2. 程式人生 > >(3)shiro自定義realm

(3)shiro自定義realm

阿新 發佈:2018-11-01

上面一章說到shiro的認證和授權最底層就是呼叫realm的getAuthorizationInfo(獲取使用者的角色和資源)和getAuthenticationInfo(校驗賬號密碼是否正確)兩個方法。

如果我們要從資料庫中查詢使用者和他的許可權資訊,我們可以使用shiro提供給我們的JdbcRealm

 JdbcRealm

 新增jar

<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId
 
>
    <version>5.1.25</version>
</dependency>
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>druid</artifactId>
    <version>0.2.23</version>
</dependency>

classpath環境下新建shiro-jdbc.ini如下配置
這裡我們採用了阿里巴巴的資料來源,注入到jdbcRealm的dataSource變數中,並且將這個jdbcRealm注入到securityManager,有點類似於spring的注入。

下面的sql放在github上對應的章節根目錄下,匯入即可,資料庫密碼填寫自己資料庫密碼

jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
dataSource=com.alibaba.druid.pool.DruidDataSource
dataSource.driverClassName=com.mysql.jdbc.Driver
dataSource.url=jdbc:mysql://localhost:3306/shiro
dataSource.username=root
dataSource.password=123456
jdbcRealm.dataSource=$dataSource
#注入securityManager的realm
securityManager.realms=$jdbcRealm

測試程式碼:

ShiroUtils.login("classpath:shiro-jdbc.ini","zhang","123456");
Subject subject = SecurityUtils.getSubject();
//是否通過認證
System.out.println(subject.isAuthenticated());

 

其中ShiroUtils的登入方法(這個以後直接略過):

    public static void login(String configPath,String username,String password){
        Factory<SecurityManager> factory =new IniSecurityManagerFactory(configPath);
        //得到安全管理器
        SecurityManager securityManager = factory.getInstance();

        SecurityUtils.setSecurityManager(securityManager);

        Subject subject = SecurityUtils.getSubject();

        UsernamePasswordToken token = new UsernamePasswordToken(username, password);


        try {
            subject.login(token);
        } catch (AuthenticationException e) {
            e.printStackTrace();
        }
    }
View Code

 

 

最後輸出true。

因為jdbcRealm裡面的sql都是固定的,所以我們表結構都要按照JdbcRealm裡面建立對應的表。下面是JdbcRealm裡面各種查詢的sql(salt是密碼加密,後面介紹加密再說,我們這裡直接用明文密碼)

表裡面數據分別如下

 

接著測試程式碼新增如下:

        System.out.println(subject.hasRole("role1"));

        System.out.println(subject.isPermitted("user:create"));

 

最後輸出true,false

為什麼角色role1獲取到了,permission沒有獲取到呢。

 

原因是JdbcRealm裡面有個permissionsLookupEnabled預設是false,所以不會查詢對應的資源許可權,我們在配置檔案中開啟這個查詢。

#開啟permission查詢
jdbcRealm.permissionsLookupEnabled=true

 

再查詢就是true了。

 

自定義Realm

1 新增MyRealm類直接繼承AuthorizingRealm.

public class MyRealm extends AuthorizingRealm {

    //認證資訊,
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        UsernamePasswordToken upToken = (UsernamePasswordToken) token;

        String username = upToken.getUsername();
        String password = new String(upToken.getPassword());
        //模擬使用者名稱密碼是否正確
        if(!"zhang".equals(username)){
           throw new UnknownAccountException();
        }
        if(!"123456".equals(password)){
            throw new IncorrectCredentialsException();
        }
        return new SimpleAuthenticationInfo(username,password,getName());

    }

    //授權
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        //獲取使用者名稱
        String username = (String)getAvailablePrincipal(principals);
        //模擬從資料庫查詢出來對應的角色和許可權
        Set<String> roles = new HashSet<String>();
        roles.add("role_1");
        roles.add("role_2");

        Set<String> permissions = new HashSet<String>();
        permissions.add("user:create");
        permissions.add("user:delete");

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        info.setRoles(roles);
        info.setStringPermissions(permissions);
        return info;
    }


}

2,classpath檔案下新建shiro-myrealm.ini配置檔案

myrealm= com.nfcm.shiro.Realm.MyRealm
securityManager.realms=$myrealm

3,測試

        ShiroUtils.login("classpath:shiro-myrealm.ini","zhang","123456");

        Subject subject = SecurityUtils.getSubject();
        //是否通過認證
        System.out.println(subject.isAuthenticated());
        //是否有role1角色
        System.out.println(subject.hasRole("role_1"));

        System.out.println(subject.isPermitted("user:create"));

 

到這裡全部測試通過。

 

github程式碼地址

https://github.com/cmniefei/shiroparent

 

相關推薦

(3)shiro定義realm

上面一章說到shiro的認證和授權最底層就是呼叫realm的getAuthorizationInfo(獲取使用者的角色和資源)和getAuthenticationInfo(校驗賬號密碼是否正確)兩個方法。 如果我們要從資料庫中查詢使用者和他的許可權資訊,我們可以使用shiro提供給我們的JdbcRealm

shiro學習筆記(3)--定義realm、授權

一:自定義Realm 1、繼承AuthorizingRealm(因為該類中有認證、授權的抽象方法,實現簡單) public class MyRealm1 extends AuthorizingRealm{ @Override public String getName(

shiro定義realm(五)

cm4 dsm cbc vdh fab strong vts gn3 aqi 上一節介紹了realm的作用: realm:需要根據token中的身份信息去查詢數據庫(入門程序使用ini配置文件),如果查到用戶返回認證信息,如果查詢不到返回null。token就相當於是對用戶

shiro定義realm支持MD5算法(六)

svi vfs ltm vold rcc TTT sym fio owa 1.1 散列算法 通常需要對密碼 進行散列,常用的有md5、sha, 對md5密碼,如果知道散列後的值可以通過窮舉算法,得到md5密碼對應的明文。 建議對md5進行散列時加salt(鹽),

SSM+Apache shiro--定義realm

ati 定義 ppi auto word sta active 如果 ive 自定義reaml需繼承AuthorizingRealm,並重寫doGetAuthorizationInfo(用戶獲取授權信息)和doGetAuthenticationInfo(用戶獲取認證信息)兩

Shiro安全框架第四篇| Shiro定義Realm進行認證授權

  SHiro自定義Realm 首先在resource下新建user.ini 1[users] 2jiuyue=12345,admin 3[roles] 4admin=user:delete,user:update 然後測試類下新建IniRealmTest測試類,跟前面不

Shiro(三)——Shiro定義Realm

Realm: 域。Shiro 從從 Realm 獲取安全資料(如使用者、角色、許可權),就是說 SecurityManager 要驗證使用者身份,那麼它需要從 Realm 獲取相應的使用者進行比較以確定使用者身份是否合法;也需要從 Realm 得到使用者相應的角色 / 許可權進行驗證使用者是否能進行

shiro授權及定義realm授權(七)

qbc mtp jbd red es6 sil llb wmi sin 1.授權流程 2. 三種授權方法          Shiro 支持三種方式的授權: 編程式:通過寫if/else 授權代碼塊完成: Subject subject = SecurityU

spring boot 整合redis+shiro定義Realm不能使用@Autowired註解

剛開始spring boot 整合shiro快取使用的是ehcache,自動注入userService如下,沒有問題 @Autowired @Lazy private SysUserService userService; 當將快取換成了redis後,該註解

ssm整合shiro通過定義Realm實現認證登入、許可權處理、定義role攔截、MD5加密

整合後實現功能 1.登入認證 2.許可權處理 3.自定義role攔截 4.md5加密 ssm整合shiro步驟 先看看整合完成後的專案結構 新建一個maven專案 配置pom.xml檔案 <?xml version="1.0" encoding="UT

shiro定義realm

  Shiro認證過程 建立SecurityManager---》主體提交認證---》SecurityManager認證---》Authenticsto認證---》Realm驗證 Shiro授權過程 建立SecurityManager---》主體授權---》ecurityManager授權

ShiroShiro從小白到大神(五)-定義Realm

用資料庫的話,至少會涉及到這幾張表: 使用者表,角色表,許可權表 角色和使用者是一對多的關係 多個使用者可以擁有同一個角色 角色和許可權在這裡也是一對多的關係 一個角色可以擁有很多個許可權 資料庫表名: t_role 角色表 並插入如下資料

定義realm shiro加密配置

@Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException { Use

使用shiro進行登入校驗;定義realm的實現

在web中, 使用者輸入使用者名稱密碼登入,我們需要用這些資訊和已經註冊存在在資料庫中的賬戶資訊進行對比,判斷使用者名稱和密碼是否正確。 shiro提供了自定義realm的實現來進行處理對不同資料來源的校驗: realm就是一個安全資料來源。可以將其看作為資料庫的另一層封裝

使用Spring配置shiro時,定義Realm中屬性無法使用註解注入解決辦法

先來看問題 糾結了幾個小時終於找到了問題所在,因為shiro的realm屬於Filter,簡單說就是初始化realm時,spring還未載入相關業務Bean,那麼解決辦法就是將spring

Shiro入門6:定義realm查詢資料庫進行認證

在學習自定義Realm的時候很多人都會有這個問題: 為什麼要用Realm?自定義Realm有什麼作用? 將來實際開發需要realm從資料庫查詢資訊 Realm是什麼? 關於Realm的作用及解釋,

shiro+springboot:MyRealm(定義Realm)

import com.sinochem.erp.common.entity.Permissions; import com.sinochem.erp.common.entity.Role; import com.sinochem.erp.common.entity.Use

Shiro入門學習---使用定義Realm完成認證|練氣中期

## 寫在前面 在上一篇文章[《shiro認證流程原始碼分析--練氣初期》](https://www.cnblogs.com/bingfengdev/p/13768829.html)當中,我們簡單分析了一下shiro的認證流程。不難發現,如果我們需要使用其他資料來源的資訊完成認證操作,我們需要自定義Real

Shiro定義密碼匹配認證

() global throws equals urn authent assert cred color 項目集成shiro的時候,有寫某個自定義類然後繼承自AuthorizingRealm 並且重寫實現了他的2個方法: 1、其中一個:認證回調 驗證賬戶密碼的 doGet

(三)定義Realm

ssi 定義 try time public getname tid vax getc 引入依賴 <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/