2. 程式人生 > >使用shiro進行登入校驗;自定義realm的實現

使用shiro進行登入校驗;自定義realm的實現

阿新 發佈:2019-01-25

在web中, 使用者輸入使用者名稱密碼登入,我們需要用這些資訊和已經註冊存在在資料庫中的賬戶資訊進行對比,判斷使用者名稱和密碼是否正確。

shiro提供了自定義realm的實現來進行處理對不同資料來源的校驗:

realm就是一個安全資料來源。可以將其看作為資料庫的另一層封裝,連線了應用和db

使用者提交的資料流到reaml中,reaml中存著資料庫中的賬戶資訊,因此進行對比。

1、首先呼叫Subject.login(token)進行登入,其會自動委託給Security Manager,呼叫之前必
須通過SecurityUtils. setSecurityManager()設定;
2、SecurityManager負責真正的身份驗證邏輯;它會委託給Authenticator進行身份驗證;
3、Authenticator才是真正的身份驗證者,Shiro API中核心的身份認證入口點,此處可以自
定義插入自己的實現;
4、Authenticator可能會委託給相應的AuthenticationStrategy進行多Realm身份驗證,預設
ModularRealmAuthenticator會呼叫AuthenticationStrategy進行多Realm身份驗證;
5、Authenticator 會把相應的token 傳入Realm,從Realm 獲取身份驗證資訊,如果沒有返
回/丟擲異常表示身份驗證失敗了。此處可以配置多個Realm,將按照相應的順序及策略進
行訪問。

自定義realm的實現:在獲取securityManager的時候初始化指定了ini配置檔案,配置檔案中指定讓shiro執行自定義的realm,而不是

最初的[users]的這種方式來獲取使用者名稱和密碼:

自定義realm時候配置檔案的寫法: realm名稱=realm實現類的全路徑,shiro反射拿到 ,設定securityManager.realms=$自定義reaml名

多個reaml實現的時候,繼續往下追加

類似:

realm1=.......

realm2=.......

realm3=.......

securityManager.realms=$realm1,$realm2,$realm3

#宣告一個realm
myRealm1= com.gjj.test.shiro.RealmService
#指定securityManagerrealms實現,通過$name來指定realm
securityManager.realms=$myRealm1

shiro的實現:

1.實現Realm介面:

package com.gjj.test.shiro;

import org.apache.shiro.authc.*;
import org.apache.shiro.realm.Realm;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

/**
 * 自定義realm的實現
 * Created by guojiangjiang on 2016/6/5.
 */
public class RealmService implements Realm {
    private static final Logger logger = LoggerFactory.getLogger(RealmService.class);
    private static final String REAM_NAME = "OwnRealm";
    /**
     * 返回一個唯一的realm名字
     *
     * @return
     */
    @Override
    public String getName() {
        return this.REAM_NAME;
    }

    /**
     * 判斷此realm是否支援此token
     *
     * @param authenticationToken
     * @return
     */
    @Override
    public boolean supports(AuthenticationToken authenticationToken) {
//是否支援使用者名稱登入的token
        return authenticationToken instanceof UsernamePasswordToken;
    }

    /**
     * 根據token獲取認證資訊
     *
     * @param token 認證令牌
     * @return
     * @throws AuthenticationException
     */
    @Override
    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        String userName = String.valueOf(token.getPrincipal());
        String passwd = String.valueOf(token.getCredentials());
        int count = 0;
        if ("jack".equals(userName)) {
            count += 1;
            logger.info("使用者名稱正確:{}", userName);
        } else {
            throw new UnknownAccountException("使用者名稱錯誤!");
        }
        if ("12345".equals(passwd)) {
            count += 1;
            logger.info("密碼正確:{}", passwd);
        } else {
            throw new IncorrectCredentialsException("密碼錯誤!!!");
        }
//        返回認證資訊的一個簡單實現,三個引數,使用者名稱,密碼,域name
        AuthenticationInfo info = new SimpleAuthenticationInfo(userName, passwd, this.REAM_NAME);

        return info;
    }
}
2.配置 shiro_realm.ini 
#宣告一個realm
myRealm1= com.gjj.test.shiro.RealmService
#指定securityManagerrealms實現,通過$name來指定realm
securityManager.realms=$myRealm1
3.在程式碼中接收使用者提交的引數,配置realm: 
package com.gjj.test.shiro;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;

import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

/**
 * Realm:域,Shiro 從從Realm獲取安全資料(如使用者、角色、許可權),就是說SecurityManager
 * 要驗證使用者身份,那麼它需要從Realm獲取相應的使用者進行比較以確定使用者身份是否合法;
 * 也需要從Realm得到使用者相應的角色/許可權進行驗證使用者是否能進行操作;可以把Realm看
 * 成DataSource , 即安全資料來源。如我們之前的ini 配置方式將使用
 * org.apache.shiro.realm.text.IniRealm。
 * realm就類似於安全資料來源。
 * <p/>
 * Created by guojiangjiang on 2016/6/5.
 */
public class RealmTest {
    private static final Logger logger = LoggerFactory.getLogger(RealmTest.class);

    public static void main(String[] args) {
        testRealm();
    }

    private static void testRealm() {
//1、獲取SecurityManager工廠,此處使用Ini配置檔案初始化SecurityManager
        Factory<org.apache.shiro.mgt.SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro_ownRealm.ini");
//2、得到SecurityManager例項並繫結給SecurityUtils
        org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
//3、得到Subject及建立使用者名稱/密碼身份驗證Token(即使用者身份/憑證)
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("jack", "12345");
        try {
//4、登入,即身份驗證
            subject.login(token);
        } catch (AuthenticationException e) {
//5、身份驗證失敗
        }

    }
}



相關推薦

使用shiro進行入校定義realm實現

在web中, 使用者輸入使用者名稱密碼登入,我們需要用這些資訊和已經註冊存在在資料庫中的賬戶資訊進行對比,判斷使用者名稱和密碼是否正確。 shiro提供了自定義realm的實現來進行處理對不同資料來源的校驗: realm就是一個安全資料來源。可以將其看作為資料庫的另一層封裝

shiro學習筆記(3)--定義realm、授權

一:自定義Realm 1、繼承AuthorizingRealm(因為該類中有認證、授權的抽象方法,實現簡單) public class MyRealm1 extends AuthorizingRealm{ @Override public String getName(

ssm整合shiro通過定義Realm實現認證登入、許可權處理、定義role攔截、MD5加密

整合後實現功能 1.登入認證 2.許可權處理 3.自定義role攔截 4.md5加密 ssm整合shiro步驟 先看看整合完成後的專案結構 新建一個maven專案 配置pom.xml檔案 <?xml version="1.0" encoding="UT

spring-security 定義入校

1.為何要做自定義登入頁面以及校驗在專案中配置了spring-security的模組的專案中,spring boot會預設幫我們生成的一個簡潔的登入頁面,它會在我們訪問任何請求的時候彈出來 使用者名稱是預設的:user,密碼是需要我們找到我們啟動專案時的日誌,裡面會隨機生成一個預設的密碼輸入之後就可以訪

Django-rest_framework中利用jwt登入驗證時,定義返回憑證和入校支援手機號

安裝 pip install djangorestframework-jwt 在Django.settings中配置 REST_FRAMEWORK = { 'DEFAULT_AUTHENTICATION_CLASSES': ( 'rest_framework_jw

SpringMVC--定義處理器攔截器(HandlerInterceptorAdapter)實現入校

在後臺介面開發中會有一類介面是需要做登入校驗的,類似於生成訂單,檢視自己的訂單列表等介面,都需要先判斷使用者是否登入.雖然可以在介面中進行判斷,但是會讓程式碼冗餘,所以決定用自定義攔截器+自定義註解來完成這個功能自定義攔截器可以實現HandlerInterceptor介面或者

Shiro安全框架第四篇| Shiro定義Realm進行認證授權

  SHiro自定義Realm 首先在resource下新建user.ini 1[users] 2jiuyue=12345,admin 3[roles] 4admin=user:delete,user:update 然後測試類下新建IniRealmTest測試類,跟前面不

使用easyUI中的jquery.validate.min.js外掛進行表單驗證並定義規則

以前使用原生的js或者jQuery寫表單驗證真的好麻煩,使用上面的easyUI外掛配合著ajax真的節省好多程式碼量直接上程式碼<%@page contentType="text/html"%> <%@page pageEncoding="UTF-8"%&g

Shiro入門6:定義realm查詢資料庫進行認證

在學習自定義Realm的時候很多人都會有這個問題: 為什麼要用Realm?自定義Realm有什麼作用? 將來實際開發需要realm從資料庫查詢資訊 Realm是什麼? 關於Realm的作用及解釋,

shiro定義realm(五)

cm4 dsm cbc vdh fab strong vts gn3 aqi 上一節介紹了realm的作用: realm:需要根據token中的身份信息去查詢數據庫(入門程序使用ini配置文件),如果查到用戶返回認證信息,如果查詢不到返回null。token就相當於是對用戶

shiro定義realm支持MD5算法(六)

svi vfs ltm vold rcc TTT sym fio owa 1.1 散列算法 通常需要對密碼 進行散列,常用的有md5、sha, 對md5密碼,如果知道散列後的值可以通過窮舉算法,得到md5密碼對應的明文。 建議對md5進行散列時加salt(鹽),

shiro授權及定義realm授權(七)

qbc mtp jbd red es6 sil llb wmi sin 1.授權流程 2. 三種授權方法          Shiro 支持三種方式的授權: 編程式:通過寫if/else 授權代碼塊完成: Subject subject = SecurityU

SSM+Apache shiro--定義realm

ati 定義 ppi auto word sta active 如果 ive 自定義reaml需繼承AuthorizingRealm,並重寫doGetAuthorizationInfo(用戶獲取授權信息)和doGetAuthenticationInfo(用戶獲取認證信息)兩

(3)shiro定義realm

上面一章說到shiro的認證和授權最底層就是呼叫realm的getAuthorizationInfo(獲取使用者的角色和資源)和getAuthenticationInfo(校驗賬號密碼是否正確)兩個方法。 如果我們要從資料庫中查詢使用者和他的許可權資訊,我們可以使用shiro提供給我們的JdbcRealm

Login入校

首次登入: @RequestMapping("/login") public JsonResult login(HttpServletRequest request, HttpServletResponse response, @RequestParam Map<String, Str

Android 支付密碼輸入框,定義EditText實現密碼輸入框功能

剛擼出來的密碼輸入框,註釋和邏輯看著挺清晰的,一些屬性還沒有新增,下個部落格把屬性新增上去; 看一下圖: 直接看程式碼吧! import android.content.Context; import android.graphics.Canvas; import android.

shiro與spring security如何用定義異常處理401

背景 現在是前後端分離的時代,後端必然要統一處理返回結果,比如定義一個返回物件 public class ResponseData<T> { /** * 統一返回碼 */ public String rtnCode; /*

easyui 進階之tree easyui 進階之表單校定義

前言 easyui是一種基於jQuery的使用者介面外掛集合,它為建立現代化,互動,JavaScript應用程式,提供必要的功能,完美支援HTML5網頁的完整框架,節省網頁開發的時間和規模。非常的簡單易學。 easyui中文網:http://www.jeasyui.net/ easyui官網:http:

ASP.NET Core 中簡單Session入校

ASP.NET Core 中簡單Session登入校驗:從Session的配置新增、到請求過濾、再到頁面操作。推薦相關閱讀:ASP.NET 會話狀態概述  ASP.NET Cookie 概述  ASP.NET 狀態管理建議 ASP.NET Core 中的會話和應用狀態 目

Visual Studio進行Python程式設計(新增定義Python直譯器)

  這篇部落格主要介紹一下在Visual Studio下安裝python開發環境,在vs下配置python開發環境的部落格不少,但是都介紹的是使用vs提供的預設的python直譯器,很少有使用自己安裝的直譯器的文章,因此今天就稍作介紹 安裝Visual Studio   安裝vi