Springboot Shiro 多Realm 认证和授权

最新推荐文章于 2024-05-07 01:30:00 发布
最新推荐文章于 2024-05-07 01:30:00 发布
阅读量746 收藏 5
点赞数 1
文章标签: java shiro spring boot web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43224937/article/details/115455666
版权

Shiro 多Realm 认证和授权

一本正经教学时间

新人博主,求点赞求关注

1、多Realm

先分别编写好多个Realm各种认证和授权的规则 这里是StaffRealm.java 和 StudentRealm.java

//StaffRealm
public class StaffRealm extends AuthorizingRealm {
    @Autowired
    StaffRoleServiceImpl staffRoleService;
    @Autowired
    RolePermissionServiceImpl permissionService;
    @Autowired
    StaffServiceImpl staffService;

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addRole(Constants.StaffRole);
        Subject subject = SecurityUtils.getSubject();
        Staff staff = (Staff) subject.getPrincipal();
        List<Role> roles = staffRoleService.queryRoleByStaffId(staff.getId());
        for(Role role:roles){
            info.addRole(role.getName());
            List<String> permissions = permissionService.queryStringPermissionByRoleId(role.getId());
            info.addStringPermissions(permissions);
        }
        return info;
    }

    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken userToken = (UsernamePasswordToken)token;
        try{
            int id = Integer.parseInt(userToken.getUsername());
            Staff staff = staffService.getById(id);
            if(staff==null){
                return null;
            }
            return new SimpleAuthenticationInfo(staff,staff.getPassword(),"StaffRealm");
        }catch (NumberFormatException e){
            return null;
        }
    }
}
//StudentRealm
public class StudentRealm extends AuthorizingRealm {
    @Autowired
    StudentService studentService;
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addRole(Constants.StudentRole);
        return info;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken userToken = (UsernamePasswordToken)token;
        try{
            String id = userToken.getUsername();
            Student student = studentService.getById(id);
            if(student==null){
                return null;
            }
            return new SimpleAuthenticationInfo(student,student.getPassword(),"StudentRealm");
        }catch (NumberFormatException e){
            return null;
        }
    }
}

将这两个Realm注入到ShiroConfig的SecurityManager中,

@Bean(name="SecurityManager")
public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("MySessionManager")DefaultWebSessionManager sessionManager){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    //================================================//
        List<Realm> realms = new ArrayList<>();
        realms.add(staffRealm());
        realms.add(studentRealm());
        securityManager.setRealms(realms);//设置多Realm
    //================================================//
        return securityManager;
    }
@Bean
public StaffRealm staffRealm(){
    return new StaffRealm();
}
@Bean
public StudentRealm studentRealm(){
    return new StudentRealm();
}

2、编写一个增强的UsernamePasswordToken

主要是为了在登录使用token时,能区分以那种方式认证,该token也会在授权时被使用

public class ShiroUsernamePasswordToken extends UsernamePasswordToken {

    /*
     * 当前登录用户类型
     */
    private String userType;

    public String getUserType() {
        return userType;
    }

    public void setUserType(String userType) {
        this.userType = userType;
    }

    public ShiroUsernamePasswordToken(String username, String password, String userType) {
        super(username, password);
        this.userType = userType;
    }
}

3、重写ModularRealmAuthorizer和ModularRealmAuthenticator

ModularRealmAuthenticator:模块认证器 区分不同的Realm进行不同需求的身份验证

ModularRealmAuthorizer:模块授权器 区分不同的Realm进行不同需求的角色权限授权

UserModularRealmAuthenticator.java

我们重写ModularRealmAuthenticator中的doAuthenticate,以达到区分不同Realm认证的目的

public class UserModularRealmAuthenticator extends ModularRealmAuthenticator {

    private Logger logger = LoggerFactory.getLogger(UserModularRealmAuthenticator.class);

    /**
     * 根据用户类型判断使用哪个Realm
     */
    @Override
    protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken)
            throws AuthenticationException {
        super.assertRealmsConfigured();
        // 强制转换回自定义的CustomizedToken
        ShiroUsernamePasswordToken token = (ShiroUsernamePasswordToken) authenticationToken;
        // 登录类型
        String userType = token.getUserType();
        // 所有Realm
        Collection<Realm> realms = getRealms();
        // 登录类型对应的所有Realm
        Collection<Realm> typeRealms = new ArrayList<>();
        for (Realm realm : realms) {
            //根据登录类型和Realm的名称进行匹配区分
            if(realm.getName().contains(userType)){
                typeRealms.add(realm);
            }
        }
        // 判断是单Realm还是多Realm,有多个Realm就会使用所有配置的Realm。 只有一个的时候,就直接使用当前的Realm。
        if (typeRealms.size() == 1) {
            logger.info("doSingleRealmAuthentication() execute ");
            return doSingleRealmAuthentication(typeRealms.iterator().next(), token);
        } else {
            logger.info("doMultiRealmAuthentication() execute ");
            return doMultiRealmAuthentication(typeRealms, token);
        }
    }
}

UserModularRealmAuthorizer.java

我们重写ModularRealmAuthorizer中的isPermitted和hasRole方法,达到用不同的Realm进行不同的授权规则的目的

public class UserModularRealmAuthorizer extends ModularRealmAuthorizer {
    @Override
    public boolean isPermitted(PrincipalCollection principals, String permission) {
        assertRealmsConfigured();
        // 所有Realm
        Collection<Realm> realms = getRealms();
        HashMap<String, Realm> realmHashMap = new HashMap<>(realms.size());
        for (Realm realm : realms) {
            if (realm.getName().contains(Constants.UserType.STAFF.type)) {
                realmHashMap.put("StaffRealm", realm);
            } else if (realm.getName().contains(Constants.UserType.STUDENT.type)) {
                realmHashMap.put("StudentRealm", realm);
            }
        }

        Set<String> realmNames = principals.getRealmNames();
        if (realmNames != null) {
            String realmName = null;
            Iterator it = realmNames.iterator();
            while (it.hasNext()) {
                realmName = ConvertUtils.convert(it.next());
                if (realmName.contains(Constants.UserType.STAFF.type)) {
                    return ((StaffRealm) realmHashMap.get("StaffRealm")).isPermitted(principals, permission);
                } else if (realmName.contains(Constants.UserType.STUDENT.type)) {
                    return ((StudentRealm) realmHashMap.get("StudentRealm")).isPermitted(principals, permission);
                }
                break;
            }
        }
        return false;
    }

    @Override
    public boolean hasRole(PrincipalCollection principals, String roleIdentifier) {
        assertRealmsConfigured();
        // 所有Realm
        Collection<Realm> realms = getRealms();
        HashMap<String, Realm> realmHashMap = new HashMap<>(realms.size());
        for (Realm realm : realms) {
            if (realm.getName().contains(Constants.UserType.STAFF.type)) {
                realmHashMap.put("StaffRealm", realm);
            } else if (realm.getName().contains(Constants.UserType.STUDENT.type)) {
                realmHashMap.put("StudentRealm", realm);
            }
        }

        Set<String> realmNames = principals.getRealmNames();
        if (realmNames != null) {
            String realmName = null;
            Iterator it = realmNames.iterator();
            while (it.hasNext()) {
                realmName = ConvertUtils.convert(it.next());
                if (realmName.contains(Constants.UserType.STAFF.type)) {
                    return ((StaffRealm) realmHashMap.get("StaffRealm")).hasRole(principals, roleIdentifier);
                } else if (realmName.contains(Constants.UserType.STUDENT.type)) {
                    return ((StudentRealm) realmHashMap.get("StudentRealm")).hasRole(principals, roleIdentifier);
                }
                break;
            }
        }
        return false;
    }
}

4、注入重写的ModularRealmAuthorizer和ModularRealmAuthenticator

@Bean
public DefaultWebSecurityManager getDefaultWebSecurityManager(){
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    List<Realm> realms = new ArrayList<>();
    realms.add(staffRealm());
    realms.add(studentRealm());
    securityManager.setAuthenticator(modularRealmAuthenticator());
    securityManager.setAuthorizer(modularRealmAuthorizer());
    securityManager.setRealms(realms);

    return securityManager;
}

@Bean
public UserModularRealmAuthorizer modularRealmAuthorizer(){
    UserModularRealmAuthorizer modularRealmAuthorizer = new UserModularRealmAuthorizer();
    return modularRealmAuthorizer;
}
@Bean
public ModularRealmAuthenticator modularRealmAuthenticator() {
    UserModularRealmAuthenticator modularRealmAuthenticator = new UserModularRealmAuthenticator();
    modularRealmAuthenticator.setAuthenticationStrategy(new AtLeastOneSuccessfulStrategy());
    return modularRealmAuthenticator;
}

@Bean
public StaffRealm staffRealm(){
    return new StaffRealm();
}
@Bean
public StudentRealm studentRealm(){
    return new StudentRealm();
}

5、Controller的使用

@PostMapping("/login")
public String login(String username, String password, Model model){
    Subject subject = SecurityUtils.getSubject();
    ShiroUsernamePasswordToken token = new ShiroUsernamePasswordToken(username,password,Constants.UserType.STUDENT.type);//设置Realm的type "StudentRealm"
    try{
        subject.login(token);
        Student student = (Student)subject.getPrincipal();
        Session session = subject.getSession();
        session.setAttribute(Constants.StudentNameSession,student.getName());
        return "redirect:/";
    }catch (UnknownAccountException e){
        model.addAttribute("msg","用户名或密码错误");
        return "student/login";
    }catch (IncorrectCredentialsException e){
        model.addAttribute("msg","用户名或密码错误");
        return "student/login";
    }
}

罗里吧嗦踩坑时间

在网上找了资料 有使用到 https://blog.csdn.net/sinat_35626559/article/details/94553393
中的代码

他写的也挺详细的,但是但是但是有个小坑,还是感谢分享

按照他的步骤我运行的时候发现认证确实可以区分不同的Realm了,授权却是一直走的StaffRealm里的授权,然后Student强转Staff报错。

因为当时只重写了ModularRealmAuthorizer里的isPermitted方法打了断点看看啥情况

人家都不进这个方法里,那区分个毛
ps:主要是我用的注解是@RequiresRoles只检查Role 当时没反应过来

然后我就重写了hasRole方法

终于进方法了,但是但是但是又说我没有角色??? 我都傻了

打断点到hasRole里从return false出去的 卧槽?

检查代码之后发现principals.getRealmNames()只有一个""值,后面匹配相应的Realm的时候都配对不上就return出去了

那principals.getRealmNames()为什么只有""呢?预想应该是"StaffRealm"或者 "StudentRealm"嘛

然后开始了无尽的打断点 无尽的看源码时间

最后知道了这个principal里面有个什么info的东西,正是认证的时候传过去的

@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    UsernamePasswordToken userToken = (UsernamePasswordToken)token;
    try{
        String id = userToken.getUsername();
        Student student = studentService.getById(id);
        if(student==null){
            return null;
        }
        return new SimpleAuthenticationInfo(student,student.getPassword(),"");//就是这玩意
    }catch (NumberFormatException e){
        return null;
    }
}

我后面的参数写的就是"",一看源码

public SimpleAuthenticationInfo(Object principal, Object credentials, String realmName) {
    this.principals = new SimplePrincipalCollection(principal, realmName);
    this.credentials = credentials;
}

realmName就是这么传进来的

行吧 我改还不行嘛 然后就有了1、多Realm里写的样子

踩坑完毕!!!好好学习!天天向上!

尸体在说话.
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Springboot shiro认证授权实现原理及实例
08-19
Springboot shiro 认证授权实现原理及实例 作为一款流行的 Java 框架,Spring Boot 提供了许多插件来支持开发过程,而 Shiro 则是一个功能强大的身份验证和授权框架。下面,我们将详细介绍 Spring Boot 中如何使用 ...
springboot shiro pac4j cas jwt认证中心sso完整项目
09-11
本项目基于SpringBoot框架,结合Shiro、pac4j和CAS,构建了一个完整的JWT认证中心,旨在实现高效、安全的SSO解决方案。 1. **SpringBoot**: SpringBootSpring框架的一个扩展,它简化了Spring应用的初始搭建以及...
Shiro【自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)
07-12 1250
Shiro【自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)
Shiro-多Realm验证
weixin_34341117的博客
01-08 570
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro——多个Realm的使用与实现
最新发布
程序员阿皓的博客
05-07 344
Shiro——多个Realm的使用与实现
【多个Realm验证单点登录SSO】shiro多个Realm验证单点登录SSO步骤 Realm重写父类方法 实现多类型登录认证授权
世上哪有什么岁月静好,不过是有人替你负重前行
06-04 662
这个简单的demo主要有三个微服务组成: sso为单点登录的请求服务,system_service为管理员登录验证服务,member为会员登录验证服务。大致流程就画个图给大家看 AuthenticationService 服务层 AuthenticationService 服务层 两个controller同调用这一层 AuthenticationService 两个实现类: 重写Realm的验证 这个类注意别忘了加入Bean容器中 自定义Realm 自定义Token shiro配置 Feig.
Shrio配置多个Realm、SecurityManager认证策略
我的博客
06-15 211
如果验证成功,将返回AuthenticationInfo验证信息;此信息中包含了身份及凭证;如果验证失败将抛出相应的 AuthenticationException 实现。认证策略接口,自定义认证策略时只需要继承该类即可。一般使用默认的三种策略即可。该方法是实现认证逻辑的。
shiro
qq_62803338的博客
10-28 451
Shiro一个强大易用的java安全框架,提供了认证授权、加密、会话管理、与web集成、缓存等功能,对于任何一个应用程序,都可以提供全面的安全服务,相比其他安全框架,shiro要简单的多。为什么要使用Apache Shiro?自2003年以来,框架格局发生了很大变化,因此今天仍然有充分的理由使用Shiro。实际上有很多原因。易于使用:易于使用是该项目的最终目标。应用程序安全性可能非常令人困惑和沮丧,并被视为“必要的邪恶”。如果您使它易于使用,以使新手程序员可以开始使用它,那么就不必再痛苦了。全面。
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
在本文中,我们将详细介绍如何使用Spring Boot框架实现整合Shiro进行登录认证授权过程的解析。Shiro是Apache软件基金会下的一个基于Java的开源安全框架,提供了身份验证、授权、加密和会话管理等功能。在Spring ...
springboot整合shiro实现认证授权项目源代码
07-16
而Apache Shiro则是一个强大且易用的Java安全框架,处理认证授权、会话管理和加密等核心安全问题。本项目结合Spring BootShiro,旨在提供一个实现用户认证授权的示例。 1. **Spring Boot**: - Spring Boot...
SpringBoot 集成 Shiro 实现动态uri权限
04-22
1. **配置Shiro**: 在SpringBoot项目中引入Shiro依赖,并配置ShiroRealm,用于处理认证授权RealmShiro与应用程序的特定安全存储(如数据库)的桥梁。 2. **定义权限模型**: 设计权限、角色和用户的模型,...
前后端分离项目Shiro多端登录实现多个realm解决方案
weixin_43860634的博客
03-30 886
前后端分离项目Shiro多端登录实现多个realm解决方案
Shiro之多Realm认证认证策略-yellowcong
m0_67392010的博客
08-24 511
多重认证是操作的是多个Realm。第一种方式是,在ModularRealmAuthenticator里面可以配置多个Reamls,默认的验证策略是,至少一个满足即可(AtLeastOneSuccessfulStrategy)。建议将多Realm配置在DefaultWebSecurityManager ,将验证策略和Reaml分开来管理,也就是下面,多重认证的第二种方式。
shiro框架多realm登录认证配置
秋雨 De Blog
11-03 1321
我们做shiro框架经常会遇到这种情况,用户数量很多,又不在同一个表里,比如管理员一个表,用户一个表,商家一个表。这时我们就需要用到多realm来配置让他们用不同得realm来进行登录
shirorealm验证实现
溯洄蒹葭黎
12-03 3092
一般 我们只会用一张user表的信息来登录,这样的话我们只需要一个userRealm令牌来管理这个认证功能。但是我现在想用两张表user 和 admin 来完成 用户 和管理员分开登录 那是不是就需要两个realm呢 。可是两个该怎么弄呢 。我们都知道通常使用的认证器是shiro自带的org.apache.shiro.authc.pam.ModularRealmAuthenticator,其中决...
Shiro之多个Realm实现
qq_57907966的博客
12-26 421
实现原理:当应用程序配置多个Realm时,例如:用户名密码校验、手机验证码校验等等Shiro的ModularRealmAuthenticator会使用内部的AuthenticationStrategy组件判断认证成功还是失败。
Shiro 多个域Realm登录认证
Charge8的博客
04-21 3606
一、Realm是做什么的? Realm就是从数据库里获取数据进行登录用户和密码的认证对比工作。 在复杂项目中,很可能会出现,登录认证的用户数据,来自另一个数据表,有时甚至不在一个数据库,这种情况下就需要多个Realm进行登录认证。 从前面跟踪subject.login(token);方法的源码,其实就可以发现shiro是支持多个Realm的。Mod...
第三章 授权——《跟我学Shiro
jinnianshilongnian的专栏
02-21 713
  目录贴: 跟我学Shiro目录贴   授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 主体 主体,即访问应用的用户,在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。 资源 在应...
shiro框架多realm权限认证配置
秋雨 De Blog
11-03 605
我们做shiro框架经常会遇到这种情况,用户数量很多,又不在同一个表里,比如管理员一个表,用户一个表,商家一个表。这时我们就需要用到多realm来配置让他们用不同得realm来进行权限认证
springboot shiro原码解析
05-15
SpringBoot Shiro 是一种基于 SpringBoot 框架和 Shiro 安全框架的开发方式,可以实现灵活的权限控制和用户认证,广泛用于企业级应用系统中。SpringBoot Shiro 的原码解析可以深入了解 Shiro 的工作原理和 SpringBoot 的集成方式。 SpringBoot Shiro 的原码包括 SpringBootShiro 的源代码,其中 SpringBoot 负责应用的开发和集成,Shiro 负责安全框架和权限控制。在原码解析中,需要重点关注 SpringBoot Shiro 配置文件和相关注解的使用,如 @Configuration、@Bean、@RequiresRoles、@RequiresPermissions 等,这些注解可以对应用进行简单而优雅的权限控制和认证。 另外,原码解析还需要了解 SpringBoot Shiro 的核心组件,包括 Realm、FilterChain、Subject 等,以及它们之间的联系和作用。RealmShiro认证授权数据源,它可以从数据库、LDAP 等不同数据源获取用户信息和权限信息;FilterChain 是一系列过滤器的集合,它可以在请求处理前后进行拦截并进行安全控制;Subject 是 Shiro 的核心对象,它代表当前的用户,可以进行登录、注销、角色授权、权限校验等操作。 总体来说,SpringBoot Shiro 的原码解析需要关注 ShiroSpringBoot 的基本概念,以及它们之间的集成和配置方式。只有深入理解代码的原理和机制,才能编写出高效、安全、易于维护的企业级应用系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值