTest(){
 4       ConstomRealm constomRealm =new ConstomRealm();
 5       //构建SecurityManager环境
 6       DefaultSecurityManager defaultSecurityManager =new DefaultSecurityManager();
 7       defaultSecurityManager.setRealm(constomRealm);
 8
 9       SecurityUtils.setSecurityManager(defaultSecurityManager);
10
11       Subject subject = SecurityUtils.getSubject();
12
13       UsernamePasswordToken token =new UsernamePasswordToken("jiuyue","12345");
14       subject.login(token);
15
16       System.out.println("sAuthenticated:"+subject.isAuthenticated());
17
18       subject.checkRole("admin");
19
20       subject.checkRoles("user","admin");
21
22       subject.checkPermission("user:add");
23
24   }
25
26}

 

专题链接:

Shiro安全框架第一篇| 什么是Apache Shiro?

Shiro安全框架第二篇| Shiro的整体架构

Shiro安全框架第三篇| Shiro的认证,授权

Shiro安全框架第四篇| Shiro自定义Realm进行认证授权

Shiro安全框架第五篇| 使用JdbcRealm进行认证授权

                   “扫码关注“

jiuyueblog
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro权限框架定义Realm示例
09-10
shiro权限框架定义Realm示例
Spring Security渐入佳境 -- 自定义安全框架
分享技术,共同进步!
12-11 81
通过SpringSecurity编写自定义安全框架
Shiro的三种授权(十二)
qq_35222843的博客
05-11 428
前提就是在Realm的授权方法中查询出权限并返回List<String>形式 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 从 principals获取主身份信息 // 将getPrimaryPrincipal方法返回值转为真实身份类型(在上边的doGetAuthentication...
shiro定义Realm
u014748504的博客
08-09 330
三、SpringBoot整合Shiro完成权限管理案例—自定义Realm 使用JdbcRealm可以完成用户权限管理,但是我们必须提供JdbcRealm规定的数据表结构;如果在我们的项目开发中 ,这个JdbcRealm规定的数据表结构不能满足开发需求,该如何处理呢? 自定义数据库表结构 自定义Realm实现认证和授权 3.1 数据库设计 RBAC基于角色的访问控制 -- 用户信息表 create table tb_users( user_id ..
Shiro安全框架》专题(三)-Shiro之自定义Realm
学习交流,答疑解惑,可以查看博客主页左侧我的推广哦!
01-29 231
文章目录1.自定义Realm的实现1.1.创建自定义Realmjava类1.2.配置shiro.ini文件1.3.测试2.原理分析2.1.为什么要继承AuthorizingRealm?2.2.自定义Realm什么时候被调用的?2.3.密码验证什么时候执行的? 1.自定义Realm的实现 1.1.创建自定义Realmjava类 创建一个java文件继承AuthorizingRealm类,重写两个抽象方法 package com.bruce.realm; import org.apache.shiro.au
Shiro权限管理
23号男人
10-30 594
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 shiro : 认证 授权 步骤: 创建mavan项目 导入shiro依赖 &lt;dependency&gt; &lt;groupId&gt...
测试内容
weixin_30429201的博客
04-28 102
一、Shiro简介 1.Shiro主要功能 Authentication:身份认证/登陆,验证用户是不是拥有相应的身份 Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限 Sessioin Manager:会话管理,即用户登陆后就是一次会话,在没有退...
java shiro 权限_java-如何确定shiro用户具有哪些权限
weixin_42284052的博客
02-16 346
我相信没有现成的方法可以做到这一点,因为我们通过在会话中注册用户权限来解决此问题.我们正在使用自定义领域实现,并且我们的权限存储在数据库中.在我们的自定义领域类中:@Overridepublic AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {SimpleAuthorizationInfo info...
java api安全验证_java登录安全认证之shiro
weixin_30969227的博客
02-16 504
shiro:安全(权限)框架,【用途】:1)验证用户2)对用户执行访问控制,如: 判断用户是否拥有角色admin;判断用户是否拥有访问的权限3)在任何环境下使用 Session API,可以使用多个用户数据源。例如一个是oracle用户库,另外一个是mysql用户库4)单点登录(SSO)功能,“Remember Me”服务 ,类似购物车的功能,shiro官方建议开启s【shiro的4大API】Au...
Shiro源码分析(5) - 授权器(Authorizer)
chenwei7858的博客
02-05 291
本文在于分析Shiro源码,对于新学习的朋友可以参考 [开涛博客](http://jinnianshilongnian.iteye.com/blog/2018398)进行学习。 在Shiro中Authorizer接口用来处理用户的角色和权限控制访问操作,其接口代码如下。 /** * 判断是...
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
spring boot整合shiro安全框架过程解析
08-25
主要介绍了spring boot整合shiro安全框架过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Apache Shiro安全框架-其他
06-12
Apache Shiro(发音为“shee-roh”,日语为“castle”)是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理,可用于保护任何应用程序的安全-从命令行应用程序,移动应用程序到最大的Web...
Shiro安全框架
03-01
ApacheShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。其不仅可以用在JavaSE环境,也可以用在JavaEE环境。1.从外部来看...
shiro-Realm解读
baidu_23241875的博客
05-04 287
realm作为shiro框架的三个核心之一,是一个安全数据源,用于获取用户的身份认证、授权等信息,shiro框架不了解用户的身份认证策略、权限管理方式等是如何实现的、存储在哪里,由用户自己去完成这个部分。 shiro-realm继承关系图 Realm 是一个接口,包含三个方法。总的来说,一个realm至少需要包含这个三个方法: String getName() 获取唯一的realm名称 boo...
SpringBoot 整合 Shiro (一)用户认证
月月鸟的博客
05-17 203
SpringBoot 整合 Shiro 进行用户认证主要是通过以下三点: (1)定义一个ShiroConfig,配置SecuityManager,其中SecurityManager为shiro的管理器,管理着所有的Subject; (2) 在 ShiroConfig 配置 Shiro 的过滤工厂类 ShiroFilterFactoryBean,用于过滤一些不需要的资源,如静态资源;其依赖于 SecurityManager; (3) 自定义认证过程 Realm 的实现,Realm 包含授权 doGet
Shiro】Apache Shiro架构之自定义realm
热门推荐
武哥聊编程
07-05 1万+
之前写的博客里都是使用.ini文件来获取信息的,包括用户信息,角色信息,权限信息等。进入系统时,都是从.ini文件这读取进入的。实际中除非这个系统特别特别简单,一般都不是这样干的,这些信息都是需要在数据库中进行维护的,所以就需要用到自定义realm了。
基于springboot注解的shiro 授权及角色认证
最新发布
一个菜鸡的博客
05-29 1875
验证用户是否被记忆: 登录认证成功subject.isAuthenticated()为true 登录后被记忆subject.isRemembered()为true。通过给接口服务方法添加注解可以实现权限校验,可以加在控制器方法上,也可以加 在业务方法上,一般加在控制器方法上。验证subject是否有相应角色,有角色访问方法,没有则会抛出异常 AuthorizationException。验证subject是否有相应权限,有权限访问方法,没有则会抛出异常 AuthorizationException。
第八节 Shiro安全数据来源之Realm讲解
菜鸟联盟
08-24 313
1,讲解shiro默认自带的realm和常见使用方法 realm作用:ShiroRealm 获取安全数据 默认自带的realm:idae查看realm继承关系,有默认实现和自定义继承的realm 两个概念 principal : 主体的标示,可以有多个,但是需要具有唯一性,常见的有用户名,手机号,邮箱等 credential:凭证, 一般就是密码 所以一般我们说 principal + credential 就账号 + 密码 开发中,往往是自定义realm
生成一个shiro定义Realm的代码
03-31
以下是一个简单的Shiro定义Realm代码示例: ``` import org.apache.shiro.authc.*; import org.apache.shiro.realm.*; public class MyRealm extends AuthorizingRealm { @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 这里实现权限和角色信息的获取和设置,可以从数据库或其他数据源获取 SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); authorizationInfo.addRole("admin"); authorizationInfo.addStringPermission("user:create"); return authorizationInfo; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 这里实现用户认证,可以从数据库或其他数据源获取用户信息进行验证 String username = (String) token.getPrincipal(); String password = new String((char[]) token.getCredentials()); if (!"admin".equals(username)) { throw new UnknownAccountException(); } if (!"password".equals(password)) { throw new IncorrectCredentialsException(); } return new SimpleAuthenticationInfo(username, password, getName()); } } ``` 该自定义Realm实现了Shiro的`AuthorizingRealm`接口,实现了权限和角色信息的获取和设置,以及用户认证的方法。其中,`doGetAuthorizationInfo`方法用于获取用户的角色和权限信息,并将其封装到`AuthorizationInfo`对象中返回;`doGetAuthenticationInfo`方法用于验证用户的身份和凭证信息,并将其封装到`AuthenticationInfo`对象中返回。在这个简单的示例中,认证信息被硬编码为了"admin"和"password",实际使用时应该从数据库或其他数据源中获取。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值