SpringBoot:集成Shiro之自己设置Realm实现认证受权

作者 : 开心源码 本文共9600个字,预计阅读时间需要24分钟 发布时间: 2022-05-12 共167人阅读

前言


前面的两篇博客用了INI的形式完成了使用户的认证受权操作.我曾经屡次在博客中提到过INI文件形式进行认证受权只适使用于使用户较少的情况下,但是,当使用户较多的情况下,我们可能需要数据库来管理,这时候,我们就需要自己设置Realm了. 接下来,我们来看一下如何用自己设置的Realm实现认证受权操作.

自己设置Realm的继承与创立


前面我们说到我们要自己设置Realm,首先我们需要先确定我们定义的Realm类中所需要的功能都需要什么,我们需要缓存功能,认证功能,受权功能,三大功能 .我们首先看一下INiRealm的继承图,从中选出最适合的继承父类,如下图所示.


通过上图我们可以确定出 AuthorizingRealm具备我们所需要的所有功能,所以我们只要要继承于 AuthorizingRealm来实现我们的Realm子类就可.

  • 首先我们创立出一个类继承于AuthorizingRealm,代码如下所示.
import org.apache.shiro.authc.AuthenticationException;import org.apache.shiro.authc.AuthenticationInfo;import org.apache.shiro.authc.AuthenticationToken;import org.apache.shiro.authz.AuthorizationInfo;import org.apache.shiro.realm.AuthorizingRealm;import org.apache.shiro.subject.PrincipalCollection;public class MyRealm extends AuthorizingRealm {}

创立好的类我们会发现他处于报错状态,如下图所示.

这是由于继承于AuthorizingRealm的子类必需要实现认证方法和受权方法.我们使用Alt +Enter快速创立这两个方法.

其中 doGetAuthenticationInfo为认证方法,doGetAuthorizationInfo为受权方法.代码如下所示.

public class MyRealm extends AuthorizingRealm {    @Override    public String getName() {        return "MyRealm";    }    //受权方法    @Override    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {        return null;    }    //认证方法    @Override    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {        return null;    }}

自己设置Realm的连接用


上一个板块我们已经把我们自己设置的Realm创立出来了,在编写具体的认证受权逻辑代码之前,我们要先把我们Realm注入到我们的工程中,这里有两种方式.一种是INI文件注入,例外一种就是传统的代码注入Bean.下面我们分别来看一下我们用这两种方式.

首先,我们看一下如何用INI文件的形式注入我们自己设置的Realm.这时候我们可能就需要使用到INI文件中的[main]板块了,具体INI文件的配置可以看我前面的SpringBoot:集成Shiro之INI配置篇.

First

我们新建一个INI文件.取名叫shiro-realm.ini.(不做任何设置的话,项目加载的是在resources目录下或者者是resources/META-INF目录下的shiro.ini文件,这里由于我要做一个整体的Demo,所以就写两个INI文件作为区分了.) 结构如下图所示.

?
接下来,我们就配置我们的INI文件[main]板块的内容,这里我们只要要用Shiro的自己设置Realm功能,所以代码如下所示.

[main]#定义RealmmyRealm = com.dong.shiro.MyRealm#配置RealmsecurityManager.realms = $myRealm

而后我们接下来就需要和SpringBoot:集成Shiro之INI认证篇中的配置过程一样,通过INI初始化我们的SecurityManager对象.其余代码一致就可.

        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-realm.ini");

整体代码如下所示.

        //初始化SecurityManager对象 用INI文件进行自己设置Realm的设置        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-realm.ini");        //通过SecurityManager工厂对象,获取SecurityManager实例对象.        SecurityManager securityManager =  factory.getInstance();        // 把 securityManager 实例 绑定到 SecurityUtils        SecurityUtils.setSecurityManager(securityManager);        //组建Subject主体.        Subject subject = SecurityUtils.getSubject();        //创立 token 令牌        UsernamePasswordToken token = new UsernamePasswordToken(userName,passWord);        //使用户登录操作.        try{            subject.login(token);            resultMap.put("code","200");            resultMap.put("msg","使用户登录成功");        }catch (AuthenticationException e){            //登录失败起因 1 使用户不存在 2 使用户密码不正确            resultMap.put("code","-1");            resultMap.put("msg","使用户登录失败");        }

Second

第二种方式,则是用代码的形式注入自己设置的Realm,相比于第一种而言,较为麻烦一下,尽管我编写的项目中用的是代码注入的形式.但是不得不说第一种形式很是方便简单.大家酌情区分用这两种情况.废话不多说,我们看下代码注入的形式是如何实现的.

首先我们需要创立一个Shiro的配置类ShiroConfiguration .代码如下所示(代码是由我从项目中直接拷贝而来,可能会多很多的import).当然了,我们需要确定这个配置类能被启动类加载到.

import org.apache.shiro.spring.LifecycleBeanPostProcessor;import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;import org.apache.shiro.spring.web.ShiroFilterFactoryBean;import org.apache.shiro.web.mgt.DefaultWebSecurityManager;import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;import org.springframework.beans.factory.annotation.Qualifier;import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import java.util.LinkedHashMap;@Configurationpublic class ShiroConfiguration {}

而后我们需要配置核心安全事务管理器和配置自己设置的权限登录器两大板块,代码如下所示.

    //配置核心安全事务管理器    @Bean(name="securityManager")    public DefaultWebSecurityManager securityManager(@Qualifier("myShiroRealm") MyShiroRealm myShiroRealm) {        DefaultWebSecurityManager manager=new DefaultWebSecurityManager();        manager.setRealm(myShiroRealm);        return manager;    }    //配置自己设置的权限登录器    @Bean(name="myShiroRealm")    public MyRealm authRealm() {        MyRealm myShiroRealm=new MyRealm();        return myShiroRealm;    }

这样我们就完成了自己设置Realm类的配置.整体代码如下所示.

@Configurationpublic class ShiroConfiguration {    //配置核心安全事务管理器    @Bean(name="securityManager")    public DefaultWebSecurityManager securityManager(@Qualifier("myShiroRealm") MyShiroRealm myShiroRealm) {        DefaultWebSecurityManager manager=new DefaultWebSecurityManager();        manager.setRealm(myShiroRealm);        return manager;    }    //配置自己设置的权限登录器    @Bean(name="myShiroRealm")    public MyRealm authRealm() {        MyRealm myShiroRealm=new MyRealm();        return myShiroRealm;    }}

看完这个板块大家是不是觉得第一种形式更加的简洁方便呢?

自己设置Realm的认证逻辑


通过上面的两种方式,我们已经可以把我们自己设置的Realm注入到Bean中了,下面我们就看一下,如何用自己设置Realm连接数据库完成认证过程.

我们前面说过,认证过程是在doGetAuthenticationInfo方法中实现的,我们看到有个AuthenticationToken类型的参数,我们即可以通过这个参数进行使用户名称的获取.如下所示.

        //通过token获取使用户账号        String userName = (String)authenticationToken.getPrincipal();

当我们得到了使用户名称,我们即可以通过使用户名称查询数据库.那么就会出现使用户存在和不存在,密码正确和不正确四种情况.模拟查询数据库代码如下所示.

       //模拟查询数据库(假数据)        String password = null;        if (userName.equals("admin")){            password = "admin";        }else {            return null;        }

那么我们查询出password该怎样用呢?我们看到doGetAuthenticationInfo方法返回值是实现AuthenticationInfo接口的类型,假如返回为null值,则表示使用户不存在,而密码的正确与否需要进一步的判断.

接下来,我们需要用SimpleAuthenticationInfo(实现了AuthenticationInfo接口)这个类组装返回值,它的构造方法需要三个值,分别是账号,密码,以及当前Realm的名称. 所以,代码如下所示.

        //模拟查询数据库(假数据)        String password = null;        if (userName.equals("admin")){            password = "admin";            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(userName, password, getName());            return simpleAuthenticationInfo;        }else {            return null;        }

这时候,我们重新编写一下UserLoginController,验证当账号为admin,密码为admin时能否能够通过.接口方法如下所示.

   @RequestMapping(value = "/realmLogin",method = RequestMethod.POST)    public Map<String,Object> userLoginWithRealmAction (@RequestParam(value = "userName") String userName,                                               @RequestParam(value = "password") String password){        Map<String,Object> resultMap = myShiro.userLoginActionWithMyRealm(userName,password);        return resultMap;    }

用PostMan验证截图如下所示.

验证成功验证失败

自己设置Realm的受权逻辑


上一个板块我们已经实现数据库使用户通过自己设置Realm进行了登录认证.那么,我们该如何对已经登录的使用户进行受权操作呢?这时候,我们需要对自己设置Realm中的doGetAuthorizationInfo方法进行编写了.

和认证过程中返回值一样,假设返回为null,则没有任何权限和角色设置.我们看到doGetAuthorizationInfo方法有个principalCollection参数,principalCollection参数是使用户的验证信息的封装参数.所以我们需要通过这个参数拿到使用户账号信息,代码如下所示.

        String userName = (String) principalCollection.getPrimaryPrincipal();

紧接着我们就去查询数据库的使用户角色和权限,假设admin使用户拥有superAdmin角色和add权限.那么,我们该如何操作呢,代码如下所示.

        String userName = (String) principalCollection.getPrimaryPrincipal();        if (userName.equals("admin")){            List<String> permissions=new ArrayList<>();            List<String> roles =new ArrayList<>();            permissions.add("add");            roles.add("superAdmin");        }else {            return null;        }

而后我们好像上一个板块一样组装返回数据,这里我们需要用到实现AuthorizationInfo接口的SimpleAuthorizationInfo,而后我们把组装的角色List和权限List增加到SimpleAuthorizationInfo中去,完成返回数据的组装.所以doGetAuthorizationInfo的整体代码如下所示.

    //受权方法    @Override    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {        String userName = (String) principalCollection.getPrimaryPrincipal();        if (userName.equals("admin")){            List<String> permissions=new ArrayList<>();            List<String> roles =new ArrayList<>();            permissions.add("add");            roles.add("superAdmin");            //组装返回数据            SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();            simpleAuthorizationInfo.addRoles(roles);            simpleAuthorizationInfo.addStringPermissions(permissions);            return simpleAuthorizationInfo;        }else {            return null;        }    }

接下来,我们继续编写MyShiro这个类的代码.原始代码如下所示.

import org.apache.commons.collections.ArrayStack;import org.apache.shiro.SecurityUtils;import org.apache.shiro.authc.AuthenticationException;import org.apache.shiro.authc.UsernamePasswordToken;import org.apache.shiro.config.IniSecurityManagerFactory;import org.apache.shiro.mgt.SecurityManager;import org.apache.shiro.subject.Subject;import org.apache.shiro.util.Factory;import org.springframework.stereotype.Component;import java.sql.Array;import java.util.*;@Componentpublic class MyShiro {    public Map<String,Object> userLoginActionWithMyRealm (String userName,String passWord){        Map<String,Object> resultMap = new HashMap<>();        //初始化SecurityManager对象 用INI文件进行自己设置Realm的设置        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-realm.ini");        //通过SecurityManager工厂对象,获取SecurityManager实例对象.        SecurityManager securityManager =  factory.getInstance();        // 把 securityManager 实例 绑定到 SecurityUtils        SecurityUtils.setSecurityManager(securityManager);        //组建Subject主体.        Subject subject = SecurityUtils.getSubject();        //创立 token 令牌        UsernamePasswordToken token = new UsernamePasswordToken(userName,passWord);        //使用户登录操作.        try{            subject.login(token);            resultMap.put("code","200");            resultMap.put("msg","使用户登录成功");        }catch (AuthenticationException e){            //登录失败起因 1 使用户不存在 2 使用户密码不正确            resultMap.put("code","-1");            resultMap.put("msg","使用户登录失败");        }        return resultMap;    }}

我们在使用户登录板块(如下图位置.)来验证使用户能否具备相应的权限和角色.

验证代码相似SpringBoot:集成Shiro之INI受权篇中的验证过程,这里就不过多啰嗦,代码如下所示.

        //使用户登录操作.        try{            subject.login(token);            resultMap.put("code","200");            resultMap.put("msg","使用户登录成功");            if (subject.isPermitted("add")){                resultMap.put("PermittedMsg","使用户拥有add权限");            }else {                resultMap.put("PermittedMsg","使用户未拥有add权限");            }            if (subject.hasRole("superAdmin")){                resultMap.put("roleMsg","使用户拥有superAdmin角色");            }else {                resultMap.put("roleMsg","使用户未拥有superAdmin角色");            }        }catch (AuthenticationException e){            //登录失败起因 1 使用户不存在 2 使用户密码不正确            resultMap.put("code","-1");            resultMap.put("msg","使用户登录失败");        }

我们修改下认证过程,让root使用户通过认证,但是没有角色和权限.MyRealm中doGetAuthenticationInfo中代码如下所示.

    //认证方法    @Override    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {        //通过token获取使用户账号        String userName = (String)authenticationToken.getPrincipal();        //模拟查询数据库(假数据)        String password = null;        if (userName.equals("admin") || userName.equals("root")){            password = "admin";            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(userName, password, getName());            return simpleAuthenticationInfo;        }else {            return null;        }    }

这时候,我们用PostMan验证我们的代码实现能否可行.验证截图如下所示,证实其可行.

验证admin使用户拥有权限和角色验证root使用户没有权限和角色

结语


自己设置Realm的实现已经可以实现数据库使用户的认证受权了,下一篇博客我们将看一下如何用Shiro的阻拦器相关内容,让Shiro的认证受权发挥出真正的功能,假如有任何疑问,欢迎在评论区留言,我们一起讨论.欢迎继续关注骚栋,谢谢!

Demo传送门

说明
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是摆设,本站源码仅提供给会员学习使用!
7. 如遇到加密压缩包,请使用360解压,如遇到无法解压的请联系管理员
开心源码网 » SpringBoot:集成Shiro之自己设置Realm实现认证受权

发表回复