第六章 Realm及相关对象(四) PrincipalCollection

最新推荐文章于 2023-01-03 14:04:32 发布
最新推荐文章于 2023-01-03 14:04:32 发布
阅读量2.3w 收藏 21
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yifanSJ/article/details/77513047
版权


之前使用过的(来点印象)

login("classpath:shiro-authenticator-all-success.ini");
Subject subject = SecurityUtils.getSubject();
//得到一个身份集合,其包含了Realm验证成功的身份信息
PrincipalCollection principalCollection = subject.getPrincipals();
Assert.assertEquals(2, principalCollection.asList().size());

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
	String username = (String) principals.getPrimaryPrincipal();
	SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
	authorizationInfo.setRoles(userService.findRoles(username));
	authorizationInfo.setStringPermissions(userService.findPermissions(username));
	return authorizationInfo;
}

PrincipalCollection是一个身份集合,因为我们可以在Shiro中同时配置多个Realm,所以呢身份信息可能就有多个;因此其提供了PrincipalCollection用于聚合这些身份信息:

public interface PrincipalCollection extends Iterable, Serializable {
	Object getPrimaryPrincipal(); //得到主要的身份
	<T> T oneByType(Class<T> type); //根据身份类型获取第一个
	<T> Collection<T> byType(Class<T> type); //根据身份类型获取一组
	List asList(); //转换为List
	Set asSet(); //转换为Set
	Collection fromRealm(String realmName); //根据Realm名字获取
	Set<String> getRealmNames(); //获取所有身份验证通过的Realm名字
	boolean isEmpty(); //判断是否为空
}

因为PrincipalCollection聚合了多个,此处最需要注意的是getPrimaryPrincipal,如果只有一个Principal 那么直接返回即可,如果有多个Principal,则返回第一个(因为内部使用Map存储,所以可以认为是返回任意一个);oneByType / byType根据凭据的类型返回相应的Principal;fromRealm 根据Realm 名字(每个Principal 都与一个Realm 关联)获取相应的Principal。

MutablePrincipalCollection是一个可变的PrincipalCollection接口,即提供了如下可变方法:

public interface MutablePrincipalCollection extends PrincipalCollection {
	void add(Object principal, String realmName); //添加Realm-Principal的关联
	void addAll(Collection principals, String realmName); //添加一组Realm-Principal的关联
	void addAll(PrincipalCollection principals);//添加PrincipalCollection
	void clear();//清空
}

目前Shiro只提供了一个实现SimplePrincipalCollection,还记得之前的AuthenticationStrategy实现嘛,用于在多Realm 时判断是否满足条件的,在大多数实现中(继承了
AbstractAuthenticationStrategy)afterAttempt 方法会进行AuthenticationInfo(实现了MergableAuthenticationInfo)的merge,比如SimpleAuthenticationInfo 会合并多个Principal为一个PrincipalCollection。


示例:

1. 准备三个Realm

public class MyRealm1 implements Realm{
	public AuthenticationInfo getAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException {
		SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
				"zhang",	//身份 字符串类型
				"123",		//凭据
				getName()	//Realm Name
		);
		return simpleAuthenticationInfo;
	}
	public String getName() {
		return "a";	//realm name为"a"
	}
	public boolean supports(AuthenticationToken token) {
		return token instanceof UsernamePasswordToken;
	}
}
2. MyRealm2

和MyRealm1完全一样,只是Realm名字为b

3. MyRealm3

public class MyRealm3 implements Realm{
	public AuthenticationInfo getAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException {
		User user = new User("zhang","123");
		SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
				user,	//身份User类型 
				"123",		//凭据
				getName()	//Realm Name
		);
		return simpleAuthenticationInfo;
	}
	public String getName() {
		return "c";	//realm name为"c"
	}
	public boolean supports(AuthenticationToken token) {
		return token instanceof UsernamePasswordToken;
	}
}
和MyRealm1同名,但返回的Principal是User类型

4. ini配置(shiro-multirealm.ini)

[main]
realm1=chapter6.realm.MyRealm1
realm2=chapter6.realm.MyRealm2
realm3=chapter6.realm.MyRealm3
securityManager.realms=$realm1,$realm2,$realm3

5. 测试用例

因为我们的Realm 中没有进行身份及凭据验证,所以相当于身份验证都是成功的,都将返回.

public class PrincialCollectionTest {
	@Test
	public void test(){
		//因为Realm里没有进行验证,所以相当于每个Realm都身份验证成功了
		login("classpath:chapter6/ini/shiro-multirealm.ini","zhang","123");
		Subject subject = SecurityUtils.getSubject();
		/*
		 * 我们可以直接调用subject.getPrincipal获取PrimaryPrincipal(即所谓的第一个);
		 * 或者通过subject.getPrincipals获取PrincipalCollection;然后通过其getPrimaryPrincipal获取PrimaryPrincipal。
		 */
		Object primaryPrincipal1 = subject.getPrincipal();
		PrincipalCollection principalCollection = subject.getPrincipals();
		/*
		 * 返回第一个,但内部是Map存储,所以可以理解为随机返回
		 */
		Object primaryPrincipal2 = principalCollection.getPrimaryPrincipal();
		//但是因为多个Realm都返回了Principal,所以此处到底是哪个是不确定的
		Assert.assertEquals(primaryPrincipal1, primaryPrincipal2);
		/*
		 * 获取所有身份验证成功的Realm名字。返回a b c
		 */
		Set<String> realmNames = principalCollection.getRealmNames();
		System.out.println(realmNames);
		//==>[a, b, c]
		/*
		 * 因为MyRealm1和MyRealm2返回的凭据都是zhang,所以排重了
		 */
		//asList和asSet的结果是一样的,因为将身份信息转换为Set/List,即使转换为List,也是先转换为Set再完成的。
		Set<Object> principals = principalCollection.asSet();
		System.out.println(principals);
		//==>[zhang, User {id=null, username=zhang, password=123, salt=null, locked=false}]
		/*
		 * 根据Realm名字获取身份,因为Realm名字可以重复,所以可能多个身份,建议Realm名字尽量不要重复。
		 */
		Collection<User> users = principalCollection.fromRealm("c");
		System.out.println(users);
		//==>[User {id=null, username=zhang, password=123, salt=null, locked=false}]
	}
	public void login(String configFile,String username,String password){
		//1. 获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
		Factory<SecurityManager> factory = new IniSecurityManagerFactory(configFile);
		//2. 得到SecurityManager实例,并绑定给SecurityUtils
		SecurityManager securityManager = factory.getInstance();
		SecurityUtils.setSecurityManager(securityManager);
		//3. 得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)
		Subject subject = SecurityUtils.getSubject();
		UsernamePasswordToken token = new UsernamePasswordToken(username,password);
		subject.login(token);
	}
}

Testdddddddddddddddd
关注
shiro之Realm相关对象 PrincipalCollection(*)
weixin_42408447的博客
11-16 811
之前使用过的(来点印象) login("classpath:shiro-authenticator-all-success.ini"); Subject subject = SecurityUtils.getSubject(); //得到一个身份集合,其包含了Realm验证成功的身份信息 PrincipalCollection principalCollection = subject.getPrincipals(); Assert.assertEquals(2, principalCollection..
Shiro第六章-各种对象详解-完整用户登录认证与授权示例
海恩的博客
04-30 434
Realm doGetAuthenticationInfo()和getAuthenticationInfo()一样,都是做用户验证和返回身份凭证的。 从调用链上,getAuthorizationInfo()会调用doGetAuthorizationInfo(),所以大部分时候是重写后者。 AuthenticationToken 收集用户提交的身份信息(如用户名和凭据(如...
Spring Shiro基础组件 PrincipalCollection
我家有猫已长成的博客
02-03 1475
Spring Shiro基础组件 PrincipalCollection 简介。
吃透Shiro源码2----PrincipalCollection、ThreadState
大宇的博客,欢迎访问
12-07 880
文章目录技术手法(1)工厂返回单例与多例(2)备忘录:如何保住旧对象状态?(3)集合如何懒加载重点研究类 技术手法 (1)工厂返回单例与多例 创建内部实例对象,如果是单例对象,那么就把创建出来的对象塞到singletonInstance中并返回这个单例对象。如果不是,那么就创建一个新对象给调用者 public abstract class AbstractFactory<T> ...
Shiro(二)一篇文章入门Shiro(入门篇)
qq_40634246的博客
03-07 240
话不多说,直接上代码。 认真观看代码,里面含有大量的注释 github上的代码,修改一下数据库的信息,就可以直接使用。附带sql文件 遗憾的是,没有实现RBAC github地址:https://github.com/ZiCheng-Web/springboot-shiro 0、创建springboot项目(springboot-shiro) 项目结构 1、修改pom.xml <?...
Shiro多Realm与身份验证
介绍Shiro多Realm与身份验证 ## 1.1 了解Shiro框架 Shiro是一个Java安全框架,提供身份认证、授权、会话管理和密码加密等安全功能。它简化了开发人员在应用程序中实现安全功能的过程,同时提供了高度灵活的配置...
Shiro第十一章-cache缓存
测试
04-30 327
缓存 Shiro提供了类似于Spring的Cache抽象,即它本身不实现cache,但是对cache进行了抽象,方便更换底层cache实现(如,Ehcache,Hazelcast,OSCache,Terracotta,Coherence,GigaSpaces,JBossCache)。 Cache接口: public interface Cache<K, V>...
shiro中Realm什么时候会执行doGetAuthorizationInfo(PrincipalCollection principalCollection)方法
f498906080的博客
11-01 3723
1、subject.hasRole(“admin”) 或 subject.isPermitted(“admin”):自己去调用这个是否有什么角色或者是否有什么权限的时候; 2、@RequiresRoles(“admin”) :在方法上加注解的时候,或者xml中配置了某个请求需要什么权限的时候; 3、[@shiro.hasPermission name = “admin”][/@shiro.hasP...
Realm相关对象PrincipalCollection的方法
qq_42298793的博客
07-14 1077
Subject subject = SecurityUtils.getSubject(); //得到一个身份集合,其包含了Realm验证成功的身份信息 PrincipalCollection principalCollection = subject.getPrincipals(); Assert.assertEquals(2, principalCollection.asList().size()); protected AuthorizationInfo doGetAuthorizatio..
Shiro概述,简单使用
慢慢的博客
07-29 286
shiro的内部结构 Subject:主体,代表了当前“用户”,通过Subject与Shiro框架进行交互。 SecurityManager:安全管理器,Shiro框架的核心,负责调度整个框架的运行 。 Realm:域,Shiro从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份, 那么它需要从Realm获取相应的用户进行比较以确定用户身份是否...
Shiro----授权
qq_48788523的博客
01-12 2238
Shiro授权 , 各司其职 , 慢慢道来
spring boot shiro redis整合principals.getPrimaryPrincipal()强制转换类型错误
啊大海全是水的博客
03-01 7948
 spring boot项目使用ShiroUser shiroUser=(ShiroUser)principals.getPrimaryPrincipal() 报错 错误:java.lang.ClassCastException:com.zyc.springboot.shiro.ShiroUser cannot be cast to com.zyc.springboot.shiro.ShiroU...
SpringBoot
最新发布
weixin_45801266的博客
01-03 429
springboot学习
Shiro学习随笔【三】授权方式
OceanSky的专栏
09-14 404
角色:角色代表了操作集合,可以理解为权限的集合,一般情况下我们会赋予用户角色而不是权限,即这样用户可以拥有一组权限,赋予权限时比较方便。典型的如:项目经理、技术总监、CTO、开发工程师等都是角色,不同的角色拥有一组不同的权限。 隐式角色:即通过角色直接控制用户的权限; 显式角色:在程序中通过权限控制谁能访问某个资源,角色聚合一组权限集合;这样假设哪个角色不能访问某个资源,只需要从角色代表的权限...
SpringBoot整合Shiro权限管理(小白必备)
08-18 291
SpringBoot整合Shiro权限管理(小白必备) 简介 最近在做项目中遇到了权限分配这一块,所以自学了下shiro,分享下自己在使用过程中遇到的问题,解决方法,还有一个demo,废话不多说,我们直接进入正题。 1.pom文件引入依赖: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/
shiro 权限认证
qq_41397689的博客
01-21 210
1.对有没有访问权限的理解。  我们这里要对系统中的 角色组、角色、用户、功能 之间的关系要理清楚,http://blog.csdn.net/baicp3/article/details/45028013方便下面用户是否具有某一url的访问。 我们看shiro的配置文件,所以的请求都是需要用户登录的 因而用户 在登录成功时候,shiro已经把该用户是否有访问某一url的权限已经判断好了。 看...
Shiro | 实现权限验证完整版
冯文议技术博客
10-22 7983
写在前面的话 提及权限,就会想到安全,是一个十分棘手的话题。这里只是作为学校Shiro的一个记录,而不是,权限就应该这样设计之类的。 Shiro框架 1、Shiro是基于Apache开源的强大灵活的开源安全框架。 2、Shiro提供了 认证,授权,企业会话管理、安全加密、缓存管理。 3、Shiro与Security对比 4、Shiro整体架构 5、特性 6、认证流程 认证 当我们理解Shi...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值