安科网

Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用

Greenbegonia

Greenbegonia

2019-01-21

关注 关注

1 Realm简介

1.1 Realm作用

shiro最终是通过Realm获取安全数据的(如用户、角色、权限),也就是说认证或者授权都会通过Realm进行数据操作

1.2 Realm接口

1.2.1 源代码

Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用

1.2.2 方法说明

》getName:返回一个唯一的 Realm 名字

》supports:判断此 Realm 是否支持此 Token

》getAuthenticationInfo:根据 Token 获取认证信息,该方法就是用来实现认证逻辑的(从Realm的实现类org.apache.shiro.realm.AuthenticatingRealm#getAuthenticationInfo中可以看出)

1.3 AuthenticationToken

》层级关系

Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用

》关系图

Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用

》开发时一般将用户名和密码封装成一个UsernamePasswordToken对象

1.4 注意

》supports需要对Token类型进行判断,判断实参类型是否满足条件;这里指定的是AuthenticationToken类型(任何Token类型都可以传入,因为AuthenticationToken是一个父接口),所以在实现类中只需要判断实参是否是指定的Token类型即可(实际开发时传入的实参一般都是UsernamePasswordToken类型,所以在supports方法中只需要判定实参是否是这个类型即可)。

》实现认证的逻辑就是写在org.apache.shiro.realm.Realm#getAuthenticationInfo这个方法中的(从Realm的实现类org.apache.shiro.realm.AuthenticatingRealm#getAuthenticationInfo中可以看出)

1.5 简易自定义Realm

1.5.1 思路

》实现Realm接口

》getName返回一个唯一的Realm名称即可

》supports中判定实参类型是否是UsernamePasswordToken类型

》getAuthenticationInfo中实现认证逻辑

1.5.2 代码实现

Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用

package com.xunyji.demo03.shirotest.realm;
import org.apache.shiro.authc.*;
import org.apache.shiro.realm.Realm;
/**
 * @author AltEnter
 * @create 2019-01-20 20:11
 * @desc 自定义简易Realm
 **/
public class MySimpleRealm implements Realm {
 public String getName() {
 return "mySimpleRealm";
 }
 public boolean supports(AuthenticationToken token) {
 if (token instanceof UsernamePasswordToken) {
 return true;
 }
 return false;
 }
 public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
 String username = (String) token.getPrincipal();
 String password = new String((char[])token.getCredentials());
 System.out.println(String.format("用户名为:%s, 用户密码为:%s", username, password));
 if (!"fury".equals(username)) {
 System.out.println("用户名错误");
 return null;
 }
 if (!"111111".equals(password)) {
 System.out.println("密码错误");
 return null;
 }
 return new SimpleAuthenticationInfo(username, password, getName());
 }
}

Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用

1.5.3 单元测试类

Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用

package com.xunyji.demo03.shirotest.realm;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;
import org.junit.Test;
import static org.junit.Assert.*;
public class MySimpleRealmTest {
 
 @Test
 public void test01() {
 MySimpleRealm mySimpleRealm = new MySimpleRealm();
 DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
 defaultSecurityManager.setRealm(mySimpleRealm);
 SecurityUtils.setSecurityManager(defaultSecurityManager);
 Subject subject = SecurityUtils.getSubject();
 UsernamePasswordToken token = new UsernamePasswordToken("fury", "111111");
 subject.login(token);
 System.out.println(String.format("认证结果:%s", subject.isAuthenticated()));
 }
}

Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用

2 Realm源码分析

Realm接口主要是认证的主接口,但是它的一些实现类既可以进行认证也可以进行授权逻辑

2.1 Realm相关类层次图

todo: 贴图

2.2 Realm相关类说明

》CachingRealm:带有缓存实现的Realm,相当于Realm的扩展

》AuthenticatingRealm:专门做认证的Realm,它继承自CachingRealm

》AuthorizingRealm:专门做授权的Realm,因为它集成自AuthenticatingRealm,所以它也可以实现认证逻辑;自定义的Realm一般都是继承该类,然后重写里面的认证方法和授权方法即可。

》IniRealm:用ini文件存储用户信息时使用,[users]部分指定用户名/密码及其角色; [roles]部分指 定角色即权限信息;

》PropertiesRealm:用properties文件存储用户信息时使用,user.username=password,role1,role2 指定用户 名/密码及其角色;role.role1=permission1,permission2 指定角色及权限信息;

》JdbcRealm:用数据库存储用户信息时使用,通过 sql 查询相应的信息,如“select password from users where username = ?”获取用户密码,“select password, password_salt from users where username = ?”获取用户密码及盐;“select role_name from user_roles where username = ?” 获取用户角色;“select permission from roles_permissions where role_name = ?”获取角色对 应的权限信息;也可以调用相应的 api 进行自定义 sql;

2.3 AuthenticatingRealm详解

》getAuthenticationInfo:该方法是Realm中getAuthenticationInfo的实现,该方法是实现认证逻辑的;该方法是一个final方法,所以AuthenticatingRealm的子类不能重写该方法;

》doGetAuthenticationInfo:getAuthenticationInfo方法调用doGetAuthenticationInfo实现认证逻辑,该方法是一个protected方法,专门暴露给子类进行重写的,而且是子类实现认证逻辑必须重写的方法。

2.4 Realm主要实现类

2.4.1 IniRealm

》用户相关信息存储在一个ini文件中

2.4.2 PropertiesRealm

》用户相关信息存储在一个properties文件中

2.4.3 JdbcRealm

》用户信息存储在数据库中

2.5 IniRealm使用教程

2.5.1 继承关系图

Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用

2.5.2 创建一个maven工程并引入shiro、junit相关依赖

Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用

<dependency>
 <groupId>org.apache.shiro</groupId>
 <artifactId>shiro-core</artifactId>
 <version>1.4.0</version>
 </dependency>
 <dependency>
 <groupId>junit</groupId>
 <artifactId>junit</artifactId>
 <version>4.12</version>
 </dependency>

Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用

2.5.3 在resources目录下创建ini文件用于存放用户信息

》项目目录结构

Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用

》ini配置文件详解

https://blog.csdn.net/u011781521/article/details/74892074

》ini文件内容

Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用

[users]
fury=111111,role1,role2
zeus=222222,role1
[roles]
role1=user:delete,user:update,user:create,user:read
role2=car:create

Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用

》测试代码

Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用

package com.xunyji.demo03.shirotest.realm;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;
import org.junit.Test;
import java.util.ArrayList;
import java.util.Arrays;
/**
 * @author AltEnter
 * @create 2019-01-17 22:07
 * @desc IniRealm测试类
 **/
public class IniRealmDemo {
 @Test
 public void iniRealmTest() {
 // 01 创建Realm
 IniRealm iniRealm = new IniRealm("classpath:shiro.ini");
// 02 创建SecurityManager并将Realm设置到SecurityManager中
 DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
 defaultSecurityManager.setRealm(iniRealm);
// 03 将SecurityManager设置到SecurityUtils中
 SecurityUtils.setSecurityManager(defaultSecurityManager);
// 04 从SecurityUtils中获取Subject
 Subject subject = SecurityUtils.getSubject();
// 05 将用户名和用户密码封装成一个Token
 UsernamePasswordToken token = new UsernamePasswordToken("zeus", "222222");
// 06 通过Subject进行登录认证
 try {
 subject.login(token);
 } catch (Exception e) {
 e.printStackTrace();
 }
// 07 通过Subject判断登录认证结果
 System.out.println(String.format("认证结果为:%s", subject.isAuthenticated()));
 ArrayList<String> roleList = new ArrayList<String>();
 roleList.add("role1");
 System.out.println("是否有role1角色:" + Arrays.toString(subject.hasRoles(roleList)));
 System.out.println("是否有role1角色:" + subject.hasRole("role1"));
 subject.checkPermission("user:create");
 }
}

Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用

2.6 PropertiesRealm使用教程

参见2.5 + 百度

2.7 JdbcRealm使用教程

》继承关系图

Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用

》引入shiro、junit、mysql、druid依赖

Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用

<dependency>
 <groupId>org.apache.shiro</groupId>
 <artifactId>shiro-core</artifactId>
 <version>1.4.0</version>
 </dependency>
 <dependency>
 <groupId>junit</groupId>
 <artifactId>junit</artifactId>
 <version>4.12</version>
 </dependency>
 <dependency>
 <groupId>mysql</groupId>
 <artifactId>mysql-connector-java</artifactId>
 <version>5.1.45</version>
 </dependency>
 <dependency>
 <groupId>com.alibaba</groupId>
 <artifactId>druid</artifactId>
 <version>1.1.6</version>
 </dependency>

Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用

》根据JdbcRealm源码创建相关表的SQL

Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用

View Code

》测试类

Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用

package com.xunyji.demo03.shirotest.realm;
import com.alibaba.druid.pool.DruidDataSource;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.jdbc.JdbcRealm;
import org.apache.shiro.subject.Subject;
import org.junit.Test;
/**
 * @author AltEnter
 * @create 2019-01-20 21:07
 * @desc JdbcRealm使用Demo
 **/
public class JdbcRealmDemo {
 DruidDataSource data =new DruidDataSource();
 {
 data.setUrl("jdbc:mysql://localhost:3306/shiro?useUnicode=true&characterEncoding=utf-8&useSSL=false&serverTimezone=UTC");
 data.setUsername("root");
 data.setPassword("182838");
 }
 @Test
 public void testAuthentication(){
 JdbcRealm jdbcRealm = new JdbcRealm();
 jdbcRealm.setDataSource(data);
 jdbcRealm.setPermissionsLookupEnabled(true); // 开启权限查询功能
 String sql="select password from users where username= ?";
 jdbcRealm.setAuthenticationQuery(sql);
 String roleSql ="select role_name from user_roles where username = ?";
 jdbcRealm.setUserRolesQuery(roleSql);
 //1.构建securtymanager
 DefaultSecurityManager manager = new DefaultSecurityManager();
 manager.setRealm(jdbcRealm);
 //2.主体提交认证请求
 SecurityUtils.setSecurityManager(manager);
 Subject subject = SecurityUtils.getSubject();
 // UsernamePasswordToken token =new UsernamePasswordToken("Mark","123456");
 UsernamePasswordToken token =new UsernamePasswordToken("fury","111111");
 subject.login(token);
 //是否认证的一个方法
 boolean authenticated = subject.isAuthenticated();
 System.out.println("authenticated==============="+authenticated);
 subject.checkRole("user");
 subject.checkRole("admin");
 subject.checkPermission("user:update");
 }
}

Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用

2.8 SimpleAccountRealm使用教程

》层次关系图

Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用

》说明

这种类型是通过硬编码来存储用户数据的

》测试代码

Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用

package com.xunyji.demo03.shirotest.realm;
import com.sun.org.apache.bcel.internal.generic.NEW;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.SimpleAccountRealm;
import org.apache.shiro.subject.Subject;
import org.junit.Before;
import org.junit.Test;
/**
 * @author AltEnter
 * @create 2019-01-20 21:15
 * @desc SimpleAccountRealm使用Demo类
 **/
public class SimpleAccountRealmDemo {
 private SimpleAccountRealm simpleAccountRealm = new SimpleAccountRealm();
 @Before
 public void addUser() {
 simpleAccountRealm.addAccount("fury", "111111");
 }
 @Test
 public void test01() {
 DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
 defaultSecurityManager.setRealm(simpleAccountRealm);
 SecurityUtils.setSecurityManager(defaultSecurityManager);
 Subject subject = SecurityUtils.getSubject();
 UsernamePasswordToken token = new UsernamePasswordToken("fury", "111111");
 subject.login(token);
 System.out.println(String.format("认证结果为:%s", subject.isAuthenticated()));
 subject.logout();
 System.out.println(String.format("认证结果为:%s", subject.isAuthenticated()));
 }
}

作者:寻渝记

原文:https://www.cnblogs.com/NeverCtrl-C/p/10296238.html

realm shiro

Greenbegonia

Greenbegonia

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

【Shiro】05 自定义Realm认证实现

Shiro默认使用自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义realm。public abstract class CachingRealm implements

likesyour 2020-08-01

SpringBoot11:集成Shiro

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Cryptography:加密,使用密码学

ErixHao 2020-06-03

Shiro+JWT 实现权限管理(一)--Shiro

再后来的工作过程中,发现了shiro的一些不足之处--对于多端登录支持不是很友好,需要自己去实现具体功能.在大致研究了JWT功能后,决定对之前写的权限管理做一些优化--使用JWT做认证,配合Shrio强大的授权功能,实现更加全面、轻量化的权限管理.之前那篇

GDreams0 2020-06-01

Springboot整合Shiro

开始配置ShiroConfig,从底层开始配置,Realm需要额外写一个类UserRealm,这个类便是shiro的核心。UserRealm只需继承AuthorizingRealm类即可,要实现如下两个方法,本类为shiro核心:

nullcy 2020-04-25

Springboot与Shiro的整合

Springboot使用的页面模板是thyme leaf,它比jsp多一些特定的标签,可以动态或者静态显示文本内容。~ * Copyright 2019. tdc.shangri-la.com. All Rights Reserved.* subjec

visionzheng 2020-04-20

spring项目篇5----shiro以及实现登陆认证

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。但是,在Shiro中,Subject这一概

ganjing 2020-02-16

tomcat中AuthenticatorBase简单的安全认证

有些web应用程序的内容是有限制的,只允许有权限的用户在提供正确的用户名和密码的情况下才允许访问。Servlet通过配置部署文件web.xml来对安全性提供技术支持。authenticator阀门会在包装器阀门之前被调用。由于验证失败,用户并不能看到请求的

likesyour 2020-06-07

Ream--(objc)写事务精简方案

由于realm强制线程安全,所以realm对象不适合持有。所以造成了realm写事务面向realm编程,而不是面向RLMObject编程。或者说realm的面向过的程痕迹还没消除干净,追求速度的realm由c++实现,realm选择了速度放弃了一些便利。常

Mr丶Yang 2020-01-23

安全框架Shiro和SpringSecurity的比较

首先Shiro较之 Spring Security,Shiro在保持强大功能的同时,还在简单性和灵活性方面拥有巨大优势。Shiro是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。如下是它所具有的特点:。易于理解的 Jav

luckyxl0 2019-12-24

shiro框架学习-4- Shiro内置JdbcRealm

JdbcRealm就是用户的角色,权限都从数据库中读取,也就是用来进行用户认证授权的安全数据源更换为从数据库中读取,其他没有差别,首先在数据库创建三张表:

GDreams0 2019-12-22

上手spring boot项目(二)之spring boot整合shiro安全框架

在这先感谢群主TyCoding的Tumo项目,虽然本人实在太菜了,好些地方看不懂,但还是使我受益匪浅。shiro作为一个小巧灵活的安全框架,在认证和授权方面简约但又不简单,十分容易上手使用。下面是整合shiro的具体流程。

Julywhj 2019-12-14

012在Tomcat下如何手动部署Web应用

  通过对Tomcat目录的了解可知,webapps文件夹是存放工程包的位置。本实例主要介绍如何手动部署Web应用。  这种context片段提供了一种便利的方法来部署Web应用,不需要编辑server.xml,除非想改变默认的部署特性,在安装一个新的We

likesyour 2019-12-06

shiro

在这个项目中,我们使用的是shiro安全框架管理用户登录以及资源权限的控制。如果登录成功,会根据当前登录用户获取对应的菜单权限,在realm中进行用户的权限的授予。调用realm的hasRole判断当前用户是否有这个角色权限。isPermitted是shi

ganjing 2019-11-09

Kerberos认证解析

Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机、服务器应用程序提供强大的认证服务。Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术执行认证服务的。Kerberos也能达到单点登录的效果,即当Client通过了K

AndrewYuan 2019-11-09

权限管理

权限管理是系统的安全范畴,要求必须是合法的用户才可以访问系统,且必须具有该资源的访问权限才可以访问该资源(授权)。shiro是一个权限管理框架,是apache下的开源项目。

AndrewYuan 2019-11-06

SpringMVC整合Shiro与filterChainDefinitions过滤器配置

SpringMVC整合Shiro,Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。-- 配置Shiro过滤器,先让Shiro过滤系统接收到的请求 -->. -- 使用[/*]匹配所有请求,保证所有的可控请求都经过S

longdan0 2017-07-27

Apache Shiro 使用手册(四)Realm 实现

在认证、授权内部实现机制中都有提到,最终处理都将交给Real进行处理。因为在Shiro中,最终是通过Realm来获取应用程序中的用户、角色及权限信息的。通常情况下,在Realm中会直接从我们的数据源中获取Shiro需要的验证信息。可以说,Realm是专用于

Cshnuscw 2015-06-24

Apache Shiro 使用手册(一)Shiro架构介绍

认证 - 用户身份识别,常被称为用户“登录”;但考虑到大多数目的和用途,你可以把它认为是Shiro的“用户”概念。Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。也就是说,当对用户执行认证(登录)和授权验证时

tulunta 2015-06-24

Android Studio 3.2 Gradle3.2使用Realm出错

Android Studio3.2Gradle3.2使用Realm,结果gradle3.2出错了。Configuration 'compile' is obsolete and has been replaced with 'implementation'

DeadKnight 2019-04-07

shiro

shiro是apache提供的强大而灵活的开源安全框架,它主要用来处理身份认证,授权,企业会话管理和加密。shiro功能:用户验证、用户执行访问权限控制、在任何环境下使用sessionAPI,如cs程序。可以使用多数据源如同时使用oracle、mysql。

子云 2016-03-23
Greenbegonia

Greenbegonia

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号