1、realm的介绍
Realm:域,Shiro 从从 Realm 获取安全数据(如用户、角色、权限),就是说 SecurityManager 要验证用户身份,那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法;也需要从 Realm 得到用户相应的角色 / 权限进行验证用户是否能进行操作;可以把 Realm 看成 DataSource,即安全数据源。如我们之前的 ini 配置方式将使用 org.apache.shiro.realm.text.IniRealm
realm接口的关系图:
自定义realm就需要,以后一般继承 AuthorizingRealm(授权)
2、jdbcRealm的实现
2.1 创建对应的数据库
2.2 导入maven的相关依赖
<dependency>
<groupId>junit</groupId>
<artifactId>junit</artifactId>
<version>4.9</version>
</dependency>
<dependency>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
<version>1.1.3</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.2.2</version>
</dependency>
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>5.1.25</version>
</dependency>
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>druid</artifactId>
<version>0.2.23</version>
</dependency>
2.3 配置ini文件
这个使用这个ini文件实际上也是使用的反射的原理
[main]
dataSource=com.alibaba.druid.pool.DruidDataSource
dataSource.driverClassName=com.mysql.jdbc.Driver
dataSource.url=jdbc:mysql://localhost:3306/shrio
dataSource.username=root
dataSource.password=123456
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
jdbcRealm.dataSource=$dataSource
securityManager=org.apache.shiro.mgt.DefaultSecurityManager
securityManager.realms=$jdbcRealm
2.4 写入测试代码进行测试
public static void main(String args[]){
//1、创建工厂
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shrio.ini");
//2、通过工厂创建SercurityManager
SecurityManager securityManager = factory.getInstance();
//3、将SecurityManager设置进入SecurityUtils
SecurityUtils.setSecurityManager(securityManager);
//4、从SecurityUtils获取主体Subject
Subject subject = SecurityUtils.getSubject();
//5、登录名和密码
UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("feng","1234567");
try {
//6、登录
subject.login(usernamePasswordToken);
//7、判断登录情况
if(subject.isAuthenticated()){
System.out.print("登录成功");
}
} catch (AuthenticationException e) {
e.printStackTrace();
System.out.print("登录成失败");
}
}
jdbcRealm回去匹配数据库的数据用户信息,和用户输入的信息做对比,看是否相同
1、变量名 = 全限定类名会自动创建一个类实例
2、变量名. 属性 = 值 自动调用相应的 setter 方法进行赋值
3、$ 变量名 引用之前的一个对象实例
3、Authenticator 及 AuthenticationStrategy
Authenticator 的职责是验证用户帐号,是 Shiro API 中身份验证核心的入口点:
public AuthenticationInfo authenticate(AuthenticationToken authenticationToken) throws AuthenticationException
如果验证成功,将返回 AuthenticationInfo 验证信息;此信息中包含了身份及凭证;如果验证失败将抛出相应的 AuthenticationException 实现。
SecurityManager 接口继承了 Authenticator,另外还有一个 ModularRealmAuthenticator 实现,其委托给多个 Realm 进行验证,验证规则通过 AuthenticationStrategy 接口指定
FirstSuccessfulStrategy:只要有一个 Realm 验证成功即可,只返回第一个 Realm 身份验证成功的认证信息,其他的忽略;
AtLeastOneSuccessfulStrategy:只要有一个 Realm 验证成功即可,和 FirstSuccessfulStrategy 不同,返回所有 Realm 身份验证成功的认证信息;
AllSuccessfulStrategy:所有 Realm 验证成功才算成功,且返回所有 Realm 身份验证成功的认证信息,如果有一个失败就失败了。
ModularRealmAuthenticator 默认使用 AtLeastOneSuccessfulStrategy 策略。
3.1 配置ini文件的策略
authenticator=org.apache.shiro.authc.pam.ModularRealmAuthenticator
securityManager.authenticator=$authenticator
\#指定securityManager.authenticator的authenticationStrategy
allSuccessfulStrategy=org.apache.shiro.authc.pam.AllSuccessfulStrategy
securityManager.authenticator.authenticationStrategy=$allSuccessfulStrategy
myRealm1=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm1
myRealm2=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm2
myRealm3=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm3
securityManager.realms=$myRealm1,$myRealm3
4、用ini文件进行,授予角色,授予权限
[users]
zhang=123,role1,role2
wang=123,role1
[roles]
role1=user:create,user:update
role2=user:create,user:delete
4.1测试代码读取ini文件,进行检验对角色的检验,权限的检验
public static void main(String args[]){
//1、创建工厂
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shrio.ini");
//2、通过工厂创建SercurityManager
SecurityManager securityManager = factory.getInstance();
//3、将SecurityManager设置进入SecurityUtils
SecurityUtils.setSecurityManager(securityManager);
//4、从SecurityUtils获取主体Subject
Subject subject = SecurityUtils.getSubject();
//5、登录名和密码
UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("feng","11111");
try {
//6、登录
subject.login(usernamePasswordToken);
//7、判断登录情况
if(subject.isAuthenticated()){
System.out.println("登录成功");
}
if(subject.hasRole("user")){
System.out.println("拥有user权限");
}
if(subject.isPermitted("user:add")){
System.out.println("拥有:user:add");
}
if(subject.isPermitted("user:delete")){
System.out.println("拥有:user:delete");
}
} catch (AuthenticationException e) {
e.printStackTrace();
System.out.print("登录成失败");
}
}