【SpringBoot】Shiro(二)第一个程序认证和自定义Realm

已于 2024-09-02 15:11:04 修改
阅读量178 收藏
点赞数
分类专栏: 历史代码笔记 文章标签: spring boot 后端 java
于 2020-09-08 14:36:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42688959/article/details/108452035
版权

在这里插入图片描述

文章目录

引言:Shiro是apache旗下一个开源框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证,权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。

第一个shiro程序认证

身份认证,就是判断一个用户是否为合法用户的处理过程。

最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。

  • 需求:
    • 根据配置文件的用户密码进行授权登录
  • 文件:
    • resources 下新建 .ini 配置文件
    • TestAuthenticator 主要实现类
    • Maven项目并导入shiro依赖

shiro中认证的关键对象

  • Subject:主体

访问系统的用户,主体可以是用户、程序等,进行认证的都称为主体;

  • Principal:身份信息

相当于用户名的二次包装。是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等,一个主体可以有多个身份,但是必须有一个主身份(Primary Principal)

  • credential:凭证信息

相当于口令的二次包装。是只有主体自己知道的安全信息,如密码、证书等。

认证流程

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-j09Or3xJ-1599470208026)(Shiro 实战教程.assets/image-20200521204452288.png)]

  • 认证流程:主体Subject将principal身份信息和credetial凭证信息打包成一个令牌token,通过安全管理器SecurityManager进行验证,调用认证器,认证器调用Realm的数据
  • 认证=【主体+令牌(身份信息+凭证信息)-> shiro容器->实现】

认证的开发

1. 创建Maven项目并引入依赖

<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-core</artifactId>
  <version>1.5.3</version>
</dependency>

2. 引入shiro配置文件

shiro 的配置文件 是以.ini为后缀的文件

.ini 支持复杂数据格式,用来学习shiro书写我们系统中相关权限数据

没有固定的命名和路径。建议放在resources目录下,以shiro.ini命名

以键=值的形式存储

[users]
xiaochen=123
zhangsan=456

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kQ8bUNm9-1599470208029)(Shiro 实战教程.assets/image-20200521205219719.png)]

3.开发Authenticator认证代码TestAuthenticator

思路:

  • 【获取容器】开发Shiro代码第一步首先要创建安全管理器SecurityManager对象(org.apache.shiro.mgt)

    • SecurityManager接口只继承了三个,我们要深入使用,所以选择创建SecurityManager的底层的DefaultSecurityManager

  • 【加载数据】把一个新创建的realm对象指定到配置文件,然后set到安全管理器中

  • 【存放令牌信息】获取对象和加载配置后,存放令牌信息需要使用到全局安全工具类SecurityUtils

    • 需要将安全管理器设置到全局安全工具类中
    • 获取关键对象subject
    • 创建令牌,并设置身份信息和凭证信息

  • 登录+登录异常处理

代码:

public class TestAuthenticator {
    public static void main(String[] args) {
        //1.创建SecurityManager
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        //2.给安全管理器设置realm数据域
        //把一个新创建的realm对象指定到配置文件,然后set到安全管理器中
        defaultSecurityManager.setRealm(new IniRealm("classpath:shiro.ini"));
        //3.将安装工具类中设置默认安全管理器
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        //4.获取主体关键对象
        Subject subject = SecurityUtils.getSubject();
        //创建token令牌
        UsernamePasswordToken token = new UsernamePasswordToken("xiaochen1", "123");
        try {
            //登录操作
            System.out.println("认证状态:"+subject.isAuthenticated());
            subject.login(token);//用户登录
            System.out.println("认证状态:"+subject.isAuthenticated());
            System.out.println("登录成功~~");
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户名错误!!");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("密码错误!!!");
        }

    }
}
  • 异常错误:
    • DisabledAccountException(帐号被禁用)
    • LockedAccountException(帐号被锁定)
    • ExcessiveAttemptsException(登录失败次数过多)
    • ExpiredCredentialsException(凭证过期)等

在这里插入图片描述

右键执行即可,认证结果效果如上

如何自定义Realm

引言:第一个shiro程序使用的是Shiro自带的IniRealm,IniRealm从ini配置文件中读取用户的信息。而我们大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义realm。

源码分析

  • 需求: 自定义一个Realm来读取数据库信息

  • 分析用户名和密码校验的源码:

    • 最终执行用户名比较的类是:SimpleAccountRealm的doGetAuthenticationInfo,在这个方法中完成用户名的校验
    • 最终密码校验比较的类是:AuthenticatingRealm中的assertCredentialsMatch(返回时自动完成的)

  • 结果结论:

    • AuthenticatingRealm认证realmdoGetAuthenticationInfo 方法

    • AuthorizingRealm授权realm

      doGetAuthorizationInfo 方法

    • 所以需要自己定义一个类继承AuthorizingRealm来覆盖以上两个方法

1.shiro提供的Realm类以下的所有实现类

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wgjjeBoH-1599532283709)(Shiro 实战教程.assets/image-20200521212728541.png)]

2.源码认证使用的是SimpleAccountRealm

  • 删掉不必要的实现类,做处理后得到以下的类关系图

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qw6Z6iar-1599532283712)(Shiro 实战教程.assets/image-20200521213451998.png)]

SimpleAccountRealm的部分源码中有两个方法一个是 认证 一个是 授权

  • AuthenticatingRealm认证realmdoGetAuthenticationInfo 方法

  • AuthorizingRealm授权realmdoGetAuthorizationInfo 方法

public class SimpleAccountRealm extends AuthorizingRealm {
		//.......省略
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken upToken = (UsernamePasswordToken) token;
        SimpleAccount account = getUser(upToken.getUsername());

        if (account != null) {

            if (account.isLocked()) {
                throw new LockedAccountException("Account [" + account + "] is locked.");
            }
            if (account.isCredentialsExpired()) {
                String msg = "The credentials for account [" + account + "] are expired";
                throw new ExpiredCredentialsException(msg);
            }

        }

        return account;
    }

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = getUsername(principals);
        USERS_LOCK.readLock().lock();
        try {
            return this.users.get(username);
        } finally {
            USERS_LOCK.readLock().unlock();
        }
    }
}

自定义Realm的实现

  • 需求:

    • 在第一个shiro程序的基础上把系统.ini配置文件换成自定义的realm进行读取数据

  • 文件:

    • 新建realm目录并新建CustomerRealm(自定义Realm)配置类
    • 新建TestCustomerRealmAuthenticator(主要实现类)

  • 思路:

    • 继承AuthorizingRealm,Overrid本类和父类的两个方法

CustomerRealm(自定义Realm)配置类

public class CustomerRealm extends AuthorizingRealm {

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }


    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //在token中获取用户名
        String principal = (String) token.getPrincipal();
        System.out.println(principal);

     //根据身份信息使用jdbc/mybatis等查询相关数据库,在后续springboot整合之后再进行替换
     //目前暂时使用假数据模拟通过,假设数据库中有这个token信息
        //返回一个SimpleAuthenticationInfo,在实际中会返回具体的用户和密码信息
        //我们目前也是做假数据进行模拟返回
        if ("xiaozhang".equals(principal)){
            //模拟返回的假数据
            //参数一:返回数据库中正确的用户名
            //参数二:返回数据库中正确的密码
            //参数三:提供当前realm的名字,是底层自动生成的,目前我们不需要考虑
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(principal,"123456",this.getName());
            return simpleAuthenticationInfo;
        }

        return null;
    }
}

TestCustomerRealmAuthenticator(主要实现类)

public class TestCustomerRealmAuthenticator {
    public static void main(String[] args) {
        //获得容器
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        //设置自定义realm
        defaultSecurityManager.setRealm(new CustomerRealm());
        //把容器设置到全局安全工具类中,才能获取subject的信息
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        //通过安全工具类获取subject
        Subject subject = SecurityUtils.getSubject();
        //创建token。因为是demo,没有前台输入信息,所以我们需要自己new一个token令牌
        UsernamePasswordToken token = new UsernamePasswordToken("xiaozhang", "123456");
        //登录
        try {
            subject.login(token);
            System.out.println(subject.isAuthenticated());
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            System.out.println("用户名错误");
        } catch (IncorrectCredentialsException e) {
            e.printStackTrace();
            System.out.println("密码错误");
        }


    }
}

测试结果:
在这里插入图片描述

—end

退居二线程序员
关注
专栏目录
Shiro自定义AuthorizingRealm子类SampleRealm中Service类无法注入成功
qq_43746825的博客
01-13 934
Shiro自定义AuthorizingRealm子类SampleRealm中Service类无法注入成功
SpringBootShiro 整合系列(三)多Realm验证和认证策略
12程序猿的博客
11-03 1356
系列(三)讲述 SpringBoot整合Shiro 实现多Realm验证以及认证策略 目录一、使用场景、多Realm验证配置流程:1.添加第Realm SecondRealm.java三、认证策略1.概念2.认证策略的使用2.1 默认使用2.1 切换认证策略 一、使用场景 我们可能会把安全数据放到不同的表中,比方说 不同类型的用户登录,这个时候我们进行用户认证时,就需要进行不同的逻辑处理,就需要多个Realm。如果有多个Realm的话,还需要涉及到认证策略的问题。 、多Realm验证 多重认证,主要
Shiro 中的 Realm
热门推荐
尽力而为
05-29 2万+
之前写项目用了 Shiro 框架,来进行安全验证以及权限管理。当时项目赶得急,没怎么深入了解,只能说能跑能改,不过在使用的过程中发现 Shiro 确实很优秀。现在回过头来学习原理,读读源码,深入的学习下。· 本篇博文主要写的是关于使用 Shiro 起步时最重要的一块,找了一些资料,力求写得简单明了。
Shiro权限框架(一)
小郑要做干饭人的博客
03-25 3109
简介 :   Apache ShiroJava的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。  Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加
吃透Shiro源码6----AuthorizingRealm
大宇的博客,欢迎访问
12-23 1086
文章目录技术手法(1)AuthorizingRealm设计思路重点研究类 技术手法 (1)AuthorizingRealm设计思路 AuthorizingRealm这个类的大致设计思路与AuthenticationRealm一致。暂时学到的最核心的方法就是通过 凭证对象PrincipalCollection对象获取缓存中的AuthorizationInfo对象。其核心思想就是如何缓存。 publi...
spring boot后端分离整合shiro()自定义realm
HuYiAn1004的博客
07-09 710
spring boot后端分离整合shiro()自定义realm 想使用shiro我们需要自定义一个realm,先看看shiro relam的继承关系 我们关注两个类,一个是AuthenticatingRealm,用来认证;一个是AuthorizingRealm,用来授权。然后AuthorizingRealm又继承了AuthenticatingRealm,所以我们只要继承Authorizi...
SpringBootShiro 整合系列(四)多realm延伸之实现多realm不同数据表用户登录认证和鉴权
12程序猿的博客
11-09 1023
shiro是一个很好的登陆以及权限管理框架,但是默认是单realm单数据表,如果业务中用户分布在不同的数据表,单realm就很难实现登陆以及权限管理的功能,这篇博客就简单的介绍一个客户和系统管理员账号分布在不同的数据表情况下,shiro的多realm登陆验证,使用springboot,mybatis mysql等相关技术,博客底部附上源码,有兴趣的可以去下载 ...
springboot+shiro简单token认证
鲁迅说要做好或更好的博客
03-12 3382
前言 最后调用过程参考了 : https://blog.csdn.net/long270022471/article/details/62423286 最近可能要用到,所以看了看shiro. 结合人人开源的管理后端代码以及其他大佬的写的有关shiro的博文,自己整理了一下避免以后忘记了. 其中代码中我加了很多注释,是个人的通俗理解, 可能不正确, 也欢迎大家指出共同进步. Shiro的功能 Authentication:身份认证,验证用户是否拥有某个身份。 Authorization: 权限校验,验证某
SpringBoot+Shiro实现免密登录(多个realm
wmy_0707的博客
06-09 1969
业务需求:因目前系统已经集成shiro根据用户名和密码加盐加密后校验用户登录信息功能的前提下需要集成第三方单点登陆功能。根据业务需求校验通过单点登陆后进入该项目的时候通过用户名实现免密登陆。 思路:原始已完成了用户名密码登陆功能,并自定义了AuthorizingRealm实现doGetAuthenticationInfo、doGetAuthorizationInfo登陆验证和授权功能。新的...
从实例入手学习Shiro自定义Realm实现查询数据进行验证示例代码.zip
05-12
从实例入手学习Shiro自定义Realm实现查询数据进行验证示例代码.zip
Spring-shiro源码陶冶-AuthorizingRealm用户认证以及授权
weixin_30822451的博客
05-04 603
阅读源码有助于陶冶情操,本文旨在简单的分析shiroSpring中的使用 简单介绍 Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能 AuthorizingRealm的继承关系 Realm->CachingRealm->AuthenticatingRealm->AuthorizingRealm 本文只针对以上关系进行讲解,其余的实现类...
shiro学习15-访问权限控制-authorizingRealm,Authorizor
iteye_14612的博客
02-23 631
在经过前面的filterChainManager和FilterChainResolver,PatternMatcher之后就会找到访问某个路径的filter,然后filter中就检查当前的subejct是否具有需要的有某个角色或者是权限。这个时候就会调用subject.isPermitted或者是subject.hasRole方法。这个方法的调用类似于我们之前在登陆校验时的方法调用,会调用组成...
在拦截器中保存用户登录信息
weixin_34503526的博客
01-03 1211
1.新增登录用户对象UserInfo @Data public class UserInfo implements Serializable { private Long id; private Long userId; private String nickname; private String mobile; } 2.新增当前线程对象UserContext public class UserContext { private static T..
shiro 实现认证授权
gaoyongjianqq的专栏
07-10 8624
一.认证和授权的概念 认证(authentication):show it,you are you; 授权(authoriziation):through it,you can do sth; .shiro中的认证与授权 AuthenticatingRealmshiro中的用于进行认证的领域,实现doGetAuthentcationInfo方法实现用户登录时的认证逻辑; Author...
shiro自定义Realm之继承AuthorizingRealm(*)
weixin_42408447的博客
11-16 1832
一.Realm基本架构 为了快速上手,我们需要知道的是,Shiro将数据库中的数据,存放到Realm这种对象中。而Shiro提供的Realm体系较为复杂,一般我们为了使用Shiro的基本目的就是:认证、授权。 所以,一般在真实的项目中,我们不会直接实现Realm接口,也不会直接继承最底层的功能贼复杂的IniRealm。我们一般的情况就是直接继承AuthorizingRealm,能够继承到认证与授权功能。它需要强制重写两个方法: public class DefaultRealm extends Autho
Shiro介绍(四):定义自己的安全域Realm
SHARE & TOP
12-07 5300
在前面的介绍中,我提到过真正的安全逻辑其实都在Pluggable Realms里面,那么今天我们就来讨论一下这个安全域Realm
AuthorizingRealm简介说明
qq_25073223的博客
07-26 616
AuthorizingRealm简介说明
自定义Realm之继承AuthorizingRealm
大宇的博客,欢迎访问
05-06 1万+
一、Realm基本架构 为了快速上手,我们需要知道的是,Shiro将数据库中的数据,存放到Realm这种对象中。而Shiro提供的Realm体系较为复杂,一般我们为了使用Shiro的基本目的就是:认证、授权。 所以,一般在真实的项目中,我们不会直接实现Realm接口,也不会直接继承最底层的功能贼复杂的IniRealm。我们一般的情况就是直接继......
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值