Spring Boot 集成Shiro的多realm实现以及shiro基本入门

最新推荐文章于 2024-05-07 01:30:00 发布
最新推荐文章于 2024-05-07 01:30:00 发布
阅读量621 收藏 5
点赞数 1
分类专栏: Spring Boot 集成Shiro的多realm实现以及shiro 文章标签: spring spring boot shiro java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41644145/article/details/109168505
版权

Spring Boot 集成Shiro的多realm实现以及shiro基本入门

情景

我的项目中有六个用户角色(学校管理员,学生等),需要进行分别登陆。如果在一个realm中,对controller封装好的Token进行Service验证,需要在此realm中注入六个数据库操作对象,然后写一堆if语句来判断应该使用那个Service服务,然后再在验证方法(doGetAuthorizationInfo)中写一堆if来进行分别授权,这样写不仅会让代码可读性会非常低而且很难后期维护修改(刚写完的时候只有上帝和你能看懂你写的是什么,一个月之后你写的是什么就只有上帝能看懂了)。
所以一定要配置多个realm来分别进行认证授权操作。shiro有对多个realm的处理,当配置了多个Realm时,shiro会用自带的org.apache.shiro.authc.pam.ModularRealmAuthenticator类的doAuthenticate方法来进行realm判断,源码:

    protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
        assertRealmsConfigured();
        Collection<Realm> realms = getRealms();
        if (realms.size() == 1) {
            return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);
        } else {
            return doMultiRealmAuthentication(realms, authenticationToken);
        }
    }

assertRealmsConfigured();的作用是验证realm列表是否为空,如果一个realm也没有则会抛出IllegalStateException异常(爆红:Configuration error: No realms have been configured! One or more realms must be present to execute an authentication attempt.)
当realm只有一个时直接返回,当realm有多个时返回所有的realm。而我们要做的就是写多个realm后重写ModularRealmAuthenticator下的doAuthenticate方法,使它能满足我们的项目需求。
那么改怎么重写ModularRealmAuthenticator下的doAuthenticate方法,使它能满足我们的项目需求呢?这就需要分析我们使用shiro的使用方法了。

shiro的使用

1.Controller层中,获取当前用户后将用户名和密码封装UsernamePasswordToken对象,然后调用Subject中的登陆方法subject.login(UsernamePasswordToken)

    @RequestMapping("/user/login")
	@ResponseBody
    public String Login(String userName,String password){
        //获取当前用户  subject
        Subject subject = SecurityUtils.getSubject();
        //封装用户的登陆数据
        UsernamePasswordToken token = 
        new UsernamePasswordToken(userName, password);
        try{
            subject.login(token);//执行登陆方法
            return "登陆成功";
        }catch (UnknownAccountException e){//用户名不存在
            model.addAttribute("msg","用户名不存在");
            return "用户名不存在";
        }catch (IncorrectCredentialsException e){//密码错误
            model.addAttribute("msg","密码错误");
            return "密码错误";
        }
    }

(为了测试方便,我用了@ResponseBody返回字符串)
2.完善自定义Realm类,继承于AuthorizingRealm,主要实现doGetAuthorizationInfo和doGetAuthenticationInfo方法
(需要实现认证和授权方法,在这里方便测试主要是认证)

public class StudentRealm extends AuthorizingRealm {
    @Resource
    private StudentsService studentsService;
    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("Shiro=========Student认证");
        UserToken userToken = (UserToken) token;
        Students students = studentsService.queryByNum(userToken.getUsername());
        //账号不存在
        if (students == null) {
            System.out.println("学生不存在");
            //向上层提交UnknownAccountException异常,在controller层处理
            throw new UnknownAccountException();
        }
        //密码认证,shiro来做,可以自定义加密方式
        return new SimpleAuthenticationInfo("", students.getPassword(), USER_LOGIN_TYPE);
    }
}

3.配置shiro,将realm配置进shiro(很多教程是使用xml配置或者ini配置,在这里用java代码配置,功能都是一样的,看个人习惯了)

@Configuration
public class ShiroConfig {
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager) {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);
        return bean;

    }

    //DefaultWebSecurityManager  默认web安全管理器
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联realm
        securityManager.setRealm(userRealm);
        return securityManager;
    }
    //创建自定义 realm
    @Bean
    public UserRealm userRealm() {
        return new UserRealm();
    }
}

记得加@Configuration注解!!!!!!!

经过以上三步,可以看出shiro的简略工作流程(非常简略)就是,在web 启动阶段,读取
@Configuration注解将自定义的ream配置进默认web安全管理器(DefaultWebSecurityManager)然后将DefaultWebSecurityManager与ShiroFilterFactoryBean相关联。
当用户登陆时,从前端拿到username和password,封装好Token后,进入realm进行认证和授权,而realm就来自于刚才的shiro的DefaultWebSecurityManager配置

多realm实现原理

根据上面的shiro简略流程可知,shiro配置中写入多个realm后,在controller提交token时,只要多携带一个参数,用来进行org.apache.shiro.authc.pam.ModularRealmAuthenticator类的doAuthenticate(重写后)的验证即可明确应该用那个realm。那么,我们需要重写org.apache.shiro.authc.UsernamePasswordToken(令其携带身份参数用于选择realm)和org.apache.shiro.authc.pam.ModularRealmAuthenticator(令其根据token中的身份参数来进行选择realm)即可。

多realm实现具体操作

1.写多个自定义的realm

public class AdminRealm extends AuthorizingRealm {

    @Resource
    private AdminService adminService;

    private static final String USER_LOGIN_TYPE = UserType.AdminRealm;

    @Override
    public String getName() {
        return UserType.AdminRealm;
    }

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("Shiro=========Admin认证");
        UserToken userToken = (UserToken) token;
        Admin admin = adminService.queryById(userToken.getUsername());
        if(admin == null){
            System.out.println("管理员不存在");
            throw new UnknownAccountException();
        }
        return new SimpleAuthenticationInfo("", admin.getAdminpassword(), USER_LOGIN_TYPE);
    }
}

2.创建静态变量类(用于realm选择)

public class UserType {
    //实习学校管理员
    public static final String SchoolAdminRealm = "schooladminrealm";

    //学生
    public static final String StudentRealm ="studentrealm";

    //管理员
    public static final String AdminRealm ="adminrealm_1";

    //导员
    public static final String InstructorRealm ="instructorrealm";

    //实习带队老师
    public static final String UniversityteacherRealm ="universityteacherrealm";

    //实习指导老师
    public static final String SchoolTeacherRealm ="schoolteacherrealm";
}

3.重写UsernamePasswordToken,令其可以携带身份参数

@Component
public class UserModularRealmAuthenticator extends ModularRealmAuthenticator {

    @Override
    protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) {
        // 判断getRealms()是否返回为空,ModularRealmAuthenticator 自带
        assertRealmsConfigured();
        // 强制转换回自定义的UserToken
        UserToken token = (UserToken) authenticationToken;
        String loginType = token.getLoginType();
        Collection<Realm> realms = getRealms();
            for (Realm realm : realms) {
                System.out.println(realm.getName().toLowerCase());
            if (realm.getName().toLowerCase().contains(loginType)){
            //找到登录类型对应的指定Realm
                return doSingleRealmAuthentication(realm, token);
            }
        }
        //没找到正确的realm的异常处理
        String msg = "Configuration error: Didn't find the right realm";
        throw new IllegalStateException(msg);
    }
}

4.shiro的配置中写入自定义的realm,还有其它配置

@Configuration
public class ShiroConfig {

    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager) {
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);
        return bean;
    }

    //DefaultWebSecurityManager
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(
            @Qualifier("schoolAdminRealm") SchoolAdminRealm schoolAdminRealm,
            @Qualifier("studentRealm") StudentRealm studentRealm,
            @Qualifier("adminRealm") AdminRealm adminRealm,
            @Qualifier("schoolTeacherRealm") SchoolTeacherRealm schoolTeacherRealm,
            @Qualifier("instructorRealm") InstructorRealm instructorRealm,
            @Qualifier("universityteacherRealm") UniversityteacherRealm universityteacherRealm,
            @Qualifier("userModularRealmAuthenticator") UserModularRealmAuthenticator userModularRealmAuthenticator
    ) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setAuthenticator(userModularRealmAuthenticator);
        /**关联realm
        *securityManager.setRealm() 是配置单个realm,不可用它配置多个realm
        *securityManager.setRealms()配置多个realm, 
        *List<Realm> realms可以直接被set进去
        */
        List<Realm> realms = new ArrayList<Realm>();
        realms.add(schoolAdminRealm);
        realms.add(studentRealm);
        realms.add(adminRealm);
        realms.add(schoolTeacherRealm);
        realms.add(instructorRealm);
        realms.add(universityteacherRealm);
        securityManager.setRealms(realms);
        System.out.println(securityManager.getRealms().toString());
        return securityManager;
    }


    //实习学校管理员
    @Bean(name = "schoolAdminRealm")
    public SchoolAdminRealm SchoolAdminRealm() {
        return new SchoolAdminRealm();
    }

    //学生
    @Bean(name = "studentRealm")
    public StudentRealm StudentRealm() {
        return new StudentRealm();
    }

    //管理员
    @Bean(name = "adminRealm")
    public AdminRealm AdminRealm() {
        return new AdminRealm();
    }

    //导员
    @Bean(name = "instructorRealm")
    public InstructorRealm InstructorRealm() {
        return new InstructorRealm();
    }

    //实习带队老师
    @Bean(name = "universityteacherRealm")
    public UniversityteacherRealm UniversityteacherRealm() {
        return new UniversityteacherRealm();
    }

    //实习指导老师
    @Bean(name = "schoolTeacherRealm")
    public SchoolTeacherRealm SchoolTeacherRealm() {
        return new SchoolTeacherRealm();
    }

}

5.在controller中使用重写后的UsernamePasswordToken(UserToken)即可

    //管理员登陆
    @RequestMapping(value = "/AdminLogin", produces = "text/html;charset=UTF-8")
    @ResponseBody//为了测试方便,返回字符串
    public String AdminLogin(
            @RequestParam(value = "username") String username,
            @RequestParam(value = "password") String password) {
        //获取当前用户  subject
        Subject subject = SecurityUtils.getSubject();
        //封装用户的登陆数据
        UserToken token = new UserToken(username, Md5.getMd5(password), USER_LOGIN_TYPE);
        try {
            System.out.println("AdminLogin");
            subject.login(token);//执行登陆方法
            return null;
        } catch (UnknownAccountException e) {//用户名不存在
            System.out.println("用户名错误");
            return null;
        } catch (IncorrectCredentialsException e) {//密码错误
            System.out.println("密码错误");
            return null;
        }

参考文章

山水尚书
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot集成Shiro,并使用多个Realm,35岁程序员半月4轮面试
2401_83621004的博客
04-03 482
首先,我们先看Realm是怎么被执行的Realm是被一个名叫ModularRealmAuthenticator的类执行的具体细节如下//检验是否有Realm//获取所有的Realm//如果Realm只有1个,就只执行那一个,如果Realm多个,全部都要执行自定义TokenShiro自带的UserNamePasswordToken感觉不太够用,因为下面我们要根据Token自带的属性进行区分,所以下面需要扩展UserNamePasswordToken。/***//**
SpringBootShiro 整合系列(三)多Realm验证和认证策略
12程序猿的博客
11-03 1264
系列(三)讲述 SpringBoot整合Shiro 实现Realm验证以及认证策略 目录一、使用场景二、多Realm验证配置流程:1.添加第二个Realm SecondRealm.java三、认证策略1.概念2.认证策略的使用2.1 默认使用2.1 切换认证策略 一、使用场景 我们可能会把安全数据放到不同的表中,比方说 不同类型的用户登录,这个时候我们进行用户认证时,就需要进行不同的逻辑处理,就需要多个Realm。如果有多个Realm的话,还需要涉及到认证策略的问题。 二、多Realm验证 多重认证,主要
shiro配置多个realm的方式
二十一克阳光!的博客
05-02 4130
当配置了多个Realm时,我们通常使用的认证器是shiro自带的org.apache.shiro.authc.pam.ModularRealmAuthenticator,其中决定使用的Realm的是doAuthenticate()方法 public class UserModularRealmAuthenticator extends ModularRealmAuthenticator { ...
Shiro——多个Realm的使用与实现
最新发布
程序员阿皓的博客
05-07 279
Shiro——多个Realm的使用与实现
shiro框架多realm权限认证配置
秋雨 De Blog
11-03 600
我们做shiro框架经常会遇到这种情况,用户数量很多,又不在同一个表里,比如管理员一个表,用户一个表,商家一个表。这时我们就需要用到多realm来配置让他们用不同得realm来进行权限认证
SpringBoot 整合shiro实现Realm的控制
yuemmm的博客
02-28 2105
文章目录SpringBoot 整合shiro实现Realm的控制一、场景1、假设是让你设计这个表 你会怎么设计?2、管理员的表和用户的表 假设我们都使用shiro来进行认证 ? 怎么办?3、存在两个问题二、编写代码1、导包2、配置application.properies3、编写登陆页面4、编写user模块登陆成功的页面5、编写Admin模块登陆成功的页面6、编写登陆类型的枚举7、编写校验器...
详解Spring Boot 集成Shiro和CAS
08-30
本文将详细介绍 Spring Boot 集成 Shiro 和 CAS 的知识点,帮助读者了解 Shiro 和 CAS 的概念、使用方法,以及它们在 Spring Boot 中的集成方式。 Shiro 介绍 Shiro 是一个开源的 Java 安全框架,由 Apache 软件...
Spring boot整合shiro+jwt实现前后端分离
08-25
Spring Boot 整合 Shiro+JWT 实现前后端分离 Spring Boot 框架是一个流行的 Java 框架,用于构建 Web 应用程序。Shiro 是一个强大的安全框架,提供了身份验证、授权、会话管理、加密等功能。JWT(JSON Web Token)...
spring boot整合Shiro实现单点登录的示例代码
08-28
Spring Boot 整合 Shiro 实现单点登录的示例代码 本篇文章主要介绍了 Spring Boot 整合 Shiro 实现单点登录的示例代码的知识点,旨在帮助读者快速掌握该技术的实现方法。下面是相关知识点的详细介绍: 一、Shiro ...
spring-boot-shiro:Apache ShiroSpring Boot集成
01-30
Apache ShiroSpring Boot集成 GitHub: : 用法 首先安装到本地仓库。 双向v2.0下为2.0.0版本,主要将Spring Boot升级到2.0.4.RELEASE,Shiro升级到1.4.0 mvn clean install pom.xml < groupId>...
Spring Boot 整合 Shiro+Thymeleaf过程解析
08-25
然后,需要配置 ShiroFilterFactoryBean,ShiroFilterFactoryBean 是 Shiro 的过滤器工厂,负责将 Shiro 的安全管理器与 Spring Boot 的过滤器集成Spring Boot 整合 Thymeleaf 在 Spring Boot 应用程序中整合 ...
Shiro基本使用详解以及多Realm使用和配置.rar
08-09
Shiro基本使用详解以及多Realm使用和配置,拿来可以直接使用,也可以在此基础上进行自己业务逻辑的添加和修改,如果希望进一步深入学习,可以查看我的博客,可以查看https://blog.csdn.net/u014748504/article/details/107813181,或给我留言
shiro中自定义多realm,并指定realm实现验证
qq_37941840的博客
06-13 1984
我们平常的系统建设中大多数都涉及到两种及以上的登陆方式,例如:手机号码登陆、用户名及密码登陆等,而此时我们是不是就得需要两个realm才能实现
realmshiro 使用
weixin_43952575的博客
03-28 2415
一、通过用户名、密码登陆 二、通过短信验证码登陆 一、通过用户名、密码登陆 @PostMapping("/login") @ApiOperation(value = "移动助手登陆用户") public Object login(@ApiParam(required = true, value = "登录帐号和密码") @Validated @RequestBody VisitLoginReqDTO request, HttpServletRequest httpSe
SpringBoot集成Shiro,并使用多个Realm
GDUT_Trim的博客
04-26 791
Realm的执行自定义Token自定义ModularRealmAuthenticator创建多个RealmUserRealmManagerRealm和MerchantRealm配置ShiroConfig测试 Realm是用来做授权和认证的。 最近项目上有个需求是添加上一个新角色,导致要重写整个登录接口,又不太想修改原来的代码,看着那堆屎山就有点烦,所以就打算直接加一个RealmRealm的执行 首先,我们先看Realm是怎么被执行的 Realm是被一个名叫ModularRealmAuthenticat.
Shiro的使用(五)—SpringBoot整合shiro实现Realm控制
孔明的博客
02-29 790
SpringBoot整合shiro实现Realm控制。 主要是通过对 ModularRealmAuthenticator 类中 doAuthenticate方法 的重写,按照我们自己需要的逻辑来进行配置。
SpringBoot:集成Shiro之自定义Realm实现认证授权
得不到的永远是骚栋.
01-21 1064
前言 前面的两篇博客使用了INI的形式完成了用户的认证授权操作.我曾经多次在博客中提到过INI文件形式进行认证授权只适用于用户较少的情况下,但是,当用户较多的情况下,我们可能需要数据库来管理,这时候,我们就需要自定义Realm了. 接下来,我们来看一下如何使用自定义的Realm实现认证授权操作. 自定义Realm的继承与创建 前面我们说到我们要自定义Realm,首先我们需要先确定我们定义的Realm类中所需要的功能都需要什么,我们需要缓存功能,认证功能,授权功能,三大功能 .我们首先看一下INiR..
SpringBoot 整合 Shiro(含多Relam)
SSL 的博客
03-05 158
SpringBoot整合Shiro,单Relam以及多Relam。
Springbootrealm集成,无ini文件,无xml配置
坤哥的博客
11-25 4442
网上shiro集成案例在多realm这块基本都是基于ini配置文件的,或者部分基于xml配置。本人使用springboot框架,这种技术本身出发点就是标榜少配置文件或0配置(pom除外)。所以这里我把所有配置相关都集中在代码中处理。现在列出部分代码段,完整代码可以从我前面文章中获取:Spring Boot集成无状态Shiro–内容详细介绍。两个realm realm设置: @Bean
spring boot整合shiro
04-03
4. 配置Spring BootShiro集成:在Spring Boot的配置文件中配置Shiro的相关属性,如登录页面、登录成功页面等。 5. 编写Controller:编写Controller类,处理用户登录、注销等请求,并通过Shiro进行身份验证和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值