shiro实例 realm

最新推荐文章于 2022-07-26 09:12:03 发布
最新推荐文章于 2022-07-26 09:12:03 发布
阅读量264 收藏
点赞数
分类专栏: shiro 学习 文章标签: shiro 实例 spring mvc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zmq52007/article/details/78869795
版权

为了方便说明我用springmvc 与springmvc整合shiro来类比。

springmvc中,controler是用来把登录请求交给具体的service层处理的

@Controller
@RequestMapping("/login")
public class LoginHandler {
    private static final Logger log = LogManager.getLogger(LoginHandler.class);

    @ResponseBody
    @RequestMapping("/doLogin")
    public String login(User user, Model model) {
        //调用service处理请求
    }

而整合shiro后,controler不再直接处理登录请求,而是把他交给realm处理,下面代码就是把处理给realm的实现:

public String login(User user, Model model) {
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = null;
        String info = null;
        if (null != user) {
            token = new UsernamePasswordToken(user.getU_name(), subject.getSession().getAttribute("password").toString().trim().toCharArray());
            if (subject.getSession().getAttribute("rememberMe").toString().trim().equals("true"))
                token.setRememberMe(true);
            log.info("记住我: " + subject.getSession().getAttribute("rememberMe"));
        }
        try {
            subject.login(token);
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            info = e.getMessage();
        } catch (IncorrectCredentialsException e) {
            e.printStackTrace();
            info = "密码不匹配(生产环境中应该写:用户名和密码的组合不正确)";
        } catch (LockedAccountException e) {
            e.printStackTrace();
            info = e.getMessage();
        }
        if (info == null) {
            return "true";
        }
        model.addAttribute("msg", info);
        return "false";
    }

现在我们安顺序了解
1)Subject
Subject 是 Shiro 的核心对象,基本所有身份验证、授权都是通过 Subject 完成。
1、身份信息获取

Object getPrincipal(); //Primary Principal
PrincipalCollection getPrincipals(); // PrincipalCollection

2、身份验证

void login(AuthenticationToken token) throws AuthenticationException;
boolean isAuthenticated();
boolean isRemembered();

通过 login 登录,如果登录失败将抛出相应的 AuthenticationException,如果登录成功调用 isAuthenticated 就会返回 true,即已经通过身份验证;如果 isRemembered 返回 true,表示是通过记住我功能登录的而不是调用 login 方法登录的。isAuthenticated/isRemembered 是互斥的,即如果其中一个返回 true,另一个返回 false。
3、角色授权验证

boolean hasRole(String roleIdentifier);
boolean[] hasRoles(List<String> roleIdentifiers);
boolean hasAllRoles(Collection<String> roleIdentifiers);
void checkRole(String roleIdentifier) throws AuthorizationException;
void checkRoles(Collection<String> roleIdentifiers) throws AuthorizationException;
void checkRoles(String... roleIdentifiers) throws AuthorizationException;

hasRole 进行角色验证,验证后返回 true/false;而 checkRole 验证失败时抛出 AuthorizationException 异常。
4、权限授权验证

boolean isPermitted(String permission);
boolean isPermitted(Permission permission);
boolean[] isPermitted(String... permissions);
boolean[] isPermitted(List<Permission> permissions);
boolean isPermittedAll(String... permissions);
boolean isPermittedAll(Collection<Permission> permissions);
void checkPermission(String permission) throws AuthorizationException;
void checkPermission(Permission permission) throws AuthorizationException;
void checkPermissions(String... permissions) throws AuthorizationException;
void checkPermissions(Collection<Permission> permissions) throws AuthorizationException;

isPermitted 进行权限验证,验证后返回 true/false;而 checkPermission 验证失败时抛出 AuthorizationException。
5、会话

Session getSession(); //相当于getSession(true)
Session getSession(boolean create);

类似于 Web 中的会话。如果登录成功就相当于建立了会话,接着可以使用 getSession 获取;如果 create=false 如果没有会话将返回 null,而 create=true 如果没有会话会强制创建一个。
6、退出

void logout();

ps:这并不是全部的方法,剩下的请自行了解。

而需要使用subject我们就需要在spring-shiro.xml,web.xml中配置

<!-- spring-shiro.xml 安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="myRealm"/>
    ...<!-- 具体请看环境准备 或者我的实例 -->
</bean>

<!-- 自定义realm -->
<bean id="myRealm" class="com.zm.web_shiro.realm.CustomRealm">
        <!-- 用属性时需要getter,setter service -->
       <!-- <property name="userService" ref="userService"/>-->
</bean>
<!-- 注解 @Autowired时使用 -->
<bean id="userService" class="com.zm.web_shiro.service.impl.UserServiceImpl" />


<!-- Shiro的Web过滤器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/jsp/login.jsp"/>
        <property name="unauthorizedUrl" value="/jsp/unauthorized.jsp"/>
        <property name="filterChainDefinitions">
            <value>
                /index.jsp = anon
                /unauthorized.jsp = anon
                /jsp/login.jsp = anon
                /jsp/admin.jsp = authc,KickoutSessionControlFilter
                /jsp/user.jsp = user,KickoutSessionControlFilter
                /login/doLogout = logout
                /login/code = VcodeControlFilter
                /login/** = accessControlFilter
                /jsp/** = user,KickoutSessionControlFilter
                <!-- 资源 -->
                /css/** = anon
                /js/** = anon
            </value>
        </property>
        <property name="filters">
            <map>
                <!-- 拦截器请看后面 -->
                <entry key="accessControlFilter" value-ref="accessControlFilter" />
                <entry key="KickoutSessionControlFilter" value-ref="KickoutSessionControlFilter" />
                <entry key="VcodeControlFilter" value-ref="VcodeControlFilter" />
            </map>
        </property>
    </bean>

<!-- Shiro生命周期处理器 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

<!-- web.xml -->
<filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
      <param-name>targetFilter</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>

  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

  <!-- Spring监听器 -->
  <context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>classpath:spring.xml,classpath:spring-shiro.xml</param-value>
  </context-param>
  <listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
  </listener>

按照以上配置后subject就能使用了,那接下来简单的说下UsernamePasswordToken

2)UsernamePasswordToken

    private String username;
    private char[] password;
    private boolean rememberMe = false;
    private String host;
    public String getUsername() 
    public void setUsername(String username)
    public char[] getPassword()
    public void setPassword(char[] password)
    public Object getPrincipal()
    public Object getCredentials()
    public String getHost() 
    public void setHost(String host)
    public boolean isRememberMe() 
    public void setRememberMe(boolean rememberMe) 
    public void clear()

这么一看一目了然,token就是存储用户名和密码的,那么接下来就是realm了

Realm
1)realm是继承AuthorizingRealm来实现的,他需要实现下面两个方法

package com.zm.web_shiro.realm;
/**
 * create by zm 2017.12.15
 */
public class CustomRealm extends AuthorizingRealm {
    @Autowired
    private UserService userService;
    private Logger log = LogManager.getLogger(CustomRealm.class);

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        log.info("doGetAuthorizationInfo ----- start !");
        //User user = (User)principals.getPrimaryPrincipal();如果principals存放的是对象则用这一行代码
        Session session = SecurityUtils.getSubject().getSession();
        String username = principals.getPrimaryPrincipal().toString();
        log.info("对" + username + "进行授权!");
        String role = userService.queryRoleByName(username);
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.addRole(role.trim());
        log.info("role => " + role);
        List<String> menus = userService.queryMenusByRole(role);
        session.setAttribute("menus",menus);
        log.info("menus: " + menus.toString());
        return info;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        log.info("doGetAuthenticationInfo ----- start !");
        String username = token.getPrincipal().toString();
        String password = new String((char[])token.getCredentials());
        User user =  userService.login(new User(username,password));
        //System.out.println(user);
        if(user!=null){
            // 第 1 个参数可以传一个实体对象,然后在认证的环节可以取出
            // 第 2 个参数应该传递在数据库中“正确”的数据,然后和 token 中的数据进行匹配
            SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user.getU_name(),user.getU_pwd(),getName());
            // 设置盐值
            info.setCredentialsSalt(ByteSource.Util.bytes(user.getU_name().getBytes()));
            return info;
        }
        return null;
    }

1、CustomRealm 父类 AuthorizingRealm 将获取 Subject 相关信息分成两步:获取身份验证信息(doGetAuthenticationInfo)及授权信息(doGetAuthorizationInfo);
2、doGetAuthenticationInfo 获取身份验证相关信息:首先根据传入的用户名获取 User 信息;然后如果 user 为空,那么抛出没找到帐号异常 UnknownAccountException;如果 user 找到但锁定了抛出锁定异常 LockedAccountException;最后生成 AuthenticationInfo 信息,交给间接父类 AuthenticatingRealm 使用 CredentialsMatcher 进行判断密码是否匹配,如果不匹配将抛出密码错误异常 IncorrectCredentialsException;另外如果密码重试此处太多将抛出超出重试次数异常 ExcessiveAttemptsException;在组装 SimpleAuthenticationInfo 信息时,需要传入:身份信息(用户名)、凭据(密文密码)、盐(username+salt),CredentialsMatcher 使用盐加密传入的明文密码和此处的密文密码进行匹配。
3、doGetAuthorizationInfo 获取授权信息:PrincipalCollection 是一个身份集合,因为我们现在就一个 Realm,所以直接调用 getPrimaryPrincipal 得到之前传入的用户名即可;然后根据用户名调用 UserService 接口获取角色及权限信息。

AuthenticationToken 用于收集用户提交的身份(如用户名)及凭据(如密码):

public interface AuthenticationToken extends Serializable {
    Object getPrincipal(); //身份
    Object getCredentials(); //凭据
}

AuthenticationInfo 有两个作用:
如果 Realm 是 AuthenticatingRealm 子类,则提供给 AuthenticatingRealm 内部使用的 CredentialsMatcher 进行凭据验证;(如果没有继承它需要在自己的 Realm 中自己实现验证);
提供给 SecurityManager 来创建 Subject(提供身份信息);

PrincipalCollection 用于聚合这些身份信息:

public interface PrincipalCollection extends Iterable, Serializable {
    Object getPrimaryPrincipal(); //得到主要的身份
    <T> T oneByType(Class<T> type); //根据身份类型获取第一个
    <T> Collection<T> byType(Class<T> type); //根据身份类型获取一组
    List asList(); //转换为List
    Set asSet(); //转换为Set
    Collection fromRealm(String realmName); //根据Realm名字获取
    Set<String> getRealmNames(); //获取所有身份验证通过的Realm名字
    boolean isEmpty(); //判断是否为空
}
AuthorizationInfo 用于聚合授权信息的:
public interface AuthorizationInfo extends Serializable {
    Collection<String> getRoles(); //获取角色字符串信息
    Collection<String> getStringPermissions(); //获取权限字符串信息
    Collection<Permission> getObjectPermissions(); //获取Permission对象信息
}

我的项目实例:https://gitee.com/zmq1996/web_shiro

JCXQ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro-realm案例
03-02
shiro自定义realm案例,参考文档:http://blog.csdn.net/qq_19558705/article/details/50775509
shiro之自定义Realm之继承AuthorizingRealm(*)
weixin_42408447的博客
11-16 1530
一.Realm基本架构 为了快速上手,我们需要知道的是,Shiro将数据库中的数据,存放到Realm这种对象中。而Shiro提供的Realm体系较为复杂,一般我们为了使用Shiro的基本目的就是:认证、授权。 所以,一般在真实的项目中,我们不会直接实现Realm接口,也不会直接继承最底层的功能贼复杂的IniRealm。我们一般的情况就是直接继承AuthorizingRealm,能够继承到认证与授权功能。它需要强制重写两个方法: public class DefaultRealm extends Autho
shiro 权限验证 AuthorizingRealm doGetAuthorizationInfo
weixin_34293059的博客
10-13 1019
2019独角兽企业重金招聘Python工程师标准>>> ...
Shiro自定义AuthorizingRealm子类SampleRealm中Service类无法注入成功
stay hungry ! stay foolish!
04-24 3804
Shiro自定义AuthorizingRealm子类SampleRealm中Service类无法注入成功转载:https://blog.csdn.net/ahou2468/article/details/69949092https://blog.csdn.net/CmdSmith/article/details/53838220https://blog.csdn.net/u013354696/ar...
shiro AuthorizingRealm 里的 doGetAuthenticationInfo与doGetAuthorizationInfo的执行时间
Mr_Yao
11-03 939
doGetAuthenticationInfo执行时机: 当调用Subject currentUser = SecurityUtils.getSubject(); currentUser.login(token); doGetAuthorizationInfo执行时机有三个,如下: 1、subject.hasRole(“admin”) 或 subject.isPermitted(...
shirorealm实例
Java
09-21 491
shiro realm实例
shiro登录验证实例
02-03
shiro登录验证实例,下载包虽然是web_exception_project.zip,但是确实是shiro登录验证实例,请放心下载,另外,实例详情请访问博主博客:http://blog.csdn.net/u013142781
jfinal整合shiro实例
06-03
完整的jFinal整合Shiro实例,部署就可使用!!! 1、Eclipse直接导入,部署到tomcat中 2、新建jfinal_shiro数据库,执行jfinal_shiro.sql 3、修改配置文件中数据库用户名和密码 ~/jfinal_shiro/resource/jfinal....
实例入手学习Shiro自定义Realm实现查询数据进行验证示例代码.zip
05-12
实例入手学习Shiro自定义Realm实现查询数据进行验证示例代码.zip
shiro实例demo
11-24
shiro实例demo,别人的自己已经测试过可以正常运行,感觉跟springMVC的aop机制有点类似,将访问方法交给shiro进行批量管理,来做对用户的验证和管理。demo讲的很详细,可以拿去看看
关于何时执行shiro AuthorizingRealm 里的 doGetAuthenticationInfo与doGetAuthorizationInfo
热门推荐
fj200821的专栏
01-18 2万+
1.doGetAuthenticationInfo执行时机如下 当调用Subject currentUser = SecurityUtils.getSubject(); currentUser.login(token); 2.doGetAuthorizationInfo执行时机有三个,如下: 1、subject.hasRole(“admin”) 或
Shiro使用之自定义realm的编写
梨落满秋的博客
12-15 484
//MyRealm继承与Shiro自带的AuthorizingRealm 类 public class MyRealm extends AuthorizingRealm { @Autowired
[shiro]shiro 中 AuthorizingRealm 的执行时机
java牛牛的博客
06-08 1145
1.doGetAuthenticationInfo执行时机如下 当调用Subject currentUser = SecurityUtils.getSubject(); currentUser.login(token); 2.doGetAuthorizationInfo执行时机有三个,如下: subject.hasRole(“admin”) 或 subject.isPermitted(“admin”):自己去调用这个是否有什么角色或者是否有什么权限的时候; @RequiresRoles(“admin
吃透Shiro源码6----AuthorizingRealm
大宇的博客,欢迎访问
12-23 1011
文章目录技术手法(1)AuthorizingRealm设计思路重点研究类 技术手法 (1)AuthorizingRealm设计思路 AuthorizingRealm这个类的大致设计思路与AuthenticationRealm一致。暂时学到的最核心的方法就是通过 凭证对象PrincipalCollection对象获取缓存中的AuthorizationInfo对象。其核心思想就是如何缓存。 publi...
AuthorizingRealm简介说明
qq_25073223的博客
07-26 549
AuthorizingRealm简介说明
Shiro 中的 Realm
尽力而为
05-29 2万+
之前写项目用了 Shiro 框架,来进行安全验证以及权限管理。当时项目赶得急,没怎么深入了解,只能说能跑能改,不过在使用的过程中发现 Shiro 确实很优秀。现在回过头来学习原理,读读源码,深入的学习下。· 本篇博文主要写的是关于使用 Shiro 起步时最重要的一块,找了一些资料,力求写得简单明了。
shiro 权限认证的原理,个人的理解
baicp3的专栏
05-22 2万+
1.对有没有访问权限的理解。 我们看shiro的配置文件,所以的请求都是需要用户登录的 因而用户 在登录成功时候,shiro已经把该用户是否有访问某一url的权限已经判断好了。 看下面简单的代码    @Override     protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection pri
shiro 实现认证授权
gaoyongjianqq的专栏
07-10 8580
一.认证和授权的概念 认证(authentication):show it,you are you; 授权(authoriziation):through it,you can do sth; 二.shiro中的认证与授权 AuthenticatingRealmshiro中的用于进行认证的领域,实现doGetAuthentcationInfo方法实现用户登录时的认证逻辑; Author...
SpringBoot+Shiro学习(三):Realm认证
weixin_33910759的博客
12-16 168
今天我们来讲一下Shiro中最重要的Realm。 自定义Realm通过继承AuthorizingRealm来实现。主要是通过重写两个方法doGetAuthorizationInfo(授权)和doGetAuthenticationInfo(认证)。 我们先来看看身份认证的流程: 流程如下: 首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,...
shirorealm多登录界面
最新发布
05-18
Shiro支持多个Realm,你可以在shiro.ini或者shiro-config.xml中配置多个Realm。每个Realm可以用于不同类型的认证,比如一个Realm可以用于数据库认证,另一个Realm可以用于LDAP认证等等。 至于多个登录界面的实现,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值