Springboot 配置Shiro实现多realm不同数据表多用户类型登陆、鉴权

最新推荐文章于 2022-11-03 10:30:04 发布
最新推荐文章于 2022-11-03 10:30:04 发布
阅读量6.9k 收藏 26
点赞数 1
分类专栏: JavaWeb 文章标签: shiro shiro 多realm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_35626559/article/details/94553393
版权

原文参考转载自:https://www.cnblogs.com/skyLogin/p/10871347.html

---------------------------  本文根据原文内容,结合自身实际配置步骤进行编写。 ----------------------------

场景:

        最近做项目时,多个项目需要用到shiro多用户类型登录,每个角色都在自己独立的库表中,以前有了解过,shiro支持这种业务场景,及多realm验证及鉴权,简单的理解就是,在我们代码中有两套 shiro 鉴权 ,百度找大神的解决办法,看完后,结合本地一些实际进行更改。

       这次涉及到的两个用户类型,一个是客户(Customer),一个是公司管理员(Admin),两种账号分别存在不同的表中,登录页面,可以采用多个登录框,或者直接就是多个登录页,我这次选用的是多个登录页,然后每个登录页分别调用自身对应的角色的 LoginController,在 Controller 中,分别调用自身的shiro Realm 进行登录验证,后续操作也是分别调用自身的shiroRealm进行鉴权。

对于当前登录的用户类型(Customer 和 Admin),我刚开始是直接写字符串,后面觉得不妥,于是最后整理的时候,改成常量类的形式,也建议大家一开始就写成常量类的形式,这样做,便于后续的修改和使用,下面具体内容中为便于查看,就没做更改。

shiro 配置多realm 步骤:

1. 分别新建两个类型的 ShiroRealm,我这边是 ShiroRealmCustomer 和 ShiroRealmAdmin,注意类名命名,后面会根据登录用户类型和类名进行匹配区分,决定是使用哪个realm处理业务,下面是 ShiroRealmCustomer  的大致代码,两个类代码结构一样,都是继承 AuthorizeingRealm ,重写对应的鉴权和登录逻辑

/**
 * SHIRO客户处理.
 *
 * @author He 123
 * @since 2019-07-03
 */
public class ShiroRealmCustomer extends AuthorizingRealm {
    @Resource
    private ICustomerInfoService iCustomerInfoService;
    @Autowired
    private StringRedisTemplate redisTemplate;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        //鉴权逻辑
        
        
        return authorizationInfo;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
            throws AuthenticationException {
        UsernamePasswordToken token2 = (UsernamePasswordToken) token;
        String username=token2.getUsername();
        
        /****************登录逻辑******************/
        EntityWrapper ew = new EntityWrapper();
        ew.eq("account", username)
                .eq("del", Consts.System.y);
        CustomerInfo customerInfo = iCustomerInfoService.selectOne(ew);

        if (null == customerInfo) {
            throw new UnknownAccountException();
        } else if (customerInfo.getState().equals(Consts.System.n)){
            throw new AccountException("当前账号已被锁定,请联系管理员处理");
        }

        //设置当前登录的用户类型  客户
        customerInfo.setUserType(20);
        
        //shiro校验密码
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                JSON.toJSONString(customerInfo), //用户名
                customerInfo.getLoginPassword(), //密码
//                ByteSource.Util.bytes(userInfo.getCredentialsSalt()),//salt=username+salt
                getName()  //realm name
        );
        return authenticationInfo;
    }
    /**
     * RealmSecurityManager rsm = (RealmSecurityManager)SecurityUtils.getSecurityManager();
     AuthRealm authRealm = (AuthRealm)rsm.getRealms().iterator().next();
     authRealm.clearAuthz();
     */
    public void clearAuthor(){
        this.clearCachedAuthorizationInfo(SecurityUtils.getSubject().getPrincipals());
    }

    public void clearAuthen(){
        this.clearCachedAuthenticationInfo(SecurityUtils.getSubject().getPrincipals());
    }
}

2. 新建org.apache.shiro.authc.UsernamePasswordToken的子类,用来标识当前登录类型,配合后面新建的 org.apache.shiro.authc.pam.ModularRealmAuthenticator 的子类决定使用哪个 realm。。

     在我当前项目中就是用来表示当前登录的是客户登录还是管理员登录

import org.apache.shiro.authc.UsernamePasswordToken;

/**
 * @Auther: He
 * @Create_Date: 2019/7/3 11:29
 */
public class ShiroUsernamePasswordToken extends UsernamePasswordToken {

    /*
     * 当前登录用户类型
     */
    private String userType;

    public String getUserType() {
        return userType;
    }

    public void setUserType(String userType) {
        this.userType = userType;
    }

    public ShiroUsernamePasswordToken(String username, String password, String userType) {
        super(username, password);
        this.userType = userType;
    }
}

3. 新建 org.apache.shiro.authc.pam.ModularRealmAuthenticator的子类,并重写doAuthenticate()方法,通过第二步中的 userType 判断决定使用对应的Realm处理。

    这边判断的方法是: 根据我们设定好的登录类型和我们第一步中新建的 Realm 的类名进行字符串匹配,类名中存在登录类型字符串,就使用当前 Realm。

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.pam.ModularRealmAuthenticator;
import org.apache.shiro.realm.Realm;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import java.util.ArrayList;
import java.util.Collection;

/**
 * @Auther: He
 * @Create_Date: 2019/7/3 11:33
 */
public class ShiroRealmAuthenticator extends ModularRealmAuthenticator {

    private Logger logger = LoggerFactory.getLogger(ShiroRealmAuthenticator.class);

    /**
     * 根据用户类型判断使用哪个Realm
     */
    @Override
    protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken)
            throws AuthenticationException {
        super.assertRealmsConfigured();
        // 强制转换回自定义的CustomizedToken
        ShiroUsernamePasswordToken token = (ShiroUsernamePasswordToken) authenticationToken;
        // 登录类型
        String userType = token.getUserType();
        // 所有Realm
        Collection<Realm> realms = getRealms();
        // 登录类型对应的所有Realm
        Collection<Realm> typeRealms = new ArrayList<>();
        for (Realm realm : realms) {
            //根据登录类型和Realm的名称进行匹配区分
            if(realm.getName().contains(userType)){
                typeRealms.add(realm);
            }
        }

        // 判断是单Realm还是多Realm,有多个Realm就会使用所有配置的Realm。 只有一个的时候,就直接使用当前的Realm。
        if (typeRealms.size() == 1) {
            logger.info("doSingleRealmAuthentication() execute ");
            return doSingleRealmAuthentication(typeRealms.iterator().next(), token);
        } else {
            logger.info("doMultiRealmAuthentication() execute ");
            return doMultiRealmAuthentication(typeRealms, token);
        }
    }
}

4.修改 ShiroCofing

4.1 修改 securityManager ,修改为添加多个 realm

修改前,单个 realm:

    @Bean
	public ShiroRealm myShiroRealm(){
		ShiroRealm myShiroRealm = new ShiroRealm();
		return myShiroRealm;
	}

    @Bean
	public SecurityManager securityManager(){
		DefaultWebSecurityManager securityManager =  new DefaultWebSecurityManager();
		securityManager.setRealm(myShiroRealm());
		// 自定义session管理 使用redis
		securityManager.setSessionManager(sessionManager());
		// 自定义缓存实现 使用redis
		securityManager.setCacheManager(shiroCacheManager());
		return securityManager;
	}

修改后,增加多个realm设置,增加 modularRealmAuthenticator() ,针对多realm的管理

	@Bean
	public ShiroRealmAdmin myShiroRealm(){
		ShiroRealmAdmin myShiroRealm = new ShiroRealmAdmin();
		return myShiroRealm;
	}

	@Bean("shiroRealmCustomer")
	public ShiroRealmCustomer shiroRealmCustomer() {
		return new ShiroRealmCustomer();
	}

	/**
	 * 系统自带的Realm管理,主要针对多realm 认证
	 */
	@Bean
	public ModularRealmAuthenticator modularRealmAuthenticator() {
		//自己重写的ModularRealmAuthenticator
		UserModularRealmAuthenticator modularRealmAuthenticator = new UserModularRealmAuthenticator();
		modularRealmAuthenticator.setAuthenticationStrategy(new AtLeastOneSuccessfulStrategy());
		return modularRealmAuthenticator;
	}

	@Bean
	public SecurityManager securityManager(){
		DefaultWebSecurityManager securityManager =  new DefaultWebSecurityManager();
		List<Realm> realms = new ArrayList<>();
		realms.add(myShiroRealm());
		realms.add(shiroRealmCustomer());
		securityManager.setAuthenticator(modularRealmAuthenticator()); // 需要再realm定义之前
		securityManager.setRealms(realms);
		// 自定义session管理 使用redis
		securityManager.setSessionManager(sessionManager());
		// 自定义缓存实现 使用redis
		securityManager.setCacheManager(shiroCacheManager());
		return securityManager;
	}

/**
	 * 页面上使用shiro标签
	 * @return
	 */
	@Bean(name = "shiroDialect")
	public ShiroDialect shiroDialect(){
		return new ShiroDialect();
	}

 

5.上述配置的Authenticator主要针对登陆认证,对于授权时没有控制的,使用资源注入时会发现,使用的是myShiroRealmSHOP的doGetAuthorizationInfo方法(上面SHOP的定义在前),没有走对应的realm的授权,产生问题错乱,新建 org.apache.shiro.authz.ModularRealmAuthorizer子类

import org.apache.commons.beanutils.ConvertUtils;
import org.apache.shiro.authz.ModularRealmAuthorizer;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.subject.PrincipalCollection;

import java.util.Collection;
import java.util.HashMap;
import java.util.Iterator;
import java.util.Set;

/**
 * @Auther: He
 * @Create_Date: 2019/7/5 11:55
 */
public class UserModularRealmAuthorizer extends ModularRealmAuthorizer {
    @Override
    public boolean isPermitted(PrincipalCollection principals, String permission) {
        assertRealmsConfigured();
        // 所有Realm
        Collection<Realm> realms = getRealms();
        HashMap<String, Realm> realmHashMap = new HashMap<>(realms.size());
        for (Realm realm : realms) {
            if (realm.getName().contains("Admin")) {
                realmHashMap.put("ShiroRealmAdmin", realm);
            } else if (realm.getName().contains("Customer")) {
                realmHashMap.put("ShiroRealmCustomer", realm);
            }
        }

        Set<String> realmNames = principals.getRealmNames();
        if (realmNames != null) {
            String realmName = null;
            Iterator it = realmNames.iterator();
            while (it.hasNext()) {
                realmName = ConvertUtils.convert(it.next());
                if (realmName.contains("Admin")) {
                    return ((ShiroRealmAdmin) realmHashMap.get("ShiroRealmAdmin")).isPermitted(principals, permission);
                } else if (realmName.contains("Customer")) {
                    return ((ShiroRealmCustomer) realmHashMap.get("ShiroRealmCustomer")).isPermitted(principals, permission);
                }
                break;
            }
        }
        return false;
    }
}

6.修改 ShiroConfig 增加多realm下的授权控制

 securityManager.setAuthorizer(modularRealmAuthorizer());         // 新增授权控制

	/**
	 * 系统自带的Realm管理,主要针对多realm 认证
	 */
	@Bean
	public ModularRealmAuthenticator modularRealmAuthenticator() {
		//自己重写的ModularRealmAuthenticator
		UserModularRealmAuthenticator modularRealmAuthenticator = new UserModularRealmAuthenticator();
		modularRealmAuthenticator.setAuthenticationStrategy(new AtLeastOneSuccessfulStrategy());
		return modularRealmAuthenticator;
	}

	@Bean
	public SecurityManager securityManager(){
		DefaultWebSecurityManager securityManager =  new DefaultWebSecurityManager();
		List<Realm> realms = new ArrayList<>();
		realms.add(myShiroRealm());
		realms.add(shiroRealmCustomer());
		securityManager.setAuthenticator(modularRealmAuthenticator()); // 需要再realm定义之前

		// 新增下面这个授权控制
		securityManager.setAuthorizer(modularRealmAuthorizer()); 		

		securityManager.setRealms(realms);
		// 自定义session管理 使用redis
		securityManager.setSessionManager(sessionManager());
		// 自定义缓存实现 使用redis
		securityManager.setCacheManager(shiroCacheManager());
		return securityManager;
	}

 

7. 分别修改对应的登录 Controller ,分别设置当前的登录类型。

 ShiroUsernamePasswordToken就是在第2步中新建的UsernamePasswordToken的子类

 userType 就是当前我们定义的登录类型,和第1步介绍中所说,会和角色的Realm名称进行匹配,比如我这边的 Customer ,对应的 Realm 就是 ShiroRealmCustomer

例如下面的是客户登录,管理员类似

    /**
     * 客户登录
     * @param request
     * @param customerInfo
     * @return
     */
    @RequestMapping("/login")
    public String customerLogin(HttpServletRequest request, @RequestBody CustomerInfo customerInfo) {
        Subject subject = SecurityUtils.getSubject();
        subject.login(new ShiroUsernamePasswordToken(customerInfo.getAccount(), customerInfo.getPassword(), Consts.UserType.CUSTOMER));
        Session session = SecurityUtils.getSubject().getSession();
        return getResult(Result.OK,  "登录成功", session.getId(),"/index");
    }

 

 

至此,shiro多realm配置就差不多完成了,可以直接启动项目测试一下了。

 

剩下的工作比如:完善各自角色的Realm 中的 doGetAuthorizationInfo() 权限校验方法,改造自己项目中的菜单,资源,角色、缓存等等就根据实际情况,增加当前登录的角色作为条件进行筛选。

 

多说一句,我在用户登录登录成功后,默认会往用户登录成功后的实体类中保存我们当前登录的用户类型,跟随当前的登录信息进行保存,这样在后续开发中,如果有需要,我们可以直接从当前登录用户对象中获取当前的用户类型。

获取当前登录用户JSONObject,因为我当前项目中不同的用户类型对应不同的实体类,所以我没有转换成实体类的形式,而是直接返回JSONObject,这样更为通用些。

	public static JSONObject getCurrentObject() throws UnauthenticatedException {
		Object principal = SecurityUtils.getSubject().getPrincipal();
		if(principal!=null){
			JSONObject currentObj = JSONObject.parseObject(String.valueOf(principal));
			return currentObj;
		}else{
			throw new UnauthenticatedException();
		}
	}

 

 

_修铁路的
关注
  • 1
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
SpringBootShiro 整合系列(四)多realm延伸之实现realm不同数据表用户登录认证和鉴权
12程序猿的博客
11-09 979
shiro是一个很好的登陆以及权限管理框架,但是默认是单realm数据表,如果业务用户分布在不同数据表,单realm就很难实现登陆以及权限管理的功能,这篇博客就简单的介绍一个客户和系统管理员账号分布在不同数据表情况下,shiro的多realm登陆验证,使用springboot,mybatis mysql等相关技术,博客底部附上源码,有兴趣的可以去下载 ...
springboot+多数据源+shiro+springcloud.zip
10-10
这是我自己为了学习springboot等相关知识搭建的一个简易的项目,里面主要包括springbootshiro,mybatis,多数据源,springcloud的eureka集群,以及beetl的简单使用,springcloud的网关、oauth2授权等在其他的模块...
shiro框架多realm权限认证配置
秋雨 De Blog
11-03 600
我们做shiro框架经常会遇到这种情况,用户数量很多,又不在同一个表里,比如管理员一个表,用户一个表,商家一个表。这时我们就需要用到多realm配置让他们用不同realm来进行权限认证
SpringBoot整合Shirorealm登录配置,另外附俩个教程
qq_35238997的博客
02-20 2146
SpringBoot整合Shiro,通过用户、角色、权限三者关联实现权限管理 本篇文章主要介绍 Shirorealm,根据不同的登录类型指定不同realm。 所谓免密登录,就是区别正常的密码登录。比如,我现在要实现第三方登录,当验证了是李四,现在要让他通过 shiro 的 subject.login(),但是不知道他的密码(密码加密了),我们不能拿数据库里的密码去登录,除非重新写 Rea...
springboot整合shiro-多种用户分开登录
Sacredness的博客
01-30 3824
写在前边 现在的时间:2019-1-30 所用技术:springbootshiro、mysql、mybatis 问题引出     一个网站一般都会有,多种角色,比如普通用户和管理员。不同的角色的用户有可以会存在不同的用户表,比如普通用户存一张表,管理员存一张表。     有多张用户表的话,每张表的登录逻辑就有可以不同,所有的查询接口也不一样,这样就需要分开登录。 使用多Token使不...
4.Shiro基本表设计
相互学习 共同进步
06-28 2050
Shiro五张表 在Web应用,对安全的控制主要有角色、资源、权限(什么角色能访问什么资源)几个概念,一个用户可以有多个角色,一个角色也可以访问多个资源,也就是角色可以对应多个权限 数据库设计,至少需要建5张表:用户表、用户-角色表、角色表、角色-资源表、资源表 ①一个用户对应一个或者多个角色。 ②一个角色对应一个或者多个权限。 ③一个权限对应能够访问对应的API或URL资源。 (1)用户表 用户表至少包含以上的字段,主键id、用户名username、密码password、盐值salt(因为密码
单体物联平台系统(Springboot整合shiro实现realm多用户表多权限表登陆
码农践行
05-06 997
单体物联平台系统(Springboot整合shiro实现realm多用户表多权限表登陆) 参考实现:http://www.qchcloud.cn/tn/article/30 一、技术框架 本项目基于Spring,整合Apache Shiro框架,实现用户管理和权限控制,主要内容如下: 1.登录(带验证码),包括“记住我”的功能; 2.加密,存储的密码不采用明文; 3.session管理:使用sh...
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
Springboot+Shiro记录用户登录信息并获取当前登录用户信息的实现代码
08-19
Springboot+Shiro记录用户登录信息并获取当前登录用户信息的实现代码 本文主要介绍了使用 SpringbootShiro 框架记录用户登录信息,并获取当前登录用户信息的实现代码。Shiro 是一个功能强大的权限管理框架,...
SpringBoot 集成 Shiro 实现动态uri权限
04-22
本文小编将基于 SpringBoot 集成 Shiro 实现动态uri权限,由前端vue在页面配置uri,Java后端动态刷新权
Springboot+shiro单点登录实现.md
09-15
Springboot+shiro单点登录实现,本文档是单点登录的全部源代码。
Java web 过滤器 Filter 验证登录界面
BADReamer的博客
10-28 1337
doFilter()方法定义的是ServletRequest类型的对象,那么要想取得session,则必须进行向下转型,将ServletRequest变为HttpServletRequest接口对象,才能通过getSession()方法取得session对象。 验证 用户名: zhangsan 密码: lisi 过滤器采用注解的方式,只过滤文件夹test里的文件 loginfilter.java package com.Filter; import java.io.IOException; impor
spring boot 2.x + shiro实现多种登录方式(多个Realm
zhourenfei17的专栏
03-26 4980
继上篇关于shiro使用的博文介绍,我们已经初步了解了在spring boot如何使用shiro,但是当我们集成shiro实现登录认证的时候会发现,我们的系统支持多种登录方式(密码登录、手机验证码登录、其他第三方登录),而且每种登录方式的具体实现又会存在差异,这时候我们就需要用shiro的多realm的方式去实现登录,每个realm对应不同的登录方式的具体实现。 此处举例以密码登录、手机验证码...
SpringBoot Shiro 多用户登录控制及同一浏览器登录多个账号 session相互覆盖问题
qq_38322989的博客
05-27 4093
SpringBoot Shiro 框架实现同一个浏览只能一个账号登录 问题点: 同一个浏览器上登录多个三员账号,后登陆的会覆盖前面的session,但是前面的页面没有退出(后续请求使用的是后登录的用户的session),导致日志记录等获取的当前操作主体不准确 解决: 在 login 方法加入以下方法 Subject subject = SecurityUtils.getSubject(); if(subject.getPrincipal()!= null){ String msg2=
shiro 认证 配置单个realm和多个realm时的写法
wudinaniya的博客
08-30 5118
认证: 配置单个realm时,不涉及modularRealmAuthenticator, 因此,也就不涉及认证策略 配置单个realm时. applicationContext.xml: <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.o
springboot整合shiro实现多real登录
qq_41720578的博客
09-01 757
在ModularRealmAuthenticator ,多重验证,默认的验证策略AtLeastOneSuccessfulStrategy。可以通过继承ModularRealmAuthenticator 来重新定义获取realm的规则。这里我使用的是默认的。
shiro整合spring要求前台的注册用户与后台的管理员分开2个登陆界面,这个要求怎么实现?各位大神求解啊
qq_35452867的博客
05-17 4821
&lt;bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"&gt; &lt;property name="securityManager" ref="securityManager" /&gt; &lt;property name="loginUrl
第六章 Realm及相关对象(一) Realm
yifanSJ的博客
08-22 692
一、Realm 1. 定义实体及关系 即用户-角色之间是多对多关系,角色-权限之间是多对多关系;且用户和权限之间通过角色建立关系;在系统验证时通过权限验证,角色只是权限集合,即所谓的显示角色;其实权限应该对应到资源(如菜单、URL、页面按钮、Java 方法等),即应该将权限字符串存储到资源实体,但是目前为了简单化,直接提取一个权限表,【综合示例】部分会使用完整的表结构。 用户实体包
springboot配置shiro
最新发布
09-06
3. 在Shiro配置创建一个Realm bean,并在其实现自己的RealmRealm负责验证用户身份和进行授权。您可以使用现有的Realm实现,如JdbcRealm或IniRealm,也可以实现自定义的Realm。 例如,创建一个名为MyRealm...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值