[Shiro]多Realm时,指定登录Realm

[Shiro]多Realm时,指定登录Realm

之前写过多Realm登录前后台区分问题,实现了当时的需求,可是再下一步的时候,角色与权限校验会失效。为了满足当时的项目需求,又拓展了鉴权源,以及若干功能类。在本人看来,这种方式很Low,玷污了Shiro。
现在有一个较好的方式去实现前后台的认证与鉴权。通过自定义Token类来达到鉴别目的。

Token的介绍

Shiro使用Token作为认证的对象。 在Filter中拦截登录信息创建Token调用登录,或者我们自己在控制器中手动登录。调用登录,会迭代配置的Realm进行验证。

Shiro的FormAuthenticationFilter创建Token

FormAuthenticationFilter中创建Token的方法


FormAuthenticationFilter

最终调用到它的父类AuthenticatingFilter


AuthenticatingFilter

控制器里手动创建Token登录

这里写图片描述

Realm的定义

Shiro在进行登录验证时候,会检查Realm是否支持该Token,如果不支持跳过当前Realm,继续下一个Realm。

    public Class getAuthenticationTokenClass() {
        //支持的Token类的class
        return authenticationTokenClass;
    }
    //是否支持该token
    //Realm支持的类可以是token的子类或相同
    public boolean supports(AuthenticationToken token) {
        return token != null &&    getAuthenticationTokenClass().isAssignableFrom(token.getClass());
    }

自定义Realm一般会继承AuthorizingRealm来支持登录的验证。

我们可以重写public Class getAuthenticationTokenClass()来支持我们的Token。

自定义Token

Shiro的UsernamePasswordToken源码

public class UsernamePasswordToken implements HostAuthenticationToken, RememberMeAuthenticationToken {

    private String username;

    private char[] password;

    private boolean rememberMe = false;

    private String host;

    public UsernamePasswordToken() {
    }

    public UsernamePasswordToken(final String username, final char[] password) {
        this(username, password, false, null);
    }
    public UsernamePasswordToken(final String username, final String password, final String host) {
        this(username, password != null ? password.toCharArray() : null, false, host);
    }
    public Object getPrincipal() {
        return getUsername();
    }

 
    public Object getCredentials() {
        return getPassword();
    }

  
    public String getHost() {
        return host;
    }

    public void setHost(String host) {
        this.host = host;
    }

    public boolean isRememberMe() {
        return rememberMe;
    }

    public void setRememberMe(boolean rememberMe) {
        this.rememberMe = rememberMe;
    }


    public void clear() {
        this.username = null;
        this.host = null;
        this.rememberMe = false;

        if (this.password != null) {
            for (int i = 0; i < password.length; i++) {
                this.password[i] = 0x00;
            }
            this.password = null;
        }

    }
}

UsernamePasswordToken实现了AuthenticationToken(认证)、HostAuthenticationToken(用户ip)、RememberMeAuthenticationToken(记住我)接口。

AuthenticationToken

public interface AuthenticationToken extends Serializable {

    /**
    *获取登陆用户名
    */
    Object getPrincipal();

    /**
     *获取密码
     */
    Object getCredentials();

}

由于Realm检查是否支持Token类的是允许支持验证子类的,我们不能去继承UsernamePasswordToken,需要自己实现一个Token。直接拷贝代码,修改类名就可以。或者根据你的业务需求,重写一部分功能。

每一个自定义Realm对应支持一种Token。就可以使登录验证时不会重复调用Realm多次验证和异常消息的覆盖。

[示例代码] https://git.oschina.net/yihyforever/shiro-realms.git

下一篇,Shiro的缓存及坑点

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成,浏览时请结合常识与多方信息审慎甄别。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

相关阅读更多精彩内容

友情链接更多精彩内容