Shiro介绍(四):定义自己的安全域Realm

最新推荐文章于 2022-07-26 09:12:03 发布
最新推荐文章于 2022-07-26 09:12:03 发布
阅读量5.2k 收藏 3
点赞数
分类专栏: ALL IS JAVA 文章标签: shiro 安全 realm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sharetop/article/details/50209407
版权

在前面的介绍中,我提到过真正的安全逻辑其实都在Pluggable Realms里面,那么今天我们就来讨论一下这个安全域Realm。

这里写图片描述

这个是网上找到的一张图,描述了从Realm的派生出的所有类。其中抽象类AuthenticatingRealm,顾名思义,应该是用于认证,AuthorizingRealm用于授权,但是因为AuthorizingRealm又是从AuthenticatingRealm继承出来的,所以,其实我们常用的是直接从AuthorizingRealm派出一个自定义的安全域,比如示例中的HelloWorldRealm(参见我在GitHub上的代码)。

说些题外话,从上面这张图,我们也可以看到,Shiro帮我们实现了很多缺省的Realm,比如PropertiesRealm,IniRealm,如果你的系统很简单,就想直接在文本文件中放几个账户信息,可以直接使用它们。

现在我们先看看认证的代码,也就是doGetAuthenticationInfo()。

@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) 
    throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
        String uname = token.getUsername();
        String upassword = String.valueOf(token.getPassword());

        // 事实上,你应该连到真正的数据源去鉴权
        // 可以用uname和upassword去DB查询是否存在这个用户名和密码匹配的账户
        if(uname.equals("aaa") && upassword.equals("111")){
            return new SimpleAuthenticationInfo("aaa",upassword,getName());
        }
        else if(uname.equals("bbb")&& upassword.equals("222")){
            SimpleAuthenticationInfo info = new SimpleAuthenticationInfo();
            SimplePrincipalCollection principals = new SimplePrincipalCollection();
            principals.add("bbb", getName());
            principals.add("bbb@helloworld", getName());
            info.setPrincipals(principals);
            info.setCredentials(upassword);

            return info;
        }
        else if(uname.equals("ccc")&& upassword.equals("333")){
            SimpleAuthenticationInfo info = new SimpleAuthenticationInfo();
            SimplePrincipalCollection principals = new SimplePrincipalCollection();
            principals.add("ccc", getName());
            principals.add("10010", getName());
            info.setPrincipals(principals);
            info.setCredentials(upassword);

            return info;
        }
        else
            throw new AuthenticationException();
}

入参是AuthenticationToken接口,大家还记得吗,我们在登录时,传给subject的login()方法的那个参数UsernamePasswordToken,就是实现了AuthenticationToken接口的,其实subject委托securityManager去认证,而后者就把那个token传到了我们这个Realm里,所以一般情况,直接强制转型一下即可。

返回值是AuthenticationInfo接口,也是接口,不过Shiro帮我们实现了一个很方便的SimpleAuthenticationInfo,注意,Shiro中有很多SimpleXXXXXX类,尽量使用吧,除非你真有什么理由非要自己实现接口。保持代码的Simple,正是KISS的要求,不是么?这里最关键的是这个:info.setCredentials(upassword); 别忘了,因为这个方法并不是认证的结束,securityManager还要验证这个密码是否与login传来的密码是否一致。(为什么这么复杂,以后再详谈)

如果登录失败,你就直接抛出一个AuthenticationException吧。

现在,看看授权的代码,另一个函数doGetAuthorizationInfo():

@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String u = (String)principals.getPrimaryPrincipal();

        //一般情况下,应该连真正的数据源查询出当前用户的权限字符串
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        if(u.equals("aaa")){
            info.addRole("administrator");
            info.addStringPermission("system:admin");
        }
        else {
            info.addRole("sales");
            if(u.equals("bbb"))
                info.addStringPermission("system:view:bbb");
            else
                info.addStringPermission("system:view:ccc");
        }


        return info;
}

入参PrincipalCollection接口,这是一个集合,但是我们一般情况下只会放一个principal,所以可以直接getPrimaryPrincipal()得到我们传进来的那个用户名。然后,可以连数据库查询出这个用户配置的权限或角色。

返回值AuthorizationInfo接口,同理,我们也使用它的实现类SimpleAuthorizationInfo,通过addXXXX方法添加角色Role和权限Permission,然后返回之即可。

至此,我们的Shiro的使用就基本上完成了。
后面,我还会继续就WildcardPermission以及其它事宜展开讨论。但前面讨论的内容,足以让我们在项目中引入Shiro并使用。

sharetop
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro定义AuthorizingRealm子类SampleRealm中Service类无法注入成功
qq_43746825的博客
01-13 914
Shiro定义AuthorizingRealm子类SampleRealm中Service类无法注入成功
SpringBoot-Shiro-JWT:spring boot 结合shiro和jwt技术的实践
04-29
同时,还需要设置 Realm(权限),这是Shiro获取用户信息、角色和权限的核心接口。 接下来,JWT是一种轻量级的身份认证标准,它允许数据在各方之间安全地传递,无需在每次请求时都携带会话信息。JWT由三部分组成...
Shiro 中的 Realm
热门推荐
尽力而为
05-29 2万+
之前写项目用了 Shiro 框架,来进行安全验证以及权限管理。当时项目赶得急,没怎么深入了解,只能说能跑能改,不过在使用的过程中发现 Shiro 确实很优秀。现在回过头来学习原理,读读源码,深入的学习下。· 本篇博文主要写的是关于使用 Shiro 起步时最重要的一块,找了一些资料,力求写得简单明了。
Shiro权限框架(一)
小郑要做干饭人的博客
03-25 3092
简介 :   Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。  Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。Shiro可以帮助我们完成:认证、授权、加
吃透Shiro源码6----AuthorizingRealm
大宇的博客,欢迎访问
12-23 1043
文章目录技术手法(1)AuthorizingRealm设计思路重点研究类 技术手法 (1)AuthorizingRealm设计思路 AuthorizingRealm这个类的大致设计思路与AuthenticationRealm一致。暂时学到的最核心的方法就是通过 凭证对象PrincipalCollection对象获取缓存中的AuthorizationInfo对象。其核心思想就是如何缓存。 publi...
spring boot整合shiro安全框架过程解析
08-25
spring boot整合shiro安全框架是一个非常重要的知识点,我们需要添加shiro的依赖项,自定义realm,编写自定义realm,并在application中配置shiro的配置文件。通过这些步骤,我们能够实现spring boot应用程序的安全...
shiro+SSM实现安全登录的项目
06-19
1. **Shiro配置**:首先,在Spring配置文件中引入Shiro的配置,包括安全 Realm)、过滤器链定义等。 2. ** Realm 实现**: RealmShiro的核心组件,用于获取和验证用户身份及权限。你需要创建一个自定义 Realm...
安全控制框架教程shiro
10-29
Shiro提供了简单的API和内置的Realm)实现,可以连接到数据库或其他数据源进行身份验证。授权则是确定用户是否有执行特定操作的权限。Shiro通过角色和权限的概念来实现这一点,允许开发者定义角色并分配相应的...
spring-shiro:springboot+shiro简单整合
05-14
创建一个`ShiroConfig`配置类,初始化Shiro安全管理器,并配置Realm),用于处理认证和授权。 RealmShiro与应用程序数据源交互的核心,通常需要继承`AuthorizingRealm`并实现其方法。 ```java @...
Spring-shiro源码陶冶-AuthorizingRealm用户认证以及授权
weixin_30822451的博客
05-04 581
阅读源码有助于陶冶情操,本文旨在简单的分析shiro在Spring中的使用 简单介绍 Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能 AuthorizingRealm的继承关系 Realm->CachingRealm->AuthenticatingRealm->AuthorizingRealm 本文只针对以上关系进行讲解,其余的实现类...
shiro学习15-访问权限控制-authorizingRealm,Authorizor
iteye_14612的博客
02-23 586
在经过前面的filterChainManager和FilterChainResolver,PatternMatcher之后就会找到访问某个路径的filter,然后filter中就检查当前的subejct是否具有需要的有某个角色或者是权限。这个时候就会调用subject.isPermitted或者是subject.hasRole方法。这个方法的调用类似于我们之前在登陆校验时的方法调用,会调用组成...
在拦截器中保存用户登录信息
weixin_34503526的博客
01-03 1153
1.新增登录用户对象UserInfo @Data public class UserInfo implements Serializable { private Long id; private Long userId; private String nickname; private String mobile; } 2.新增当前线程对象UserContext public class UserContext { private static T..
shiro 实现认证授权
gaoyongjianqq的专栏
07-10 8595
一.认证和授权的概念 认证(authentication):show it,you are you; 授权(authoriziation):through it,you can do sth; 二.shiro中的认证与授权 AuthenticatingRealmshiro中的用于进行认证的领,实现doGetAuthentcationInfo方法实现用户登录时的认证逻辑; Author...
shiro之自定义Realm之继承AuthorizingRealm(*)
weixin_42408447的博客
11-16 1689
一.Realm基本架构 为了快速上手,我们需要知道的是,Shiro将数据库中的数据,存放到Realm这种对象中。而Shiro提供的Realm体系较为复杂,一般我们为了使用Shiro的基本目的就是:认证、授权。 所以,一般在真实的项目中,我们不会直接实现Realm接口,也不会直接继承最底层的功能贼复杂的IniRealm。我们一般的情况就是直接继承AuthorizingRealm,能够继承到认证与授权功能。它需要强制重写两个方法: public class DefaultRealm extends Autho
AuthorizingRealm简介说明
最新发布
qq_25073223的博客
07-26 588
AuthorizingRealm简介说明
第八节 Shiro安全数据来源之Realm讲解
菜鸟联盟
08-24 321
1,讲解shiro默认自带的realm和常见使用方法 realm作用:ShiroRealm 获取安全数据 默认自带的realm:idae查看realm继承关系,有默认实现和自定义继承的realm 两个概念 principal : 主体的标示,可以有多个,但是需要具有唯一性,常见的有用户名,手机号,邮箱等 credential:凭证, 一般就是密码 所以一般我们说 principal + credential 就账号 + 密码 开发中,往往是自定义realm
[shiro]shiro 中 AuthorizingRealm 的执行时机
java牛牛的博客
06-08 1163
1.doGetAuthenticationInfo执行时机如下 当调用Subject currentUser = SecurityUtils.getSubject(); currentUser.login(token); 2.doGetAuthorizationInfo执行时机有三个,如下: subject.hasRole(“admin”) 或 subject.isPermitted(“admin”):自己去调用这个是否有什么角色或者是否有什么权限的时候; @RequiresRoles(“admin
Shiro验证策略-shiro定义实现Realm来实现身份验证-shiro散列加密算法-shiro授权-shiro定义Realm实现授权
pshdhx的博客
08-09 4252
Shiro验证策略 Authentication Strategy:认证策略,在shiro中有三种认证策略; AtleastOneSuccessfulStrategy【默认】 如果一个或多个Realm验证成功,则整体的尝试被认为是成功的。如果没有一个验证成功,则整体尝试失败; FirstSuccessfulStrategy 只有第一个成功地验证的Realm返回的信息将被使用。所有进一步的Realm将被忽略。如果没有一个验证成功,则整

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值