shiro学习笔记(四)

最新推荐文章于 2022-11-03 10:30:04 发布
最新推荐文章于 2022-11-03 10:30:04 发布
阅读量201 收藏
点赞数 1
分类专栏: shiro 文章标签: shiro springboot 后端 spring 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41922289/article/details/86533424
版权

今日内容:

  • spring boot整合shiro实现多realm认证

spring boot整合shiro实现多realm认证

在一些情况下我们数据库有多张表,登录的时候需要查不同的表,判断是否有该用户,这时候,一个realm就显得有心无力,所以多realm认证也是shiro中一项很强大的功能。
通过走源码。

    protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
            this.assertRealmsConfigured();
            Collection<Realm> realms = this.getRealms();
            return realms.size() == 1 ? this.doSingleRealmAuthentication((Realm)realms.iterator().next(), authenticationToken) : this.doMultiRealmAuthentication(realms, authenticationToken);
        }

我们发现 ModularRealmAuthenticator 类中,这个方法就是判断realm的数量,然后分别执行相应的方法。单个realm执行的相应方法就不说了,看多realm时执行的doMultiRealmAuthentication(realms, authenticationToken)方法

    protected AuthenticationInfo doMultiRealmAuthentication(Collection<Realm> realms, AuthenticationToken token) {
             //认证策略
            AuthenticationStrategy strategy = this.getAuthenticationStrategy();
            AuthenticationInfo aggregate = strategy.beforeAllAttempts(realms, token);
            if (log.isTraceEnabled()) {
                log.trace("Iterating through {} realms for PAM authentication", realms.size());
            }
    
            Iterator var5 = realms.iterator();
    		
    		//取出每一个realm
            while(var5.hasNext()) {
                Realm realm = (Realm)var5.next();
                aggregate = strategy.beforeAttempt(realm, token, aggregate);
                if (realm.supports(token)) {
                    log.trace("Attempting to authenticate token [{}] using realm [{}]", token, realm);
                    AuthenticationInfo info = null;
                    Throwable t = null;
    
                    try {
                    	//执行该方法,他是一个接口方法,直接到下边的实现方法
                        info = realm.getAuthenticationInfo(token);
                    } catch (Throwable var11) {
                        t = var11;
                        if (log.isDebugEnabled()) {
                            String msg = "Realm [" + realm + "] threw an exception during a multi-realm authentication attempt:";
                            log.debug(msg, var11);
                        }
                    }
    
                    aggregate = strategy.afterAttempt(realm, token, info, aggregate, t);
                } else {
                    log.debug("Realm [{}] does not support token {}.  Skipping realm.", realm, token);
                }
            }
    
            aggregate = strategy.afterAllAttempts(token, aggregate);
            return aggregate;
        }

接着

    public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
            AuthenticationInfo info = this.getCachedAuthenticationInfo(token);
            if (info == null) {
            //重点在这,就会回来自定义的realm
                info = this.doGetAuthenticationInfo(token);
                log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);
                if (token != null && info != null) {
                    this.cacheAuthenticationInfoIfPossible(token, info);
                }
            } else {
                log.debug("Using cached authentication info [{}] to perform credentials matching.", info);
            }
    
            if (info != null) {
                this.assertCredentialsMatch(token, info);
            } else {
                log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);
            }
    
            return info;
        }

所以,多realm认证开始:

1.自定义一个ModularRealmAuthenticator类

    public class NewAuthenticator extends ModularRealmAuthenticator {
    
        /**
         * 自定义 ModularRealmAuthenticator
         * @param authenticationToken
         * @return
         * @throws AuthenticationException
         */
        @Override
        protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
            // 判断getRealms()是否返回为空
            assertRealmsConfigured();
            // 强制转换回自定义的Token
            NewToken token = (NewToken) authenticationToken;
            // 所有Realm
            Collection<Realm> realms = getRealms();
            //登录类型
            String loginType = token.getLoginType();
            //判断realm为哪种登录类型
            List<Realm> typeRealms = new ArrayList<>();
            for (Realm realm : realms) {
                if (realm.getName().contains(loginType)) {
                    typeRealms.add(realm);
                }
            }
            // 判断是单Realm还是多Realm
            if (realms.size() == 1)
                return doSingleRealmAuthentication(typeRealms.iterator().next(), token);
            else
                return doMultiRealmAuthentication(typeRealms, token);
        }
    
    }

2.自定义UsernamePasswordToken类

    public class NewToken extends UsernamePasswordToken {
    
        /**
         * 自定义UsernamePasswordToken
         */
        private String loginType;
    
        public String getLoginType() {
            return loginType;
        }
    
        public void setLoginType(String loginType) {
            this.loginType = loginType;
        }
    
        public NewToken(String username, String password, String loginType) {
            super(username, password);
            this.loginType = loginType;
        }
    }

3.在shiroConfig配置类中配置

     //自定义ModularRealmAuthenticator
        @Bean
        public ModularRealmAuthenticator modularRealmAuthenticator(){
            NewAuthenticator newAuthenticator = new NewAuthenticator();
            //认证策略
            newAuthenticator.setAuthenticationStrategy(new AtLeastOneSuccessfulStrategy());
            return newAuthenticator;
        }
    
        //创建realm实体bean,交给spring容器
        @Bean(name="loginRealm")
        public StuLoginRealm getLoginRealm(@Qualifier("CredentialsMatcher") CredentialsMatcher credentialsMatcher){
            StuLoginRealm stuLoginRealm = new StuLoginRealm();
            stuLoginRealm.setCredentialsMatcher(credentialsMatcher);
            System.out.print("realm已经加载");
            return stuLoginRealm;
        }
    
        @Bean(name="manLoginRealm")
        public ManLoginRealm getManLoginRealm(@Qualifier("CredentialsMatcher") CredentialsMatcher credentialsMatcher){
            ManLoginRealm manLoginRealm = new ManLoginRealm();
            manLoginRealm.setCredentialsMatcher(credentialsMatcher);
            System.out.print("Manrealm已经加载");
            return manLoginRealm;
        }
    
        //创建securityManager 关联realm
        @Bean(name="securityManager")
        public DefaultWebSecurityManager getSecurityManager(@Qualifier("CredentialsMatcher") CredentialsMatcher credentialsMatcher){
            DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
            //配置自定义的modularRealmAuthenticator
            securityManager.setAuthenticator(modularRealmAuthenticator());
            //配置realms
            List<Realm> realms = new ArrayList<>();
            realms.add(getLoginRealm(credentialsMatcher()));
            realms.add(getManLoginRealm(credentialsMatcher()));
            securityManager.setRealms(realms);
            System.out.print("安全管理器已经加载");
            return securityManager;
        }
    
        //shiro AOP 支持
        @Bean
        public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(){
            AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
            authorizationAttributeSourceAdvisor.setSecurityManager(getSecurityManager(credentialsMatcher()));
            return authorizationAttributeSourceAdvisor;
        }
Kevin_cai09
关注
专栏目录
shiro学习笔记shiro拦截器与url匹配规则
chunlulin2540的博客
08-17 1939
综合实例:基于shiro的按钮级别的权限管理系统 一、使用场景举例 注:shiro过滤器与url匹配规则一般使用在定义的shiroFilter中,用于对指定的资源进行过滤 二、URL匹配规则 (1)“?”:匹配一个字符,如”/admin?”,将匹配“ /admin...
16-java安全——shiro1.2.4用户认证流程分析
网络安全
09-06 614
1. shiro的基础 shiro 是apache开源的一个安全框架,它将软件系统的安全认证相关功能抽取出来,例如把用户身份安全认证,权限授权、加密、会话管理等功能组成了一个通用的安全认证框架,然后开发人员通过shiro提供的API接口可以使用身份认证,权限管理等功能来保护web应用程序。 shiro中有两个概念比较重要,一个是身份认证,另一个是授权: 身份认证就是判断一个用户是否为合法用户的处理过程。简单来理解就是系统通过用户输入的用户名和口令是否正确来校验用户的身份信息。 所谓授权就是
Shiro学习笔记(二):自定义Realm的实现
weixin_47382783的博客
12-06 597
上一篇文章中提到了Realm,它相当于datasource数据源,SecurityManager进行安全验证时需要通过Realm获取用户权限数据,比如:如果用户身份数据在数据库,那么Realm就需要从数据库中获取用户身份信息。因此,在本文中我们将通过跟踪源码的形式来看一下Shiro中的认证和授权是如何完成的。 1、 源码跟踪 以上一篇文章的代码为例,在subject.login()进行断点调试,整体过程如下: (1)进入DelegatingSubject的login()方法。 ...
6.Authorizer(授权、访问控制)
浪子
09-07 2142
Authorizer主要是执行授权操作,即访问资源的控制。在shiro里,authorizer通常不直接使用,而是配置在SecurityManager里,由SecurityManager委托调用。 AuthorizingRealm和ModularRealmAuthorizer 前面讲过一个AuthorizingRealm,它也实现了Authorizer的接口。 AuthorizingRealm
使用自定义Realm后如何进行认证及授权
Randal_wang的博客
10-26 993
在使用自定义Realme之后subject如何进行认证 securityManager配置 @Bean public DefaultWebSecurityManager securityManager(AdminRealm adminRealm, WxRealm wxRealm, DefaultWebSessionManager sessionManager,
Shiro认证过程--源码分析
↓ ↓ ↓ ↓
03-14 5266
Shiro认证过程源码分析这篇文章会根据源码分析一下Shiro实现认证的过程,(不涉及Shiro的Filter对url的处理,只从Subject的login()方法开始分析)注: 配置文件和代码都放在文章最下面准备工作:1.login.jsp: 登录界面,用户在此输入username和password 2.success.jsp: 登录成功的界面3.LoginController: 接收login...
shiro学习笔记
04-03
这份"Shiro学习笔记"可能包含了以下主题: - Shiro的安装与配置 - Shiro基本概念详解 - Realm的创建与使用 - 登录与登出流程 - 权限控制机制 - 缓存管理和会话管理 - ShiroSpring的整合 - Shiro的Filter链配置 - ...
shiro学习笔记次课,从入门到案例)
06-15
Shiro01-概念、入门、认证的基本使用; Shiro02-认证加密,授权; Shiro03-SpringBoot集成、注册、登录; Shiro04-SpringBoot授权,Shiro注解、Shiro标签
shiro学习笔记.rar
10-06
学习笔记主要涵盖了如何在Spring Boot项目中整合Shiro,并实现用户认证和授权,以及图片验证码的实现。 **1. Shiro 概述** Shiro 的核心组件包括 Realm(域)、Subject(当前操作用户)、Session Manager(会话...
解决shiro报错 No realms have been configured
旧风年间的博客
11-20 2230
完整报错信息 SLF4J: Failed to load class "org.slf4j.impl.StaticLoggerBinder". SLF4J: Defaulting to no-operation (NOP) logger implementation SLF4J: See http://www.slf4j.org/codes.html#StaticLoggerBinder fo...
Shiro认证源码图文解析
GDUT_Trim的博客
04-28 452
Shiro担任什么角色?Shiro三大对象认证源码分析Subject.Login()方法this.SecurityManager.login()CachingSecurityManagerRealmSecurityManagerAuthenticatingSecurityManagerAuthorizingSecurityManagerSessionSecurityManagerDefaultSecurityManagerDefaultSecurityManager获取认证信息Authentication.
Springboot ShiroRealm 认证和授权
weixin_43224937的博客
04-06 842
ShiroRealm 认证和授权 一本正经教学时间 新人博主,求点赞求关注 1、多Realm 先分别编写好多个Realm各种认证和授权的规则 这里是StaffRealm.java 和 StudentRealm.java //StaffRealm public class StaffRealm extends AuthorizingRealm { @Autowired StaffRoleServiceImpl staffRoleService; @Autowired Rol
shiro实现多个realm的认证和授权
kuai_le_de_xiao_erbi的博客
01-02 4897
认证的话大家可以参考这个链接shiro实现不同身份使用不同Realm进行验证 这里具体说一下授权的处理,下面是我的代码public class CustomerAuthrizer extends ModularRealmAuthorizer { @Override public boolean isPermitted(PrincipalCollection principals,
shiro框架多realm权限认证配置
秋雨 De Blog
11-03 658
我们做shiro框架经常会遇到这种情况,用户数量很多,又不在同一个表里,比如管理员一个表,用户一个表,商家一个表。这时我们就需要用到多realm来配置让他们用不同得realm来进行权限认证
shirorealm抛出异常问题
qq_46416934的博客
04-07 969
shirorealm抛出异常问题 关于这个问题百度会搜到很多内容,但是大多数都不全,只是提到了一部分内容,所以综合本人以及网上搜到的内容,提出如下解决方案: 我是使用了两个Realm,一个用于用户登录验证和访问权限获取;一个用于jwt token的认证,所以出现了 Authentication token of type [class org.apache.shiro.authc.Username PasswordToken] could not be authenticated by any confi
ShiroRealm认证
u014268482的博客
07-05 327
查看源代码,发现: assertRealmsConfigured(); Collection&lt;Realm&gt; realms = getRealms(); if (realms.size() == 1) { return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken); } ...
Shiro的多Realm验证的实现--shiro实现不同身份使用不同Realm进行验证
Buggggggg
05-10 4327
如果要看多Realm进行授权: 请参看 https://blog.csdn.net/u013294097/article/details/90066869 假设现在有这样一种需求:存在两张表user和admin,分别记录普通用户和管理员的信息。并且现在要实现普通用户和管理员的分开登录,即需要两个Realm——UserRealm和AdminRealm,分别处理普通用户和管理员的验证功能。 ...
Shiro源码分析(十一)——鉴权流程
MIKE2333的博客
12-26 391
2021SC@SDUSC
shiro登录认证过程
csdn565973850的博客
03-24 3035
shiro登录认证过程 登录方法 可以看到已经获取到了username、password和rememberMe ,为了接下来的认证过程,我们需要获取subject对象,也就是代表当前登录用户,并且要将username和password、rememberMe 两个变量设置到UsernamePasswordToken对象的token中, 调用SecurityUtils.getSubject().lo...
Shiro权限管理框架学习笔记
"Shiro学习心得与应用" Apache Shiro 是一个强大且易用的Java安全框架,主要用于身份验证、授权、会话管理和加密等安全相关功能。在学习Shiro的过程中,我们可以了解到它的一些核心概念和常见应用场景。 首先,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值