SpringBoot:集成Shiro之自定义Realm实现认证授权


前言


前面的两篇博客使用了INI的形式完成了用户的认证授权操作.我曾经多次在博客中提到过INI文件形式进行认证授权只适用于用户较少的情况下,但是,当用户较多的情况下,我们可能需要数据库来管理,这时候,我们就需要自定义Realm了. 接下来,我们来看一下如何使用自定义的Realm实现认证授权操作.


自定义Realm的继承与创建


前面我们说到我们要自定义Realm,首先我们需要先确定我们定义的Realm类中所需要的功能都需要什么,我们需要缓存功能,认证功能,授权功能,三大功能 .我们首先看一下INiRealm的继承图,从中选出最适合的继承父类,如下图所示.


通过上图我们可以确定出 AuthorizingRealm具有我们所需要的所有功能,所以我们只需要继承于 AuthorizingRealm来实现我们的Realm子类即可.

  • 首先我们创建出一个类继承于AuthorizingRealm,代码如下所示.
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

public class MyRealm extends AuthorizingRealm {


}

创建好的类我们会发现他处于报错状态,如下图所示.

这是因为继承于AuthorizingRealm的子类必须要实现认证方法和授权方法.我们用Alt +Enter快速创建这两个方法.

其中 doGetAuthenticationInfo为认证方法,doGetAuthorizationInfo为授权方法.代码如下所示.

public class MyRealm extends AuthorizingRealm {

    @Override
    public String getName() {
        return "MyRealm";
    }

    //授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    //认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        return null;
    }
}


自定义Realm的连接使用


上一个模块我们已经把我们自定义的Realm创建出来了,在编写具体的认证授权逻辑代码之前,我们要先把我们Realm注入到我们的工程中,这里有两种方式.一种是INI文件注入,例外一种就是传统的代码注入Bean.下面我们分别来看一下我们使用这两种方式.

首先,我们看一下如何使用INI文件的形式注入我们自定义的Realm.这时候我们可能就需要用到INI文件中的[main]模块了,具体INI文件的配置可以看我前面的SpringBoot:集成Shiro之INI配置篇.

First

我们新建一个INI文件.取名叫shiro-realm.ini.(不做任何设置的话,项目加载的是在resources目录下或者是resources/META-INF目录下的shiro.ini文件,这里因为我要做一个整体的Demo,所以就写两个INI文件作为区分了.) 结构如下图所示.


 
接下来,我们就配置我们的INI文件[main]模块的内容,这里我们只需要使用Shiro的自定义Realm功能,所以代码如下所示.

[main]
#定义Realm
myRealm = com.dong.shiro.MyRealm
#配置Realm
securityManager.realms = $myRealm

然后我们接下来就需要和SpringBoot:集成Shiro之INI认证篇中的配置过程一样,通过INI初始化我们的SecurityManager对象.其他代码一致即可.

        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-realm.ini");

整体代码如下所示.

        //初始化SecurityManager对象 使用INI文件进行自定义Realm的设置
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-realm.ini");

        //通过SecurityManager工厂对象,获取SecurityManager实例对象.
        SecurityManager securityManager =  factory.getInstance();

        // 把 securityManager 实例 绑定到 SecurityUtils
        SecurityUtils.setSecurityManager(securityManager);

        //组建Subject主体.
        Subject subject = SecurityUtils.getSubject();

        //创建 token 令牌
        UsernamePasswordToken token = new UsernamePasswordToken(userName,passWord);

        //用户登录操作.
        try{
            subject.login(token);
            resultMap.put("code","200");
            resultMap.put("msg","用户登录成功");
        }catch (AuthenticationException e){
            //登录失败原因 1 用户不存在 2 用户密码不正确
            resultMap.put("code","-1");
            resultMap.put("msg","用户登录失败");
        }


Second

第二种方式,则是使用代码的形式注入自定义的Realm,相比于第一种而言,较为麻烦一下,虽然我编写的项目中使用的是代码注入的形式.但是不得不说第一种形式很是方便简单.大家酌情区分使用这两种情况.废话不多说,我们看下代码注入的形式是如何实现的.

首先我们需要创建一个Shiro的配置类ShiroConfiguration .代码如下所示(代码是由我从项目中直接拷贝而来,可能会多很多的import).当然了,我们需要确定这个配置类能被启动类加载到.

import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;

@Configuration
public class ShiroConfiguration {

}

然后我们需要配置核心安全事务管理器和配置自定义的权限登录器两大模块,代码如下所示.

    //配置核心安全事务管理器
    @Bean(name="securityManager")
    public DefaultWebSecurityManager securityManager(@Qualifier("myShiroRealm") MyShiroRealm myShiroRealm) {
        DefaultWebSecurityManager manager=new DefaultWebSecurityManager();
        manager.setRealm(myShiroRealm);
        return manager;
    }
    //配置自定义的权限登录器
    @Bean(name="myShiroRealm")
    public MyRealm authRealm() {
        MyRealm myShiroRealm=new MyRealm();
        return myShiroRealm;
    }

这样我们就完成了自定义Realm类的配置.整体代码如下所示.

@Configuration
public class ShiroConfiguration {
    //配置核心安全事务管理器
    @Bean(name="securityManager")
    public DefaultWebSecurityManager securityManager(@Qualifier("myShiroRealm") MyShiroRealm myShiroRealm) {
        DefaultWebSecurityManager manager=new DefaultWebSecurityManager();
        manager.setRealm(myShiroRealm);
        return manager;
    }
    //配置自定义的权限登录器
    @Bean(name="myShiroRealm")
    public MyRealm authRealm() {
        MyRealm myShiroRealm=new MyRealm();
        return myShiroRealm;
    }
}

看完这个模块大家是不是觉得第一种形式更加的简洁方便呢?


自定义Realm的认证逻辑


通过上面的两种方式,我们已经可以把我们自定义的Realm注入到Bean中了,下面我们就看一下,如何使用自定义Realm连接数据库完成认证过程.

我们前面说过,认证过程是在doGetAuthenticationInfo方法中实现的,我们看到有个AuthenticationToken类型的参数,我们就可以通过这个参数进行用户名称的获取.如下所示.

        //通过token获取用户账号
        String userName = (String)authenticationToken.getPrincipal();

当我们得到了用户名称,我们就可以通过用户名称查询数据库.那么就会出现用户存在和不存在,密码正确和不正确四种情况.模拟查询数据库代码如下所示.

       //模拟查询数据库(假数据)
        String password = null;
        if (userName.equals("admin")){
            password = "admin";
        }else {
            return null;
        }

那么我们查询出password该怎么使用呢?我们看到doGetAuthenticationInfo方法返回值是实现AuthenticationInfo接口的类型,如果返回为null值,则表示用户不存在,而密码的正确与否需要进一步的判断.

接下来,我们需要使用SimpleAuthenticationInfo(实现了AuthenticationInfo接口)这个类组装返回值,它的构造方法需要三个值,分别是账号,密码,以及当前Realm的名称. 所以,代码如下所示.

        //模拟查询数据库(假数据)
        String password = null;
        if (userName.equals("admin")){
            password = "admin";
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(userName, password, getName());
            return simpleAuthenticationInfo;

        }else {
            return null;
        }

这时候,我们重新编写一下UserLoginController,验证当账号为admin,密码为admin时是否能够通过.接口方法如下所示.

   @RequestMapping(value = "/realmLogin",method = RequestMethod.POST)
    public Map<String,Object> userLoginWithRealmAction (@RequestParam(value = "userName") String userName,
                                               @RequestParam(value = "password") String password){

        Map<String,Object> resultMap = myShiro.userLoginActionWithMyRealm(userName,password);

        return resultMap;

    }

使用PostMan验证截图如下所示.

验证成功
验证失败


自定义Realm的授权逻辑


上一个模块我们已经实现数据库用户通过自定义Realm进行了登录认证.那么,我们该如何对已经登录的用户进行授权操作呢?这时候,我们需要对自定义Realm中的doGetAuthorizationInfo方法进行编写了.

和认证过程中返回值一样,假设返回为null,则没有任何权限和角色设置.我们看到doGetAuthorizationInfo方法有个principalCollection参数,principalCollection参数是用户的验证信息的封装参数.所以我们需要通过这个参数拿到用户账号信息,代码如下所示.

        String userName = (String) principalCollection.getPrimaryPrincipal();

紧接着我们就去查询数据库的用户角色和权限,假设admin用户拥有superAdmin角色和add权限.那么,我们该如何操作呢,代码如下所示.

        String userName = (String) principalCollection.getPrimaryPrincipal();

        if (userName.equals("admin")){

            List<String> permissions=new ArrayList<>();
            List<String> roles =new ArrayList<>();
            permissions.add("add");
            roles.add("superAdmin");

        }else {

            return null;

        }

然后我们如同上一个模块一样组装返回数据,这里我们需要使用到实现AuthorizationInfo接口的SimpleAuthorizationInfo,然后我们把组装的角色List和权限List添加到SimpleAuthorizationInfo中去,完成返回数据的组装.所以doGetAuthorizationInfo的整体代码如下所示.

    //授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        String userName = (String) principalCollection.getPrimaryPrincipal();

        if (userName.equals("admin")){

            List<String> permissions=new ArrayList<>();
            List<String> roles =new ArrayList<>();
            permissions.add("add");
            roles.add("superAdmin");
            //组装返回数据
            SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
            simpleAuthorizationInfo.addRoles(roles);
            simpleAuthorizationInfo.addStringPermissions(permissions);
            return simpleAuthorizationInfo;
        }else {
            return null;
        }
    }

接下来,我们继续编写MyShiro这个类的代码.原始代码如下所示.

import org.apache.commons.collections.ArrayStack;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.springframework.stereotype.Component;

import java.sql.Array;
import java.util.*;


@Component
public class MyShiro {
    public Map<String,Object> userLoginActionWithMyRealm (String userName,String passWord){

        Map<String,Object> resultMap = new HashMap<>();

        //初始化SecurityManager对象 使用INI文件进行自定义Realm的设置
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-realm.ini");

        //通过SecurityManager工厂对象,获取SecurityManager实例对象.
        SecurityManager securityManager =  factory.getInstance();

        // 把 securityManager 实例 绑定到 SecurityUtils
        SecurityUtils.setSecurityManager(securityManager);

        //组建Subject主体.
        Subject subject = SecurityUtils.getSubject();

        //创建 token 令牌
        UsernamePasswordToken token = new UsernamePasswordToken(userName,passWord);

        //用户登录操作.
        try{
            subject.login(token);
            resultMap.put("code","200");
            resultMap.put("msg","用户登录成功");

        }catch (AuthenticationException e){
            //登录失败原因 1 用户不存在 2 用户密码不正确
            resultMap.put("code","-1");
            resultMap.put("msg","用户登录失败");
        }
        return resultMap;

    }
}

我们在用户登录模块(如下图位置.)来验证用户是否具有相应的权限和角色.


验证代码类似SpringBoot:集成Shiro之INI授权篇中的验证过程,这里就不过多啰嗦,代码如下所示.

        //用户登录操作.
        try{
            subject.login(token);
            resultMap.put("code","200");
            resultMap.put("msg","用户登录成功");

            if (subject.isPermitted("add")){
                resultMap.put("PermittedMsg","用户拥有add权限");
            }else {
                resultMap.put("PermittedMsg","用户未拥有add权限");
            }
            if (subject.hasRole("superAdmin")){
                resultMap.put("roleMsg","用户拥有superAdmin角色");
            }else {
                resultMap.put("roleMsg","用户未拥有superAdmin角色");
            }

        }catch (AuthenticationException e){
            //登录失败原因 1 用户不存在 2 用户密码不正确
            resultMap.put("code","-1");
            resultMap.put("msg","用户登录失败");
        }

我们修改下认证过程,让root用户通过认证,但是没有角色和权限.MyRealm中doGetAuthenticationInfo中代码如下所示.

    //认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        //通过token获取用户账号
        String userName = (String)authenticationToken.getPrincipal();

        //模拟查询数据库(假数据)
        String password = null;
        if (userName.equals("admin") || userName.equals("root")){
            password = "admin";
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(userName, password, getName());
            return simpleAuthenticationInfo;
        }else {
            return null;
        }

    }

这时候,我们使用PostMan验证我们的代码实现是否可行.验证截图如下所示,证明其可行.

验证admin用户拥有权限和角色
验证root用户没有权限和角色


结语


自定义Realm的实现已经可以实现数据库用户的认证授权了,下一篇博客我们将看一下如何使用Shiro的拦截器相关内容,让Shiro的认证授权发挥出真正的功能,如果有任何问题,欢迎在评论区留言,我们一起探讨.欢迎继续关注骚栋,谢谢!

Demo传送门


©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,504评论 6 496
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,434评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,089评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,378评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,472评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,506评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,519评论 3 413
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,292评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,738评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,022评论 2 329
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,194评论 1 342
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,873评论 5 338
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,536评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,162评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,413评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,075评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,080评论 2 352

推荐阅读更多精彩内容