Spring Boot 使用自定义 Realm 进行认证授权(五)

最新推荐文章于 2023-07-12 17:45:00 发布
最新推荐文章于 2023-07-12 17:45:00 发布
阅读量442 收藏
点赞数
分类专栏: shiro专题 文章标签: spring java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42081445/article/details/120331716
版权

Spring Boot 使用自定义 Realm 进行认证授权

概述

虽然 jdbcRealm 已经实现了从数据库中获取用户的验证信息,但是jdbcRealm灵活性也是稍差一些的,如果要实现自己的一些特殊应用时将不能支持,这个时候可以通过自定义realm来实现身份的认证功能。

通常自定义Realm只需要继承:AuthorizingRealm重写doGetAuthenticationInfo(用户认证)、doGetAuthorizationInfo(用户授权) 这两个方法即可。

自定义 Realm

创建 CustomRealm

public class CustomRealm extends AuthorizingRealm {

    /**
     * 模拟数据库中的用户名和密码
     */
    private Map<String, String> userMap = new HashMap<>();

    /**
     * 使用代码块初始化数据
     */ {
        userMap.put("admin", "123456");
        userMap.put("test", "123456");
    }

    /**
     * 用户授权
     *
     * @param principalCollection
     * @return org.apache.shiro.authz.AuthorizationInfo
     * @throws
     * @Author: djy
     * @UpdateUser:
     * @Version: 0.0.1
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //这个就是SimpleAuthenticationInfo(username,password,getName()); 第一个参数
//        String username= (String) SecurityUtils.getSubject().getPrincipal();
        System.out.println("开始执行*******doGetAuthorizationInfo方法啦****");
        System.out.println(SecurityUtils.getSubject().getPrincipal());
        String username = (String) principalCollection.getPrimaryPrincipal();
        //从数据库或者缓存中获取角色数据
        List<String> roles = getRolesByUsername(username);
        //从数据库或者缓存中获取权限数据
        List<String> permissions = getPerminssionsByUsername(username);
        //创建AuthorizationInfo,并设置角色和权限信息
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        authorizationInfo.addStringPermissions(permissions);
        authorizationInfo.addRoles(roles);
        return authorizationInfo;
    }

    /**
     * 用户认证
     *
     * @param authenticationToken
     * @return org.apache.shiro.authc.AuthenticationInfo
     * @throws
     * @Author: djy
     * @UpdateUser:
     * @Version: 0.0.1
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("开始执行*******doGetAuthenticationInfo方法啦****");
        //获取登录用户名
        String userName = (String) authenticationToken.getPrincipal();
        //通过用户名到数据库获取用户信息
        String password = getPasswordByUsername(userName);
        if (null == password) {
            return null;
        }
        System.out.println("密码为:" + password);
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(userName, password, getName());
        return authenticationInfo;
    }


    /**
     * 模拟通过数据库获取权限数据
     *
     * @param username
     * @return java.util.List<java.lang.String>
     * @throws
     * @Author: djy
     * @UpdateUser:
     * @Version: 0.0.1
     */
    private List<String> getPerminssionsByUsername(String username) {
        List<String> permissions = new ArrayList<>();
        /**
         * 只有是 admin 用户才有 新增、删除权限
         */
        if (username.equals("admin")) {
            permissions.add("user:delete");
            permissions.add("user:add");
        }
        permissions.add("user:edit");
        permissions.add("user:list");
        return permissions;
    }

    /**
     * 模拟通过数据库获取用户角色信息
     *
     * @param username
     * @return java.util.List<java.lang.String>
     * @throws
     * @Author: djy
     * @UpdateUser:
     * @Version: 0.0.1
     */
    private List<String> getRolesByUsername(String username) {
        List<String> roles = new ArrayList<>();
        if (username.equals("admin")) {
            roles.add("admin");
        }
        roles.add("test");
        return roles;
    }

    /**
     * 通过用户名查询密码,模拟数据库查询
     *
     * @param userName
     * @return java.lang.String
     * @throws
     * @Author: djy
     * @UpdateUser:
     * @Version: 0.0.1
     */
    private String getPasswordByUsername(String userName) {
        return userMap.get(userName);
    }

创建 testCustomRealm 方法

    @Test
    public void testCustomRealm() {
        CustomRealm customRealm = new CustomRealm();
        //1,构建SecurityManager环境
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        //设置Realm
        defaultSecurityManager.setRealm(customRealm);
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        //获取主体
        Subject subject = SecurityUtils.getSubject();
        //用户名和密码的token
        UsernamePasswordToken token = new UsernamePasswordToken("admin", "123456");
        try {
            //2,主体提交认证请求
            subject.login(token);
            System.out.println("认证状态:isAuthenticated=" + subject.isAuthenticated());
            //检查是否有角色
            subject.checkRoles("admin");
            System.out.println("有admin角色");
            //检查是否有权限
            subject.checkPermissions("user:delete", "user:edit", "user:list", "user:add");
            System.out.println("有 user:add、user:list、user:edit、user:delete权限");
        } catch (IncorrectCredentialsException exception) {
            System.out.println("用户名或密码错误");
        } catch (LockedAccountException exception) {
            System.out.println("账号已被锁定");
        } catch (DisabledAccountException exception) {
            System.out.println("账号已被禁用");
        } catch (UnknownAccountException exception) {
            System.out.println("用户不存在");
        } catch (UnauthorizedException ae) {
            System.out.println("用户没有权限");
        }
    }

测试

  • 当用户 admin 登录进来的时候 程序输出
UsernamePasswordToken token = new UsernamePasswordToken("admin", "123456");

在这里插入图片描述

  • 当用户 test 登录进来的时候 程序输出
UsernamePasswordToken token = new UsernamePasswordToken("test", "123456");

在这里插入图片描述

  • 当用户 dev 登陆进来的时候 程序输出
UsernamePasswordToken token = new UsernamePasswordToken("dev", "123456");

在这里插入图片描述

通过上述验证过程我们可以发现,shiro 更多的是帮助我们完成验证过程。我们需要从数据库查询当前用户的角色、权限,把这些信息告诉shiro框架。当我们执行用户认证的时候首先调用 doGetAuthenticationInfo进行用户认证,当我们要校验权限的时候 就会执行
doGetAuthorizationInfo 进行授权操作。

一名技术极客
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spring boot+shiro 权限认证管理案例
12-20
3. `UserRealm.java`:自定义 Realm 类,实现了认证授权逻辑。 4. `shiro.ini` 或 `shiro.yml`:Shiro 的配置文件,定义了过滤器链和 Realm 设置。 5. `WebSecurityInitializer.java`:初始化 Shiro 过滤器链的...
第二节 自定义Realm之继承AuthorizingRealm
大宇的博客,欢迎访问
05-06 1万+
一、Realm基本架构 为了快速上手,我们需要知道的是,Shiro将数据库中的数据,存放到Realm这种对象中。而Shiro提供的Realm体系较为复杂,一般我们为了使用Shiro的基本目的就是:认证授权。 所以,一般在真实的项目中,我们不会直接实现Realm接口,也不会直接继承最底层的功能贼复杂的IniRealm。我们一般的情况就是直接继......
CAS单点登录(四)——自定义认证登录策略
热门推荐
Anumbrella
08-14 1万+
在上一节中我们使用CAS自定义认证完成了多种方式的登录认证,也就是我们主要是使用CAS为我们封装的多种不同的认证方案,基本上能够满足我们多种需求的认证,如果对自定义认证不是很了解,可以先去复习一下原文——CAS单点登录(三)——自定义认证。 但是如果还是不能满足我们的需要,比如我们不仅需要用户名和密码,还要验证其他信息,比如邮箱,还有在一段时间内同一IP输入错误次数限制等。这里就需要我们自定...
SSO单点登录(三)SpringBoot+Shiro+CAS创建CAS客户端
我是混IT圈的
12-19 1460
SpringBoot+Shiro+CAS创建CAS客户端,在实际的应用中,是把这个创建的客户端做成一个通用的jar包,当有服务需要接入到CAS服务端时,就让这个服务引入这个客户端就可以了。 这个客户端是通过shiro做登录验证、以及权限验证,登录验证是验证一些如:用户是否被禁用,是否黑名单,是否被关小黑屋等等,账号和密码验证是在CAS服务端做的,这里是不做的。 这篇文章只是简单的整合了SpringBoot+Shiro+CAS。 注意:这些代码都是已经跑通过的,其中涉及到单点登录和单点登出,其中单点登录
2019年java工作面试题汇总
目不识丁
11-05 1175
临近年关,有些java人事都在考虑向新的工作发起挑战, 还是需要对相关的知识点进行系统的复习一下。整理了一些面试准备的知识点,后续会陆续的发出来,让大家更好的学习。 1. JDK 和 JRE 有什么区别? JDK:Java Development Kit 的简称,Java 开发工具包,提供了 Java 的开发环境和运行环境。 JRE:Java Runtime Environment 的简称,...
shiro自定义Realm之继承AuthorizingRealm(*)
weixin_42408447的博客
11-16 1764
一.Realm基本架构 为了快速上手,我们需要知道的是,Shiro将数据库中的数据,存放到Realm这种对象中。而Shiro提供的Realm体系较为复杂,一般我们为了使用Shiro的基本目的就是:认证授权。 所以,一般在真实的项目中,我们不会直接实现Realm接口,也不会直接继承最底层的功能贼复杂的IniRealm。我们一般的情况就是直接继承AuthorizingRealm,能够继承到认证授权功能。它需要强制重写两个方法: public class DefaultRealm extends Autho
Spring BootShiro实现权限管理
11-06
3. **自定义Realm**:实现`AuthorizingRealm`接口,处理用户的认证授权逻辑。例如: ```java public class UserRealm extends AuthorizingRealm { @Autowired private UserService userService; // 认证...
spring boot整合shiro安全框架过程解析
08-25
spring boot整合shiro安全框架是一个非常重要的知识点,在实际项目中,我们经常需要使用shiro来实现认证授权。下面我们来详细介绍spring boot整合shiro安全框架的过程。 首先,我们需要添加shiro的依赖项,包括...
Shiro自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)
最新发布
07-12 1340
Shiro自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)
shiro教程之三自定义realm
oatmeal2015的博客
08-22 329
使用java以及ini文件来测试如何利用散列以及自定义匹配器来测试自定义realm以及如何使用自己的自定义匹配器 自定义realm的项目结构 1、自定义realm,继承 AuthorizingRealm 重写3方法:getName doGetAuthorizationInfo doGetAuthenticationInfo 自定义realm public class MyReal...
Shiro学习笔记(四)--- CustomRealm
EndTheme_Xin的博客
11-08 1388
一、简介 CustomRealm自定义Realm)是通过仿造JdbcRealm,继承AuthrizingRealm, 重写doGetAuthenticationInfo(AuthenticationToken token)【认证】和 doGetAuthorizationInfo(PrincipalCollection principalCollection)【授权】方法 二、理解 自定义...
复习步骤8-获取权限数据CustomRealm提供subject桥梁,集成spring -shiro注解配置权限
香帅的博客
03-28 378
项目目录结构 和 E:\学习文档子目录压缩\框架\shiro\shiro安全框架入门\复习步骤7-获取权限数据CustomRealm提供subject桥梁,集成spring - 数据库获取用户权限角色等信息-shiro加密密码和盐存入数据库 不用的是: pom.xml 中加了一个 <!-- spring切面 注解配置授权需要的dependency --> ...
shiro从入门到实战教程】第四章 Realm解析
波哩个波的博客
07-08 918
Realm概述 IniRealm、JdbcRealm自定义Realm Shiro认证授权流程的源码解读
Shiro 自定义Realm
a1498665771的博客
02-22 184
Shiro 自定义Realm
Shiro学习2----spring boot整合(自定义Realm
mymk的博客
09-21 435
Shiro学习2----spring boot整合(自定义Realm
Shiro 实现自定义Realm
小宋的博客
06-21 5813
本篇博客讲的是如何自定义Realm。 在 https://blog.csdn.net/weixin_42236165/article/details/92801105 该博客上改进实现。 自定义Realm 1.在main的java下创建一个com.imooc.shiro.realm包然后创建CustomRealm类 CustomRealm类代码: package com.imooc.shir...
极简shiro入门
czhAL的博客
12-07 424
1.shiro是什么? Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。以下是我自己学习之后的记录。 官方架构图如下: 2.主要功能 shiro主要有三大功能模块: Subject:主体,一般指用户。 SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC中的DispatcherServlet) Realms:用于进行权限信息的验证,一
Spring Boot 2与Shiro:实战身份验证教程
接着,创建一个自定义Realm类,通常继承自`org.apache.shiro.realm.AuthorizingRealm`或`org.apache.shiro.realm.CachingRealm`,并在其中实现认证授权逻辑。 具体步骤如下: 1. 在Spring Boot项目中,除了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一名技术极客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值