[Shiro]多Realm时,指定登录Realm
之前写过多Realm登录前后台区分问题,实现了当时的需求,可是再下一步的时候,角色与权限校验会失效。为了满足当时的项目需求,又拓展了鉴权源,以及若干功能类。在本人看来,这种方式很Low,玷污了Shiro。
现在有一个较好的方式去实现前后台的认证与鉴权。通过自定义Token类来达到鉴别目的。
Token的介绍
Shiro使用Token作为认证的对象。 在Filter中拦截登录信息创建Token调用登录,或者我们自己在控制器中手动登录。调用登录,会迭代配置的Realm进行验证。
Shiro的FormAuthenticationFilter创建Token
FormAuthenticationFilter中创建Token的方法
最终调用到它的父类AuthenticatingFilter
控制器里手动创建Token登录
Realm的定义
Shiro在进行登录验证时候,会检查Realm是否支持该Token,如果不支持跳过当前Realm,继续下一个Realm。
public Class getAuthenticationTokenClass() {
//支持的Token类的class
return authenticationTokenClass;
}
//是否支持该token
//Realm支持的类可以是token的子类或相同
public boolean supports(AuthenticationToken token) {
return token != null && getAuthenticationTokenClass().isAssignableFrom(token.getClass());
}
自定义Realm一般会继承AuthorizingRealm来支持登录的验证。
我们可以重写public Class getAuthenticationTokenClass()来支持我们的Token。
自定义Token
Shiro的UsernamePasswordToken源码
public class UsernamePasswordToken implements HostAuthenticationToken, RememberMeAuthenticationToken {
private String username;
private char[] password;
private boolean rememberMe = false;
private String host;
public UsernamePasswordToken() {
}
public UsernamePasswordToken(final String username, final char[] password) {
this(username, password, false, null);
}
public UsernamePasswordToken(final String username, final String password, final String host) {
this(username, password != null ? password.toCharArray() : null, false, host);
}
public Object getPrincipal() {
return getUsername();
}
public Object getCredentials() {
return getPassword();
}
public String getHost() {
return host;
}
public void setHost(String host) {
this.host = host;
}
public boolean isRememberMe() {
return rememberMe;
}
public void setRememberMe(boolean rememberMe) {
this.rememberMe = rememberMe;
}
public void clear() {
this.username = null;
this.host = null;
this.rememberMe = false;
if (this.password != null) {
for (int i = 0; i < password.length; i++) {
this.password[i] = 0x00;
}
this.password = null;
}
}
}
UsernamePasswordToken实现了AuthenticationToken(认证)、HostAuthenticationToken(用户ip)、RememberMeAuthenticationToken(记住我)接口。
AuthenticationToken
public interface AuthenticationToken extends Serializable {
/**
*获取登陆用户名
*/
Object getPrincipal();
/**
*获取密码
*/
Object getCredentials();
}
由于Realm检查是否支持Token类的是允许支持验证子类的,我们不能去继承UsernamePasswordToken,需要自己实现一个Token。直接拷贝代码,修改类名就可以。或者根据你的业务需求,重写一部分功能。
每一个自定义Realm对应支持一种Token。就可以使登录验证时不会重复调用Realm多次验证和异常消息的覆盖。
[示例代码] https://git.oschina.net/yihyforever/shiro-realms.git
下一篇,Shiro的缓存及坑点
