自定义Realm与认证策略

最新推荐文章于 2023-07-12 17:45:00 发布
最新推荐文章于 2023-07-12 17:45:00 发布
阅读量199 收藏
点赞数
分类专栏: Shiro 从入门到项目实战 文章标签: shiro java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wk19920726/article/details/105217026
版权

作为一个优秀的安全框架,你不止可以使用它内部提供的强大功能,还可以根据需要去实现接口定制自己需要的功能,前面我们使用IniReam和JdbcRealm作为资源去获取用户和授权信息。但是我们不得不按照Shiro提供的用户和权限格式去做,比如JdbcRealm假如我们有更加复杂的表结构,则使用JdbcRealm则可能显得极为复杂,此时,我们就可以自定义Realm去获取相关数据源,该篇除了介绍自定义Realm,我们还会介绍认证策略。

自定义Realm

前面使用了IniRealm和JdbcRealm,我们通过工具可以知道他们继承关系,如下图所示:

上面的类图继承关系中,Realm为根接口, 它是一个安全组件去控制安全相关的实体(用户,角色,权限)等的认证或者授权操作的访问。它有三个方法:String getName()获取Realm实现类的名称;boolean supports(AuthenticationToken token)验证是否支持AuthenticationToken 实例,AuthenticationInfo getAuthenticationInfo(AuthenticationToken token)返回一个具体的账户信息,如果获取不到则返回空,该方法是自定义Realm的根本。CacheRealm增加了缓存相关功能,AuthenticatingRealm则是添加了了认证的相关功能,AuthoringReam则是添加了授权的功能。所有的自定义Realm需要集成AuthoringReam。如下代码详解:

public class CustomizedRealm extends AuthorizingRealm {

    //该方法将用户的角色和权限信息封装成AuthorizationInfo实例,交给Shiro管理
    //后续的所有权限问题,都可以由Shiro进行控制
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection     principals) {
    Set<String> roles = new HashSet<String>();
    //可以从数据库查询角色,根据PrincipalCollection实例中的用户信息
    SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
    info.addRoles(roles);
    //可以从数据库查询权限,根据PrincipalCollection实例中的用户信息
    Set<String> permissions = new HashSet<String>();
    info.setStringPermissions(permissions);
    return info;
    }

    //该方法将用户认证信息封装成AuthenticationInfo实例,如果账号信息不存在,则返回null
    //认证的后续操作也是由Shiro来完成	
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    UsernamePasswordToken upt = (UsernamePasswordToken) token;
    String userName = upt.getUsername();
    String password = String.valueOf(upt.getPassword());
    //可以从数据库查询用户信息,存在就封装成AuthenticationInfo 实例,不存在则返回空即可
    if("pharos".equals(userName) && "333".equals(password)) {
        AuthenticationInfo info = new SimpleAccount(userName, password, getName());
        return info;
        }
    return null;
    }
}

自定义Realm很简单,就是继承AuthoringReam,然后自己实现doGetAuthorizationInfo和doGetAuthenticationInfo方法将用户信息和角色权限信息分别封装成AuthenticationInfo和AuthorizationInfo。

认证策略

Shiro可以支持多个Realm做认证和授权,在单一的Realm中ModularRealmAuthenticator直接调用这个单一的Realm,如果有两个或两个以上的 Realm 配置,它将使用 AuthenticationStrategy 实例来调整这些尝试如何出现。下面我们将介绍Shiro的认证策略:
AuthenticationStrategies。Shiro中定义了三种具体的AuthenticationStrategies实现:

策略描述
AtLeastOneSuccessfulStrategy
如果一个(或更多) Realm 验证成功,则整体的尝试被认为是成功的。如果没有一个验证成功, 则整体尝试失败。
FirstSuccessfulStrategy
只有第一个成功地验证的 Realm 返回的信息将被使用。所有进一步的 Realm 将被忽略。如果没有 一个验证成功,则整体尝试失败。
AllSucessfulStrategy
为了整体的尝试成功,所有配置的 Realm 必须验证成功。如果没有一个验证成功,则整体尝试失
ModularRealmAuthenticator 默认的是 AtLeastOneSuccessfulStrategy 实现,因为这是最常所需的方案,你也可以根据需要配置适合的策略,甚至自定义策略: 
[main]
# 配置两个Realm
dataSource = com.alibaba.druid.pool.DruidDataSource
dataSource.url = jdbc:mysql://localhost:3306/shiro
dataSource.username= root
dataSource.password = 123456
jdbcRealm = org.apache.shiro.realm.jdbc.JdbcRealm
jdbcRealm.dataSource = $dataSource
customizedRealm = cn.org.microservice.strategy.realm.CustomizedRealm
securityManager.realms=$customizedRealm,$jdbcRealm
#配置策略
strategy = org.apache.shiro.authc.pam.AllSuccessfulStrategy
securityManager.authenticator.authenticationStrategy = $strategy

自定义策略需要继承AbstractAuthenticationStrategy类,具体的实现可以参考Shiro提供的三个策略。

微服务技术栈
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro-----认证策略
qq_48788523的博客
01-09 2375
睡前小文章,学完睡更香
shiro web中自定义Realm
02-01
总的来说,自定义Realm是Shiro框架中的关键部分,它允许开发者根据具体的应用场景进行扩展,以实现更精细的身份验证和授权策略。通过理解并实践自定义Realm的创建过程,我们可以更好地利用Shiro来保护我们的Web应用...
微服务系统中的认证策略
weixin_33849942的博客
12-13 156
软件安全本身就是个很复杂的问题,由于微服务系统中的每个服务都要处理安全问题,所以在微服务场景下会更复杂。David Borsos在最近的伦敦微服务大会上作了相关内容的演讲,并评估了四种面向微服务系统的身份验证方案。 在传统的单体架构中,单个服务保存所有的用户数据,可以校验用户,并在认证成功后创建HTTP会话。在微服务架构中,用户是在和服务集合交互,每个服务都有可能需要知道请求的用户是谁。一种朴素...
验证策略/plan
oldmoney
02-03 565
Apache Shiro 认证过程
王浩的技术博客
10-11 245
3.1.1 示例 Shiro验证Subjects 的过程中,可以分解成三个不同的步骤: 1. 收集Subjects 提交的Principals(身份)和Credentials(凭证); 2. 提交Principals(身份)和Credentials(凭证)进行身份验证; 3. 如果提交成功,则允许访问,否则重新进行身份验证或者阻止访问。 收集身份/凭据信息 //Example...
Shiro【自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)
最新发布
07-12 1250
Shiro【自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)
从实例入手学习Shiro自定义Realm实现查询数据进行验证示例代码.zip
05-12
本实例将通过自定义Realm来演示如何使用Shiro从数据库中查询数据进行用户验证。 首先,我们需要了解 Realm 的基本概念。在Shiro中, Realm 是一个接口,它实现了认证和授权的功能。默认的 Realm 类型包括 JdbcRealm...
springboot-shiro认证系统框架--成型框架
09-17
- 自定义RealmRealm是Shiro与应用数据源的接口,通常需要自定义 Realm 类,实现用户的认证和授权逻辑,连接到数据库或其他数据存储。 - 过滤器链:Shiro的Filter Chain定义了请求的处理流程,如登录、权限检查...
定义密钥披风
02-28
这可能包括自定义登录界面、添加额外的安全策略或者与后端系统进行更深度的集成。JavaScript库`keycloak-js`是Keycloak官方提供的客户端库,用于在浏览器环境中与Keycloak服务器通信,实现用户的登录、注销以及令牌...
pring与shiro集成共7页.pdf.zip
10-29
通常需要自定义Realm,实现与数据库或其他数据源的交互。 - Session管理:Shiro提供独立于Servlet容器的会话管理,可以在分布式环境中实现会话共享。 - Filter:Shiro通过一系列的Filter实现其功能,如authc(认证...
shiro(七)自定义Realm实现授权
LDF_WICIQI的博客
07-31 176
仅仅通过配置文件来指定权限不够灵活,并且不方便。在实际的应用中大多数情况下都是将用户信息,角色信息,权限信息保存到了数据库中。所以需要从数据库中获取相关的数据信息。可以使用shiro提供的jdbdRealm来实现。也可以自定义Realm来实现。使用jdbcrealm往往也不够灵活,所以在实际应用中大多数情况下都是使用自定义Realm来实现. 自定义Realm需要继承AuthorizingReal...
第二章 身份验证 (二) Realm + Authenticator及AuthenticationStrategy
yifanSJ的博客
08-16 1576
Realm:域,Shiro 从从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource , 即安全数据源。如我们之前的ini 配置方式将使用org.apache.shiro.re
Spring Boot -Shiro配置多Realm
weixin_33966365的博客
03-04 212
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro安全框架第五篇| 使用JdbcRealm进行认证授权
September的博客
12-06 1552
  JdbcRealm 这里使用JdbcRealm,那么需要在pom.xml引入mysql驱动以及alibaba数据源。 1    &lt;!--mysql驱动--&gt; 2        &lt;dependency&gt; 3        &lt;groupId&gt;mysql&lt;/groupId&gt; 4        &lt;artifactId&gt;mysq...
Shiro之多Realm认证认证策略-yellowcong
12-17 9104
多重认证是操作的是多个Realm。第一种方式是,在ModularRealmAuthenticator里面可以配置多个Reamls,默认的验证策略是,至少一个满足即可(AtLeastOneSuccessfulStrategy)。建议将多Realm配置在DefaultWebSecurityManager ,将验证策略和Reaml分开来管理,也就是下面,多重认证的第二种方式
shiro权限之自定义 jdbcRealm测试
qq_31162311的博客
05-08 330
引入mysql相关依赖 <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> </dependency> <dependency> <gro...
Shiro——认证策略
Ascend2015的博客
11-19 637
在上一篇中介绍了一下关于多个realm的配置,那么随之而来的疑问是,当我们配置好多个realm之后,当用户进行登录操作时,是同时满足所有realm才算认证成功还是说,只要有一个或者部分realm即可?这就涉及到了认证策略的问题。所以这里也说一下。 关于AuthenticationStategy: FirstSuccessfulStrategy:只要第一个realm验证成功即可,只返回第一个real
选择适合的Node.js授权认证策略
热门推荐
chszs的专栏
05-03 1万+
选择适合的Node.js授权认证策略作者:chszs,转载需注明。博客主页:http://blog.csdn.net/chszs英文原文:https://stormpath.com/blog/choosing-nodejs-authentication-strategy/Node.js正在兴起!我从2010年就开始使用Node工作,那个时侯我看着它从一个很小的个人项目成长为一个全功能的、能够让现代
Shiro: 实现按身份区分的 Realm 验证策略
然而,为了满足特定的需求,比如根据用户角色(普通用户或管理员)选择不同的Realm进行验证,我们需要自定义认证器的行为。为此,可以创建一个`ModularRealmAuthenticator`的子类,并重写`doAuthenticate`方法。在这...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值