shiro多realm认证学习实现

最新推荐文章于 2024-05-07 01:30:00 发布
最新推荐文章于 2024-05-07 01:30:00 发布
阅读量467 收藏
点赞数
分类专栏: java shiro 文章标签: shiro realms
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011017284/article/details/106489956
版权

突然接到了一个需求,一个系统需要实现多种认证登录。
之前都是修改shiro的realm,根据不同情况去判断,会造成代码特别臃肿。
所以这次尝试用多个realm 来实现多种认证方式登录。
认证之前先了解了一下shiro多realm处理的三种策略:

SecurityManager 接口继承了 Authenticator,另外还有一个 ModularRealmAuthenticator 实现,其委托给多个 Realm 进行验证,验证规则通过 AuthenticationStrategy 接口指定,默认提供的实现:

  • FirstSuccessfulStrategy:只要有一个 Realm 验证成功即可,只返回第一个 Realm 身份验证成功的认证信息,其他的忽略;
  • AtLeastOneSuccessfulStrategy:只要有一个 Realm 验证成功即可,和 FirstSuccessfulStrategy不同,返回所有 Realm 身份验证成功的认证信息;
  • AllSuccessfulStrategy:所有 Realm 验证成功才算成功,且返回所有 Realm 身份验证成功的认证信息,如果有一个失败就失败了。
    ModularRealmAuthenticator 默认使用 AtLeastOneSuccessfulStrategy 策略。

首先配置多个realm认证和认证的处理策略,这里采用默认处理策略:

<!-- 定义 Shiro 主要业务对象 -->
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<!-- 多Realm配置,和处理策略 -->
		<property name="authenticator">
			<bean class="org.apache.shiro.authc.pam.ModularRealmAuthenticator">
				<property name="authenticationStrategy">
					<!-- 至少有一个Realm认证通过 -->
					<bean class="org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy"/>
				</property>
			</bean>
		</property>
		<property name="realms">
			<list>
				<ref bean="systemRealm"/>
				<ref bean="testLoginRealm"/>
				<ref bean="keyLoginRealm"/>
			</list>
		</property>
		<property name="subjectFactory" ref="casSubjectFactory"/>
		<property name="sessionManager" ref="sessionManager"/>
		<property name="cacheManager" ref="cacheManagerShiro"/>
	</bean>

多realm认证调用流程,采用默认AtLeastOneSuccessfulStrategy 策略

	protected AuthenticationInfo doMultiRealmAuthentication(Collection<Realm> realms, AuthenticationToken token) {
        AuthenticationStrategy strategy = getAuthenticationStrategy();
        //在所有Reaml之前使用
        AuthenticationInfo aggregate = strategy.beforeAllAttempts(realms, token);
        if (log.isTraceEnabled()) {
            log.trace("Iterating through {} realms for PAM authentication", realms.size());
        }
        for (Realm realm : realms) {
        	//在每个Reaml前使用
            aggregate = strategy.beforeAttempt(realm, token, aggregate);
            if (realm.supports(token)) {
                log.trace("Attempting to authenticate token [{}] using realm [{}]", token, realm);
                AuthenticationInfo info = null;
                Throwable t = null;
                try {
                    info = realm.getAuthenticationInfo(token);
                } catch (Throwable throwable) {
                    t = throwable;
                    if (log.isDebugEnabled()) {
                        String msg = "Realm [" + realm + "] threw an exception during a multi-realm authentication attempt:";
                        log.debug(msg, t);
                    }
                }
                //在每个Reaml后使用
                aggregate = strategy.afterAttempt(realm, token, info, aggregate, t);
            } else {
                log.debug("Realm [{}] does not support token {}.  Skipping realm.", realm, token);
            }
        }
        //在所有Reaml之后使用
        aggregate = strategy.afterAllAttempts(token, aggregate);
        return aggregate;
    }

可以通过自己继承AbstractAuthenticationStrategy抽象类来实现:beforeAllAttempts、beforeAttempt、afterAttempt、afterAllAttempts来实现自定义策略。
实现多realm处理策略

笔记:

当多个realm认证成功,AtLeastOneSuccessfulStrategy策略会返回多个principal,
当调用subject.getPrincipal(),实际会获取principals中的第一个。
如果系统中不处理多个principal 情况,采用FirstSuccessfulStrategy和AtLeastOneSuccessfulStrategy策略登录结果相同

	//调用代码
	Subject subject = getSubject(request, response);
	Session session = subject.getSession();
	subject.getPrincipal()
	//实际会获取principals中的第一个
	//org.apache.shiro.subject.support.DelegatingSubject.java
	public Object getPrincipal() {
	    return getPrimaryPrincipal(getPrincipals());
	}
    private Object getPrimaryPrincipal(PrincipalCollection principals) {
        if (!CollectionUtils.isEmpty(principals)) {
            return principals.getPrimaryPrincipal();
        }
        return null;
    }
    //org.apache.shiro.subject.SimplePrincipalCollection.java
    public Object getPrimaryPrincipal() {
        if (isEmpty()) {
            return null;
        }
        return iterator().next();
    }
小丶卿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot集成Shiro,并使用多个Realm
2303_77877769的博客
04-17 730
首先,我们先看Realm是怎么被执行的Realm是被一个名叫ModularRealmAuthenticator的类执行的具体细节如下//检验是否有Realm//获取所有的Realm//如果Realm只有1个,就只执行那一个,如果Realm有多个,全部都要执行自定义TokenShiro自带的UserNamePasswordToken感觉不太够用,因为下面我们要根据Token自带的属性进行区分,所以下面需要扩展UserNamePasswordToken。
shiro-realm案例
03-02
总之,自定义Shiro Realm是为了解决特定应用程序的认证和授权需求,通过继承`AuthorizingRealm`并实现必要的方法,我们可以将Shiro与我们的数据源紧密集成,确保用户登录和权限控制的正确性。在"shiro-realm案例"中...
(4)shiro多个realm
weixin_33895657的博客
11-01 145
shiro支持多个realm,当设置多个realm的时候,shiro认证和授权的步骤是怎样的呢。 多个realm认证原理: 发现需要在执行认证的时候,需要策略来处理多个realm存在的情况。默认实现类有三个策略: 1. AtLeastOneSuccessfulStrategy :如果一个(或更多)Realm 验证成功,则整体的尝试被认为是成功的。如果没有一个验证成功,则整体尝试失...
Shiro——多个Realm的使用与实现
最新发布
程序员阿皓的博客
05-07 366
Shiro——多个Realm的使用与实现
Shiro-多Realm验证
weixin_34341117的博客
01-08 571
2019独角兽企业重金招聘Python工程师标准>>> ...
Springboot2集成Shiro框架(九)配置多个realm
New_Yao的博客
01-14 2792
目录
Shiro之多个Realm实现
qq_57907966的博客
12-26 426
实现原理:当应用程序配置多个Realm时,例如:用户名密码校验、手机验证码校验等等Shiro的ModularRealmAuthenticator会使用内部的AuthenticationStrategy组件判断认证成功还是失败。
oauth2 shiro 多表认证
06-16
比如,Shiro可以通过自定义Realm实现,针对每个表创建一个Realm,每个Realm处理特定表中的用户认证。 4. **集成OAuth2和Shiro**:一旦用户通过Shiro认证,OAuth2的授权服务器会接收到认证成功的信息,然后生成一个...
Apache Shiro 使用手册(四) Realm 实现
09-15
总结来说,`Realm`在Shiro中扮演了核心的安全数据提供者角色,负责认证和授权的具体实现。通过自定义`Realm`,开发者可以根据自己的数据存储结构和逻辑,灵活地集成Shiro以满足应用的安全需求。同时,`Realm`的设计...
Springboot shiro认证授权实现原理及实例
08-19
Shiro认证机制主要通过 Realm实现Realm一个身份验证和授权的接口。Spring Boot 中,我们可以使用 ShiroRealm实现自定义的认证逻辑。在上面的示例代码中,我们定义了一个 LoginRealm 类,继承自 ...
从实例入手学习Shiro自定义Realm实现查询数据进行验证示例代码.zip
05-12
Shiro中, Realm一个接口,它实现认证和授权的功能。默认的 Realm 类型包括 JdbcRealm、PropertiesRealm 等,但这些可能无法满足所有项目的需求,因此自定义 Realm 是常见的实践。 创建自定义 Realm 的步骤...
Shiro——多个Realm的配置
Ascend2015的博客
11-18 911
为什么需要使用多个Realm?经过MD5或者其他加密算法的加密、盐值的使用之后,我们的数据看似已经十分的安全,但是也未必,所以,更好的方式是将数据存储于多个数据库中,混合使用不同的加密算法。第一种配置多Realm的方式这个过程也十分地简单,仅仅按照之前我们自定义Realm的方式,再行配置一个Realm即可。要注意将securityManager的realm属性改为realms集合属性:<bean i
shiro篇---配置多个realmrealms】
m0_67393157的博客
04-07 606
securityManager的配置 当调用SecurityUtils. getSubject().login( token); 即subject的login 方法;默认会调用realm里面的 doGetAuthenticationInfo方法进行身份验证。但上面设置了配置使用自定义认证器 会先进入这个,再决定进入哪个realm. 验 证成功后会进入当前realm的 doGetAuthorizationInfo 方法进行授权 ...
Shiro实现realm方案
程序员田同学的博客
07-02 2976
公司开始了新项目,新项目的认证采用的是Shiro实现。由于涉及到多端登录用户,而且多端用户还是来自不同的表。 这就涉及到了Shiro的多realm,今天的demo主要是介绍Shiro的多realm实现方案,文中包含所有的代码,需要的朋友可以无缝copy。...
Shiro系列(二)——ShiroRealm 实现
玖涯博客
02-18 1264
写在前面 本文基于上一篇文章《 Shiro + Springboot + JWT 的整合》延续,示例项目也是在上篇文章的基础上扩展而来的。 一个系统一般都具有多种用户类型,如管理员、普通用户和运营者账号等,这些用户都存储在不同的表中。当然,通过对 Token 的内容进行条件判断,一个 Realm 是可以直接实现多个账号登录的,但是这样将导致不同用户的登录完全耦合在一起,这不是我们想看到的,所以有了多 Realm 的需求,并且 Shiro 是支持多 Realm 的。 1. 实现逻辑 1.1 分析 通过阅读 S
Spring Boot(十一)Shiro 整合 配置多 Realm
好好学习 天天向上
07-08 361
import java.util.ArrayList; import java.util.Collection; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.Authent...
shiro配置多个realm的方式
二十一克阳光!的博客
05-02 4172
当配置了多个Realm时,我们通常使用的认证器是shiro自带的org.apache.shiro.authc.pam.ModularRealmAuthenticator,其中决定使用的Realm的是doAuthenticate()方法 public class UserModularRealmAuthenticator extends ModularRealmAuthenticator { ...
Shiro框架 Realm权限分配与认证流程解析
"这篇文档主要讨论了 RealmShiro 框架中的代码实现和权限分配与授权的相关知识。Shiro一个强大的 Java 安全框架,提供了认证、授权、加密和会话管理功能,简化了开发人员处理安全问题的过程。在 Shiro 中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值