本文介绍了如何在SpringBoot项目中整合Shiro,实现老师、家长和学生不同角色的登录验证,以及如何配置多个Realm进行权限管理和免密/密码登录策略。重点在于自定义ModularRealmAuthenticator和UsernamePasswordToken以支持不同登录类型。
shrio与springboot的简单整合:
1、Spring Boot 与Shrio的简单整合,适合做单体项目
2、Shrio 的会话管理,可以用在前后端分离的项目
3、Shrio 使用redis做缓存
可以参考文章:Shrio与SpringBoot整合(一)_我是混IT圈的-优快云博客
这里主要是Shiro配置多个Realm进行鉴权:
总共三个Reaml,分别是老师、家长、学生,其他老师是免密登录,家长和学生是账号密码登录。
Shrio配置的时候,这里没有配置密码加密,所以这里的账号密码都是明文。
配置多个Realm有两种情况:
1、用户的登录只能使用1个Realm进行鉴权。
2、用户的登录需要通过多个Realm进行鉴权。
shiro在多个realm同时生效时提供了三种策略:
1、org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy 至少一个成功的策略-默认使用
2、org.apache.shiro.authc.pam.AllSuccessfulStrategy 全部成功策略
3、org.apache.shiro.authc.pam.FirstSuccessFulStrategy 第一个成功策略
管理realm的类是:ModularRealmAuthenticator
实现的过程简单说下:
重写 UsernamePasswordToken,加一个 loginType 属性,subject.login() 的时候传入 loginType; 重写 ModularRealmAuthenticator 中的 doAuthenticate() 方法,根据传进来的 loginType 来指定使用哪个 Realm。
废话不多说,上代码:
1、pom.xml 文件就不写了,如果不知道,看参考文档
2、创建Realm
老师:TeacherRealm
package com.example.springbootshrio.shiro;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import java.util.HashSet;
import java.util.Set;
/**
* 老师的realm
* 老师的登录为免密登录
*/
public class TeacherRealm extends AuthorizingRealm {
//这里可以注入其他的服务,去查询用户的密码、查询用户的权限等信息
/**
* 授权
* @param principalCollection
* @return
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//用户名
String username = (String) SecurityUtils.getSubject().getPrincipal();
System.out.println("-------根据用户名,获取权限--------");
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//权限code,要唯一的,之后的权限验证就是通过匹配它来做的
Set<String> stringPermissions = new HashSet<>();
stringPermissions.add("teacher:list");
stringPermissions.add("teacher:update");
info.setStringPermissions(stringPermissions);
//还可以通过角色来做权限验证
Set<String> roles = new HashSet<>();
roles.add("老师");
info.setRoles(roles);
return info;
}
/**
* 这里可以注入userService,为了方便演示,我就写死了帐号了密码
* private UserService userService;
* <p>
* 用户名和密码的验证
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
System.out.println(getName()+"-------身份认证方法--------");
//用户名,也就是openId
String userName = (String) authenticationToken.getPrincipal();
//通过数据库查询这个openId是否正确,如果正确,那么就可以验证了,因为免密登录这里的密码都是固定的,比如都是123456
//根据用户名从数据库获取密码
String password = "123456";
if (userName == null) {
throw new AccountException("用户名或密码不正确");
}
//由shiro来做密码校验 如果身份认证验证成功,返回一个AuthenticationInfo实现;
return new SimpleAuthenticationInfo(userName, //用户名
password, //密码
getName() //当前 realm 的名字
);
}
}
家长:ParentsRealm
package com.example.springbootshrio.shiro;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import java.util.HashSet;
import java.util.Set;
/**
* 家长的realm
* 需要账号密码登录
*/
public class ParentsRealm extends AuthorizingRealm {
//这里可以注入其他的服务,去查询用户的密码、查询用户的权限等信息
/**
* 授权
* @param principalCollection
* @return
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
//用户名
String username = (String) SecurityUtils.getSubject().getPrincipal();
System.out.println("-------根据用户名,获取权限--------");
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
//权限code,要唯一的,之后的权限验证就是通过匹配它来做的
Set<String> stringPermissions = new HashSet<>();
stringPerm
最低0.47元/天 解锁文章
扫一扫
3534
到【灌水乐园】发言
