Spring Boot -Shiro配置多Realm

最新推荐文章于 2024-04-01 17:09:57 发布
最新推荐文章于 2024-04-01 17:09:57 发布
阅读量250 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: java python
原文链接:https://my.oschina.net/MeiJianMing/blog/3017838
本文深入探讨了Shiro权限认证框架的配置与使用,包括核心类的介绍、配置流程及自定义过滤器的方法,适用于Python工程师理解并应用到实际项目中。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

核心类简介

xxxToken:用户凭证 xxxFilter:生产token,设置登录成功,登录失败处理方法,判断是否登录连接等 xxxRealm:依据配置的支持Token来认证用户信息,授权用户权限

核心配置

Shrio整体配置:ShrioConfig.java

 @Bean
 public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
  ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
  shiroFilterFactoryBean.setSecurityManager(securityManager);

  Map<String, Filter> filters = shiroFilterFactoryBean.getFilters();
  //将自定义 的FormAuthenticationFilter注入shiroFilter中
  filters.put("authc", new AuthenticationFilter());
  filters.put("wechat",new ExWechatAppFilter());
  shiroFilterFactoryBean.setFilters(filters);
  
  Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
  ...
  //建立url和filter之间的关系
  filterChainDefinitionMap.put("/wechat/**","wechat");
  filterChainDefinitionMap.put("/**", "authc");
  ...
  shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
  return shiroFilterFactoryBean;
 }


 @Bean
 public SecurityManager securityManager() {
  DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
  securityManager.setAuthenticator(exModularRealmAuthenticator());
  List<Realm> realms = new ArrayList<>();
  //设置多Realm
  realms.add(systemRealm());
  realms.add(wechatAppRealm());
  securityManager.setRealms(realms);
  securityManager.setCacheManager(ehCacheManager());
  securityManager.setRememberMeManager(cookieRememberMeManager());
  return securityManager;
 }
 //重要!!定义token与Realm关系,设置认证策略
 public MyModularRealmAuthenticator myModularRealmAuthenticator(){
  MyModularRealmAuthenticator authenticator = new MyModularRealmAuthenticator();
  FirstSuccessfulStrategy strategy = new FirstSuccessfulStrategy();
  authenticator.setAuthenticationStrategy(strategy);
  return authenticator;
 }
	
	
 @Bean
 public SystemRealm systemRealm() {
  SystemRealm systemRealm = new SystemRealm();
  systemRealm.setAuthorizationCachingEnabled(true);
  systemRealm.setAuthorizationCacheName("authorization");
  systemRealm.setCredentialsMatcher(hashedCredentialsMatcher());
  return systemRealm;
 }

 @Bean
 public WechatAppRealm WechatAppRealm(){
  WechatAppRealm wechatAppRealm = new WechatAppRealm();
  wechatAppRealm.setAuthorizationCachingEnabled(false);
  return WechatAppRealm;
 }

Realm,Token关联关系配置:MyModularRealmAuthenticator.java

public class MyModularRealmAuthenticator extends ModularRealmAuthenticator {
 @Override
 protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {
  assertRealmsConfigured();
//依据Realm中配置的支持Token来进行过滤
  List<Realm> realms = this.getRealms()
   .stream()
   .filter(realm -> realm.supports(authenticationToken))
   .collect(Collectors.toList());
    if (realms.size() == 1) {
   return doSingleRealmAuthentication(realms.get(0), authenticationToken);
  } else {
   return doMultiRealmAuthentication(realms, authenticationToken);
  }
 }
	
}

认证授权配置:Realm.java

public class SystemRealm extends AuthorizingRealm {
 ... 

 @Override
 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
  //重要!!多realm每个都会执行授权相关信息,此处进行过滤
  if(principals.fromRealm(getName()).isEmpty()){
   return null;
  }
  //授权代码...
  return authorizationInfo;
 }

 /**
  * 主要是用来进行身份认证的
  */
 @Override
 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
   throws AuthenticationException {
  //生产AuthenticationInfo代码...
 //校验的部分由配置的credentialsMatcher进行处理
  return authenticationInfo;
 }
 /**
  * 扩展认证token
  *
  * @param authenticationToken
  * @return boolean
  * @author mjm
  * @date 2018/7/3 12:32
  */
 @Override
 public boolean supports(AuthenticationToken authenticationToken) {
  //设置此Realm支持的Token
  return authenticationToken != null && (authenticationToken instanceof UsernamePasswordToken );
 }
}

过滤器配置:AuthenticationFilter.java

基础的过滤器类型:官网中默认有很多已实现的过滤器,可依据需求扩展

public class AuthenticationFilter extends FormAuthenticationFilter {
 ....
 /**
  * 创建令牌
  *
  * @param servletRequest ServletRequest
  * @param servletResponse ServletResponse
  * @return 令牌
  */
 @Override
 protected AuthenticationToken createToken(ServletRequest servletRequest, ServletResponse servletResponse) {
  //依据request中不同的参数创建不同的token...
  return new xxxToken(...);
 }

 ....
}

参考资料

http://shiro.apache.org/realm.html#Realm-Supporting{{AuthenticationTokens}}

转载于:https://my.oschina.net/MeiJianMing/blog/3017838

SpringBoot整合Shirorealm登录配置,另外附俩个教程
qq_35238997的博客
02-20 2346
SpringBoot整合Shiro,通过用户、角色、权限三者关联实现权限管理 本篇文章主要介绍 Shiro realm,根据不同的登录类型指定不同的 realm。 所谓免密登录,就是区别正常的密码登录。比如,我现在要实现第三方登录,当验证了是李四,现在要让他通过 shiro 的 subject.login(),但是不知道他的密码(密码加密了),我们不能拿数据库里的密码去登录,除非重新写 Rea...
authc过滤器 shiro_shiro原理之过滤器
weixin_39786141的博客
01-14 444
Shiro原理-过滤器前言这几天一直在研究Shiro到底是如何工作的,即一个请求过来了,它是如何做到知道这个请求应该用什么方式来鉴权的?应该调用哪个过滤器?自己定义的过滤器该如何才能生效?带着这样的疑问,我做了一些测试与研究,并记录于此文。实现原理Shiro对于请求的鉴权的实现也是通过过滤器(或者说是拦截器)来实现的,但是Spring项目中有拦截链机制,会有个拦截器生效,包括系统内置的以及Shi...
Springboot2集成Shiro框架(九)配置realm
New_Yao的博客
01-14 3496
目录
Spring Boot(十一)Shiro 整合 配置 Realm
好好学习 天天向上
07-08 466
import java.util.ArrayList; import java.util.Collection; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.Authent...
Shrio与SpringBoot整合(二)配置Realm
我是混IT圈的
12-10 1358
shrio与springboot的简单整合: 1、Spring Boot 与Shrio的简单整合,适合做单体项目 2、Shrio 的会话管理,可以用在前后端分离的项目 3、Shrio 使用redis做缓存 可以参考文章:Shrio与SpringBoot整合(一)_我是混IT圈的-优快云博客 这里主要是Shiro配置Realm进行鉴权: 总共三个Reaml,分别是老师、家长、学生,其他老师是免密登录,家长和学生是账号密码登录。 Shrio配置的时候,这里没有配置密码加密,所以这里的账号密码
8_springboot_shiro_jwt_端认证鉴权_Reaml管理
paopao_wu的专栏
04-01 1060
前面一直讨论的是只有一个Reaml的场景,Shiro是可以管理Realm的。那么什么场景下,我们需要定义Realm,以及Shiro框架是如何管理Realm的,他们是如何工作的。本章将会解释上面的问题,最后会配置前面章节中的 `SystemAccountRealm` 用来做用户名,密码认证, `ApiAuthenticationRealm` 用来做 api接口访问认证。
spring-boot-shiro-demo
04-22
Spring Boot简化了Shiro的集成过程,我们可以在配置文件中添加Shiro的依赖,并通过自定义Shiro配置类来配置过滤器链。Shiro的核心组件包括Subject、SecurityManager、Realm等,它们负责处理用户的登录、权限验证以及...
spring-boot-shiro:Apache ShiroSpring Boot的集成
01-30
Apache ShiroSpring Boot集成 GitHub: : 用法 首先安装到本地仓库。 双向v2.0下为2.0.0版本,主要将Spring Boot升级到2.0.4.RELEASE,Shiro升级到1.4.0 mvn clean install pom.xml < groupId>...
springboot-shiro
10-18
首先,SpringBootSpring框架的简化版,它集成了众优秀组件,如Spring MVC、Spring Data JPA等,大大减少了开发者配置的工作量。在SpringBoot项目中集成Shiro,可以充分利用其提供的安全功能,实现用户登录、权限...
详解Spring Boot 集成Shiro和CAS
08-30
ShiroCasRealmSpring Boot 中集成 Shiro 和 CAS 的 Realm 类。该类主要负责身份验证、授权、会话管理等功能。 结论 本文详细介绍了 Spring Boot 集成 Shiro 和 CAS 的知识点,包括 Shiro 和 CAS 的概念、使用...
springcloud-shiro
02-21
2. **Spring Boot整合**:在Spring Boot的主配置类中,将ShiroSpring Boot的生命周期进行绑定,确保ShiroSpring Boot启动时能够正确初始化。 3. **Zuul集成**:配置Zuul,使其能够与Shiro协同工作,实现请求的...
30分钟了解ShiroSpringbootRealm基础配置
weixin_30235225的博客
12-09 150
写在前面的话: 我之前写过两篇与shiro安全框架有关的博文,居然能够广受欢迎实在令人意外。说明大家在互联网时代大伙对于安全和登录都非常重视,无论是大型项目还是中小型业务,普遍都至少需要登录与认证的逻辑封装。相较于SpringSecurity而言,Shrio更轻量无过依赖和便于独立部署的特点更收到开发者的欢迎。本篇博客只作为前两篇对于shiro使用的基础补充,我只谈谈如何在springboot...
自定义Realm与认证策略
微服务技术栈
05-07 278
作为一个优秀的安全框架,你不止可以使用它内部提供的强大功能,还可以根据需要去实现接口定制自己需要的功能,前面我们使用IniReam和JdbcRealm作为资源去获取用户和授权信息。但是我们不得不按照Shiro提供的用户和权限格式去做,比如JdbcRealm假如我们有更加复杂的表结构,则使用JdbcRealm则可能显得极为复杂,此时,我们就可以自定义Realm去获取相关数据源,该篇除了介绍自定义Re...
SpringBoot 整合shiro实现Realm的控制
yuemmm的博客
02-28 2351
文章目录SpringBoot 整合shiro实现Realm的控制一、场景1、假设是让你设计这个表 你会怎么设计?2、管理员的表和用户的表 假设我们都使用shiro来进行认证 ? 怎么办?3、存在两个问题二、编写代码1、导包2、配置application.properies3、编写登陆页面4、编写user模块登陆成功的页面5、编写Admin模块登陆成功的页面6、编写登陆类型的枚举7、编写校验器...
前后端分离shiro集成未登录未授权option预检解决
m0_37928046的博客
07-05 981
最近小编在做新项目的时候采用了前后端分离,使用shiro做权限控制,其中遇到了一些问题。 一 :OPTION请求预检问题 二:未登录未授权跳转问题 解决方案: 一:放行OPTIONS请求 二:继承FormAuthenticationFilter类重写其onAccessDenied方法解决未登录 三:未授权设置全局异常捕获为AuthorizationException 话不说直接...
解决SpringBoot整合Shiro 跨域问题及前端报错401问题解决——亲测有效!
qq_54502508的博客
02-20 3042
解决SpringBoot整合Shiro 跨域问题及前端报错401问题解决——亲测有效!
shiro执行个过滤器_解决springboot整合shiro后过滤器执行顺序的问题
weixin_39824223的博客
12-19 862
1.问题如下:springboot 整合shiro 后出现了 对静态资源(js,css,jpg)的也会进行拦截,但是我们的配置如下,,@BeanpublicShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager, MyFormAuthenticationFilter myFormAuthenticat...
Springboot 配置Shiro实现realm不同数据表用户类型登陆、鉴权
_修铁路的、的博客
07-05 7283
原文参考转载自:https://www.cnblogs.com/skyLogin/p/10871347.html --------------------------- 本文根据原文内容,结合自身实际配置步骤进行编写。 ---------------------------- 场景: 最近做项目时,个项目需要用到shiro用户类型登录,每个角色都在自己独立的库表中,以前...
SpringBoot集成Shiro,并使用Realm
GDUT_Trim的博客
04-26 913
Realm的执行自定义Token自定义ModularRealmAuthenticator创建RealmUserRealmManagerRealm和MerchantRealm配置ShiroConfig测试 Realm是用来做授权和认证的。 最近项目上有个需求是添加上一个新角色,导致要重写整个登录接口,又不太想修改原来的代码,看着那堆屎山就有点烦,所以就打算直接加一个RealmRealm的执行 首先,我们先看Realm是怎么被执行的 Realm是被一个名叫ModularRealmAuthenticat.
spring-boot-shiro-starter
最新发布
12-27
### 如何在Spring Boot中使用shiro-spring-boot-web-starter进行权限管理 #### 添加依赖 为了使项目能够利用Shiro的功能,需先引入`shiro-spring-boot-web-starter`作为Maven项目的依赖项。具体来说,在`pom.xml`文件内加入如下片段: ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-web-starter</artifactId> <version>1.7.1</version> </dependency> ``` 此操作确保了应用程序具备必要的组件来进行基于角色的安全控制[^2]。 #### 创建自定义Realm 实现身份验证和授权的核心在于创建继承自`AuthorizingRealm`的具体类——即所谓的“领域”。此类负责处理用户的认证信息以及其对应的权限集合。例如: ```java public class UserRealm extends AuthorizingRealm { @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 实现获取用户的角色和权限逻辑... SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); return authorizationInfo; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken upToken = (UsernamePasswordToken)token; String username = upToken.getUsername(); // 基于用户名查询数据库或其他存储介质中的密码并返回相应的认证信息对象 Object principal = ... ;// 用户名或其它唯一标识符 Object credentials = ...;// 密码哈希值 return new SimpleAuthenticationInfo(principal, credentials, getName()); } } ``` 这段代码展示了如何构建一个简单的`UserRealm`实例用于模拟实际场景下的数据访问过程[^3]。 #### 注册SecurityManager Bean 为了让Shiro接管整个应用的安全策略,还需注册一个全局唯一的`SecurityManager`bean,并将其关联至之前定义好的`UserRealm`: ```java @Configuration public class ShiroConfig { @Bean public SecurityManager securityManager(UserRealm userRealm){ DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(userRealm); return securityManager; } } ``` 上述配置使得每次请求到达服务器端时都会经过由`DefaultWebSecurityManager`所维护的一系列安全过滤器链路,从而实现了细粒度的访问控制机制。 #### 控制器层面的应用 当涉及到RESTful API接口设计时,如果前端发送的数据格式为JSON,则应在控制器方法签名处声明接收实体类型的参数,并加上`@RequestBody`注解以便正确解析传入的内容体。比如执行登录动作可能像这样编写: ```java @RestController @RequestMapping("/auth") public class AuthController { @PostMapping("/login") public ResponseEntity<?> login(@RequestBody LoginRequest request){ Subject currentUser = SecurityUtils.getSubject(); try{ UsernamePasswordToken token = new UsernamePasswordToken(request.getUsername(),request.getPassword().toCharArray()); currentUser.login(token); Map<String,Object> resultMap=new HashMap<>(); resultMap.put("success",true); resultMap.put("message","登陆成功"); return ResponseEntity.ok(resultMap); }catch(Exception e){ throw new RuntimeException(e.getMessage()); } } } ``` 这里的关键点在于理解何时应该采用何种HTTP Content-Type头字段来指示客户端提交给服务端的数据编码形式;对于JSON而言,默认情况下会自动映射到Java POJO上,前提是已正确定义好相应模型类结构[^5]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值