shiro 单用户 多realm分开验证 授权 -gylang编程笔记

最新推荐文章于 2024-05-07 01:30:00 发布
最新推荐文章于 2024-05-07 01:30:00 发布
阅读量395 收藏 2
点赞数 1
分类专栏: sprongboot 文章标签: shiro springboot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42099951/article/details/92975649
版权

 

1.实现多realm分开验证 授权

     (1)继承 token 添加一个识别用户类型的标识符

     (2) 继承 ModularRealmAuthenticato

            重写 doAuthenticate 判断用户类型 来确认使用哪个Realm

      (3)继承ModularRealmAuthorizer 

     重写

        isPermitted(PrincipalCollection principals,String   permission)

        isPermitted(PrincipalCollection principals,Permission permission)   

 

        hasRole(PrincipalCollection principals,String roleIdentifier)

 

    (4)配置

 

 

    ①继承UsernamePasswordToken 实现其方法 添加用户标识符属性

public class UserToken extends UsernamePasswordToken implements Serializable {
    private String loginType;
    public UserToken(String user, String password, String loginType){
        super(user,password);
        this.loginType=loginType;
    }
    public String getLoginType() {
        return loginType;
    }
    public void setLoginType(String loginType) {
        this.loginType = loginType;
    }
​
}

 

 

②继承 ModularRealmAuthenticator 重写doAuthenticate 判断用户类型 来确认使用哪个Realm

public class CarWashModularRealmAuthenticator extends ModularRealmAuthenticator {
​
​
    @Override
    protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken)
            throws AuthenticationException {
        assertRealmsConfigured();
        // 强制转换回自定义的UserToken
        UserToken userToken = (UserToken) authenticationToken;
        // 登录类型
        String loginType = userToken.getLoginType();
        // 所有Realm
        Collection<Realm> realms = getRealms();
        // 登录类型对应的所有Realm
        Collection<Realm> typeRealms = new ArrayList<>();
        for (Realm realm : realms) {
            //判断是否为loginType类型的Realm
            if (realm.getName().contains(loginType))
                typeRealms.add(realm);
        }
        // 判断是单Realm还是多Realm
        if (typeRealms.size() == 1) {
            return doSingleRealmAuthentication(((ArrayList<Realm>) typeRealms).get(0), userToken);
        } else {
            return doMultiRealmAuthentication(typeRealms, userToken);
        }
    }
}

③重写授权

public class CarWashModularRealmAuthorizer extends ModularRealmAuthorizer {
​
    @Override
    public boolean isPermitted(PrincipalCollection principals, String permission) {
        assertRealmsConfigured();
        Set<String> realmNames = principals.getRealmNames();
        //获取realm的名字
        String realmName = realmNames.iterator().next();
        log.info("realmName is",realmName);
        for (Realm realm : getRealms()) {
            if (!(realm instanceof Authorizer)) continue;
            //匹配名字
            if(realmName.equals(LoginType.ADMIN.toString())) {
                if (realm instanceof AdminRealm) {
                    return ((AdminRealm) realm).isPermitted(principals, permission);
                }
            }
            if(realmName.equals(LoginType.USER.toString())) {
                if (realm instanceof WxAuthcRealm) {
                    return ((WxAuthcRealm) realm).isPermitted(principals, permission);
                }
            }
        }
        return false;
    }
​
    @Override
    public boolean isPermitted(PrincipalCollection principals, Permission permission) {
        assertRealmsConfigured();
        Set<String> realmNames = principals.getRealmNames();
        //获取realm的名字
        String realmName = realmNames.iterator().next();
        log.info("realmName is",realmName);
        for (Realm realm : getRealms()) {
            if (!(realm instanceof Authorizer)) continue;
            //匹配名字
            if(realmName.equals(LoginType.ADMIN.toString())) {
                if (realm instanceof AdminRealm) {
                    return ((AdminRealm) realm).isPermitted(principals, permission);
                }
            }
            if(realmName.equals(LoginType.USER.toString())) {
                if (realm instanceof WxAuthcRealm) {
                    return ((WxAuthcRealm) realm).isPermitted(principals, permission);
                }
            }
        }
        return false;    }
  @Override
    public boolean hasRole(PrincipalCollection principals, String roleIdentifier) {
        assertRealmsConfigured();
        Set<String> realmNames = principals.getRealmNames();
        //获取realm的名字
        String realmName = realmNames.iterator().next();
        log.info("realmName is",realmName);
        for (Realm realm : getRealms()) {
            if (!(realm instanceof Authorizer)) continue;
            //匹配名字
            if(realmName.equals(LoginType.ADMIN.toString())) {
                if (realm instanceof AdminRealm) {
                    return ((AdminRealm) realm).isPermitted(principals, roleIdentifier);
                }
            }
            if(realmName.equals(LoginType.USER.toString())) {
                if (realm instanceof WxAuthcRealm) {
                    return ((WxAuthcRealm) realm).isPermitted(principals, roleIdentifier);
                }
            }
        }
        return false;
    }
}

④配置

@Bean
public ModularRealmAuthenticator modularRealmAuthenticator(){
​
     CarWashModularRealmAuthenticator modularRealmAuthenticator=
                                    new CarWashModularRealmAuthenticator();
          modularRealmAuthenticator.setAuthenticationStrategy(new AtLeastOneSuccessfulStrategy());
     return modularRealmAuthenticator;
​
 }
​
@Bean
public AdminRealm getcustomRealm() {
    AdminRealm customRealm = new AdminRealm();
    customRealm.setCredentialsMatcher(credentialsMatcher());
    return customRealm;
}
​
​
@Bean
public WxAuthcRealm wxAuthcRealm(){
    WxAuthcRealm wxAuthcRealm=new WxAuthcRealm();
    return wxAuthcRealm;
}
​
​
@Bean
public SecurityManager securityManager() {
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    securityManager.setSessionManager(sessionManager());
    securityManager.setAuthenticator( modularRealmAuthenticator());
    List<Realm> list=new ArrayList<>();
    list.add(getcustomRealm());
    list.add(wxAuthcRealm());
    securityManager.setRealms(list);
    CarWashModularRealmAuthorizer authorizer = new CarWashModularRealmAuthorizer();
    authorizer.setRealms(list);
    securityManager.setAuthorizer(authorizer);
    return securityManager;
}


 

 

 

realm

public class AdminRealm extends AuthorizingRealm {
    @Autowired
    private AuthcService authcService;
    /**
     * 角色 权限 获取
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        AccountDto accountDto  = (AccountDto) principalCollection.getPrimaryPrincipal();
        Role roleSet = authcService.findAllRole(accountDto.getAccountId());
        List<String> roles = new ArrayList<>();
        List<String> permissions = new ArrayList<>();
        if (roleSet!=null) {
                roles.add(roleSet.getRoleName());
            List<Permission> permission =authcService.findAllPermission(roleSet.getRoleId());
            accountDto.setPermission(RoleToRightTree.createRightTree(permission));
               for (Permission permission1:permission){
                   permissions.add(permission1.getPermissionName());
               }
        }
​
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.addRoles(roles);
        simpleAuthorizationInfo.addStringPermissions(permissions);
        return simpleAuthorizationInfo;
    }
   /**
     * 用户认证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //1.从主体传过来的认证信息中,获取用户名
        String username = (String) authenticationToken.getPrincipal();
        //2.通过用户名到数据库获取凭证
        Account account = authcService.findAccountByUsername(username);
        if (account == null)
            return null;
        AccountDto accountDto=new AccountDto();
        BeanUtils.copyProperties(account,accountDto);
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(accountDto, account.getPassword(), LoginType.ADMIN.toString());
        authenticationInfo.setCredentialsSalt(ByteSource.Util.bytes(Constant.SALT));
        return authenticationInfo;
    }
}

 

使用

@Override
    public Boolean login(String username, String password) {
​
        Subject subject = SecurityUtils.getSubject();
        try {
​
            UserToken usernamePasswordToken =
                                     new UserToken(username, password, LoginType.ADMIN.toString());
                        log.info("username is {}  password is {}", username, password);
            subject.login(usernamePasswordToken);
//            RemoveOtherLoginedUser.removeOtherLoginUser(subject);
        } catch (Exception e) {
            return false;
        }
        subject.checkPermission("main");
        return true;    }

2.单用户登录 删除注释 

   RemoveOtherLoginedUser.removeOtherLoginUser(subject);

    

public class RemoveOtherLoginedUser {
    public static void removeOtherLoginUser(Subject currentUser) {
​
        SessionsSecurityManager securityManager =
                             (SessionsSecurityManager) SecurityUtils.getSecurityManager();   
        StatelessSessionManager sessionManager =
                             (StatelessSessionManager) securityManager.getSessionManager();      
        Collection<Session> sessions =
                     sessionManager.getSessionDAO().getActiveSessions();//获取当前已登录的用户session列表               AccountDto loginUser = (AccountDto) currentUser.getPrincipal();
        for (Session session : sessions) {
            /** 获取session保存的用户信息 (我是用户对象保存 ) */
            Object obj = session.getAttribute(DefaultSubjectContext.PRINCIPALS_SESSION_KEY);
            SimplePrincipalCollection coll = (SimplePrincipalCollection) obj;
            if (coll != null) {
                AccountDto accountDto = (AccountDto) coll.getPrimaryPrincipal();
                /**判断session是否保存有相同的信息 */
                if (loginUser.getUsername().equals(String.valueOf(accountDto.getUsername()))) {
                    /**清楚其他用户登录的session */
                    if (!session.getId().toString().equals(currentUser.getSession().getId().toString())) {
                        /** 删除session信息*/
                        sessionManager.getSessionDAO().delete(session);
                    }
                }
            }
​
        }
    }
}
 
 
 
纯正小萌新
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot ShiroRealm 认证和授权
weixin_43224937的博客
04-06 805
ShiroRealm 认证和授权 一本正经教学时间 新人博主,求点赞求关注 1、多Realm 先分别编写好多个Realm各种认证和授权的规则 这里是StaffRealm.java 和 StudentRealm.java //StaffRealm public class StaffRealm extends AuthorizingRealm { @Autowired StaffRoleServiceImpl staffRoleService; @Autowired Rol
shiro框架多realm权限认证配置
秋雨 De Blog
11-03 636
我们做shiro框架经常会遇到这种情况,用户数量很多,又不在同一个表里,比如管理员一个表,用户一个表,商家一个表。这时我们就需要用到多realm来配置让他们用不同得realm来进行权限认证
Shiro——多个Realm的使用与实现
最新发布
程序员阿皓的博客
05-07 454
Shiro——多个Realm的使用与实现
springboot】处理shirorealm的自定义异常捕获问题
dan339811953的专栏
03-11 2934
前言 1、基于springboot前后端分离项目,基于shiro做权限校验 2、多个realm:1)userRealm:校验登陆验证码; 2) OauthRealm:校验登陆后请求token 3、springboot版本 2.1.1 shiro版本 1.3.2 4、急着处理问题的可以直接看最下面解决的 O(∩_∩)O~ 问题描述 Realm自定义自定义的异常无法正常捕获,均捕获为“A...
Shiro学习——(四)Shiro+mysql进行验证
weixin_43683536的博客
05-12 535
Shiro+Mysql进行授权验证   在我们的学习过程中,数据是至关重要的,而且是必不可少的一环。在Shiro的学习中,进过数据库的查询,来进行不同用户的权限限定,是必不可少的。 第一步:数据库设计 第二步:导入依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId...
shiro-attack-4.7.0-SNAPSHOT-all.zip
10-24
为了有效地利用"shiro-attack-4.7.0-SNAPSHOT-all.zip",开发者需要了解Shiro的基本工作原理,包括身份验证流程、授权策略以及会话管理机制。同时,他们应该熟悉Java序列化的安全风险,比如CVE-2015-4852等著名漏洞...
shiro-root-1.2.3-source-release zipa包 和相关jar包
04-20
- **shiro-core.jar**:核心模块,包含身份验证授权、会话管理和加密功能。 - **shiro-cas.jar**:CAS(Central Authentication Service)客户端支持。 - **shiro-ehcache.jar**:EhCache缓存管理的支持。 - **...
shiro-realm案例
03-02
在"shiro-realm案例"中,我们将探讨如何自定义Realm来实现与应用程序特定的权限验证RealmShiro中扮演着核心角色,它是身份验证(Authentication)和授权(Authorization)的基础。 Realm可以看作是Shiro与...
shiro源码(shiro-root-1.8.0-source-release.zip)
03-21
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用程序。它既适用于传统的Web应用,也适用于现代的Java EE和Android应用。现在我们来深入...
单点登录sso-shiro-cas-maven
10-19
# sso-shiro-cas spring下使用shiro+cas配置单点登录,多个系统之间的访问,每次只需要登录一次 ## 系统模块说明 1. cas: 单点登录模块,这里直接拿的是cas的项目改了点样式而已 2. doc: 文档目录,里面有数据库...
十二.shiro更改用户信息同时更改subject中的信息
u014203449的博客
08-21 8202
当更改用户信息的时候,发现subject.却还是原来的信息, 没有直接的办法更改,只能给当前用户切换身份,切换一个认证信息给安全管理器。 当更改用户信息后,调用setUser方法,UserInfo是原来放在SimpleAuthenticationInfo中的对象,realName是原来realm的名字 public class ShiroUtils { public stati...
第六章 Realm及相关对象(四) PrincipalCollection
热门推荐
yifanSJ的博客
08-24 2万+
之前使用过的(来点印象) login("classpath:shiro-authenticator-all-success.ini"); Subject subject = SecurityUtils.getSubject(); //得到一个身份集合,其包含了Realm验证成功的身份信息 PrincipalCollection principalCollection = subject.getP
@Service理解
weixin_30624825的博客
09-03 186
加@Service的类都是单例 转载于:https://www.cnblogs.com/fanrenren/p/11454019.html
Shrio03 Authenticator、配置多个Realm、SecurityManager认证策略
weixin_30394333的博客
01-21 180
1 Authenticator 简介 1.1 层次结构图 1.2 作用 职责是验证用户帐号,是ShiroAPI中身份验证核心的入口点;接口中声明的authenticate方法就是用来实现认证逻辑的。 1.3 源代码 1.4 authenticate 》该方法是实现认证逻辑的。》如果验证成功,将返回AuthenticationInfo验证信息;此信息中包含了身份及凭证;如果验证失...
security中配置多个AuthenticationManager
面朝大海,春暖花开
06-05 1万+
security中配置多个AuthenticationManager 基于spring-security4.2.x和security-oauth2.3.x 在使用Security配置Oauth2.0的时候需要多个authenticationManager来管理来自不同方向的认证管理,比如一个clientAuthenticationManager用来认证client_id和client_secr...
Springbootrealm集成,无ini文件,无xml配置
坤哥的博客
11-25 4506
网上shiro的集成案例在多realm这块基本都是基于ini配置文件的,或者部分基于xml配置。本人使用springboot框架,这种技术本身出发点就是标榜少配置文件或0配置(pom除外)。所以这里我把所有配置相关都集中在代码中处理。现在列出部分代码段,完整代码可以从我前面文章中获取:Spring Boot集成无状态Shiro–内容详细介绍。两个realm realm设置: @Bean
shiro中自定义多realm,并指定realm实现验证
qq_37941840的博客
06-13 2541
我们平常的系统建设中大多数都涉及到两种及以上的登陆方式,例如:手机号码登陆、用户名及密码登陆等,而此时我们是不是就得需要两个realm才能实现?
第六章 Realm及相关对象——《跟我学Shiro
jinnianshilongnian的专栏
02-26 986
  目录贴: 跟我学Shiro目录贴     6.1 Realm 【2.5 Realm】及【3.5 Authorizer】部分都已经详细介绍过Realm了,接下来再来看一下一般真实环境下的Realm如何实现。    1、定义实体及关系 即用户-角色之间是多对多关系,角色-权限之间是多对多关系;且用户和权限之间通过角色建立关系;在系统中验证时通过权限验证,角色只是权限集合,即...
shiro实现多个realm的认证和授权
kuai_le_de_xiao_erbi的博客
01-02 4871
认证的话大家可以参考这个链接shiro实现不同身份使用不同Realm进行验证 这里具体说一下授权的处理,下面是我的代码public class CustomerAuthrizer extends ModularRealmAuthorizer { @Override public boolean isPermitted(PrincipalCollection principals,
Shiro教程详解:身份验证授权与Web集成
Shiro教程PDF版是一份详尽的指南,旨在帮助读者深入了解Apache Shiro,一个强大的安全框架,用于实现Web应用中的身份验证授权和会话管理等功能。该教程分为多个章节,内容涵盖以下几个关键部分: 1. **第一章:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值