在tomcat中使用Realm

GDreams0 2011-05-01

1、配置JDBCRealm,

在tomcat的server.xml文件中,配置自己的JDBCRealm,tomcat提供了六种Realm实现,这里使用JDBCRealm演示。

<Realm  className="org.apache.catalina.realm.JDBCRealm"
             driverName="org.gjt.mm.mysql.Driver"
          connectionURL="jdbc:mysql://localhost/std"
         connectionName="root" connectionPassword="root"
              userTable="users" userNameCol="user_name" userCredCol="user_pass"
          userRoleTable="user_roles" roleNameCol="user_role" />

Realm标签可以放在Engine标签中,这是该Realm会被所有应用共享。放在Host中,会被该Host下的应用程序共享。放在Context中,则只有对应的应用程序能被访问。

引用

className:tomcat的JDBCRealm实现类,

driverName:JDBCDriver(JDBCDriverjar需要放在Tomcat'scommon/lib目录下)

connectionURL:数据库连接地址,表名为std

connectionName:数据库登录用户

connectionPassword:数据库登录密码

userTable:用户表的表名

userNameCol:用户表中用户列的列名

userCredCol:用户表中密码列的列名

userRoleTable:角色表的表名

roleNameCol:角色表中的角色列

对于上面配置的Realm,对应的数据库表如下:

CREATE TABLE `users` (
	`user_name` varchar(20) NOT NULL,
	`user_pass` varchar(20) DEFAULT NULL
	) ENGINE=InnoDB DEFAULT CHARSET=utf8;

	CREATE TABLE `user_roles` (
	`user_name` varchar(20) NOT NULL,
	`user_role` varchar(20) NOT NULL,
	PRIMARY KEY (`user_name`,`user_role`)
	) ENGINE=InnoDB DEFAULT CHARSET=utf8;

2、配置认证资源

配置角色,在web.xml中,使用security-role标签来定义角色,如下所示

<security-role>
		<role-name>ADMIN</role-name>
	</security-role>
	<security-role>
		<role-name>USER</role-name>
	</security-role>

配置资源约束,在web.xml中,使用security-constraint标签定义,如下所示,指定了对资源/admin/*的访问需要认证,只有角色是ADMIN的用户才能访问

<security-constraint>
		<web-resource-collection>
			<web-resource-name>adminDir</web-resource-name>
			<url-pattern>/admin/*</url-pattern>
			<http-method>GET</http-method>
			<http-method>POST</http-method>
		</web-resource-collection>
		<auth-constraint>
			<role-name>ADMIN</role-name>
		</auth-constraint>
	</security-constraint>

配置认证方式,在web.xml中使用login-config标签配置认证方式。如下所示,当访问需要认证的资源时,servlet会检查对应的请求是否需要认证,如果不需要,则允许访问,如果没有认证通过,则会转到/admin/login.jsp页面定义的认证入口,填写认证信息。

当认证失败时,会转到/admin/error.jsp页面中。

<login-config>
		<auth-method>FORM</auth-method>
		<form-login-config>
			<form-login-page>/admin/login.jsp</form-login-page>
			<form-error-page>/admin/error.jsp</form-error-page>
		</form-login-config>
	</login-config>

对于auth-method,可以指定认证的方式为,BASIC、DIGEST、CLIENT-CERT、FORM。其中FORM允许自定义登录界面,对于FORM自定义的登录表单,action、用户名、密码都要用统一的名字:

<form action="j_security_check" method="post">
		<table>
			<tr><td>user :</td><td><input name="j_username" type="text"></td></tr>
			<tr><td>pass :</td><td><input name="j_password" type="password"></td></tr>
			<tr><td><input type="submit"/></td></tr>
		</table>
	</form>

通过以上的配置,Request中也就保存了用户的认证信息了,在系统的其他地方,可以通过Request.isUserInRole方法,判断用户的角色。。。。

GDreams0

GDreams0

相关推荐

【Shiro】05 自定义Realm认证实现

Shiro默认使用自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义realm。public abstract class CachingRealm implements

likesyour / 0评论 2020-08-01

tomcat中AuthenticatorBase简单的安全认证

有些web应用程序的内容是有限制的,只允许有权限的用户在提供正确的用户名和密码的情况下才允许访问。Servlet通过配置部署文件web.xml来对安全性提供技术支持。authenticator阀门会在包装器阀门之前被调用。由于验证失败,用户并不能看到请求的

likesyour / 0评论 2020-06-07

SpringBoot11:集成Shiro

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Cryptography:加密,使用密码学

ErixHao / 0评论 2020-06-03

Shiro+JWT 实现权限管理(一)--Shiro

再后来的工作过程中,发现了shiro的一些不足之处--对于多端登录支持不是很友好,需要自己去实现具体功能.在大致研究了JWT功能后,决定对之前写的权限管理做一些优化--使用JWT做认证,配合Shrio强大的授权功能,实现更加全面、轻量化的权限管理.之前那篇

GDreams0 / 0评论 2020-06-01

Springboot整合Shiro

开始配置ShiroConfig,从底层开始配置,Realm需要额外写一个类UserRealm,这个类便是shiro的核心。UserRealm只需继承AuthorizingRealm类即可,要实现如下两个方法,本类为shiro核心:

nullcy / 0评论 2020-04-25

Springboot与Shiro的整合

Springboot使用的页面模板是thyme leaf,它比jsp多一些特定的标签,可以动态或者静态显示文本内容。~ * Copyright 2019. tdc.shangri-la.com. All Rights Reserved.* subjec

visionzheng / 0评论 2020-04-20

spring项目篇5----shiro以及实现登陆认证

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。但是,在Shiro中,Subject这一概

ganjing / 0评论 2020-02-16

Ream--(objc)写事务精简方案

由于realm强制线程安全,所以realm对象不适合持有。所以造成了realm写事务面向realm编程,而不是面向RLMObject编程。或者说realm的面向过的程痕迹还没消除干净,追求速度的realm由c++实现,realm选择了速度放弃了一些便利。常

Mr丶Yang / 0评论 2020-01-23

安全框架Shiro和SpringSecurity的比较

首先Shiro较之 Spring Security,Shiro在保持强大功能的同时,还在简单性和灵活性方面拥有巨大优势。Shiro是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。如下是它所具有的特点:。易于理解的 Jav

luckyxl0 / 0评论 2019-12-24

shiro框架学习-4- Shiro内置JdbcRealm

JdbcRealm就是用户的角色,权限都从数据库中读取,也就是用来进行用户认证授权的安全数据源更换为从数据库中读取,其他没有差别,首先在数据库创建三张表:

GDreams0 / 0评论 2019-12-22

上手spring boot项目(二)之spring boot整合shiro安全框架

在这先感谢群主TyCoding的Tumo项目,虽然本人实在太菜了,好些地方看不懂,但还是使我受益匪浅。shiro作为一个小巧灵活的安全框架,在认证和授权方面简约但又不简单,十分容易上手使用。下面是整合shiro的具体流程。

Julywhj / 0评论 2019-12-14

012在Tomcat下如何手动部署Web应用

  通过对Tomcat目录的了解可知,webapps文件夹是存放工程包的位置。本实例主要介绍如何手动部署Web应用。  这种context片段提供了一种便利的方法来部署Web应用,不需要编辑server.xml,除非想改变默认的部署特性,在安装一个新的We

likesyour / 0评论 2019-12-06

shiro

在这个项目中,我们使用的是shiro安全框架管理用户登录以及资源权限的控制。如果登录成功,会根据当前登录用户获取对应的菜单权限,在realm中进行用户的权限的授予。调用realm的hasRole判断当前用户是否有这个角色权限。isPermitted是shi

ganjing / 0评论 2019-11-09

Kerberos认证解析

Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机、服务器应用程序提供强大的认证服务。Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术执行认证服务的。Kerberos也能达到单点登录的效果,即当Client通过了K

AndrewYuan / 0评论 2019-11-09

权限管理

权限管理是系统的安全范畴,要求必须是合法的用户才可以访问系统,且必须具有该资源的访问权限才可以访问该资源(授权)。shiro是一个权限管理框架,是apache下的开源项目。

AndrewYuan / 0评论 2019-11-06

SpringMVC整合Shiro与filterChainDefinitions过滤器配置

SpringMVC整合Shiro,Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。-- 配置Shiro过滤器,先让Shiro过滤系统接收到的请求 -->. -- 使用[/*]匹配所有请求,保证所有的可控请求都经过S

longdan0 / 0评论 2017-07-27

Apache Shiro 使用手册(四)Realm 实现

在认证、授权内部实现机制中都有提到,最终处理都将交给Real进行处理。因为在Shiro中,最终是通过Realm来获取应用程序中的用户、角色及权限信息的。通常情况下,在Realm中会直接从我们的数据源中获取Shiro需要的验证信息。可以说,Realm是专用于

Cshnuscw / 0评论 2015-06-24

Apache Shiro 使用手册(一)Shiro架构介绍

认证 - 用户身份识别,常被称为用户“登录”;但考虑到大多数目的和用途,你可以把它认为是Shiro的“用户”概念。Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。也就是说,当对用户执行认证(登录)和授权验证时

tulunta / 0评论 2015-06-24

Android Studio 3.2 Gradle3.2使用Realm出错

Android Studio3.2Gradle3.2使用Realm,结果gradle3.2出错了。Configuration 'compile' is obsolete and has been replaced with 'implementation'

DeadKnight / 0评论 2019-04-07

shiro

shiro是apache提供的强大而灵活的开源安全框架,它主要用来处理身份认证,授权,企业会话管理和加密。shiro功能:用户验证、用户执行访问权限控制、在任何环境下使用sessionAPI,如cs程序。可以使用多数据源如同时使用oracle、mysql。

子云 / 0评论 2016-03-23

shiro-自定义realm

之前写的博客里都是使用.ini文件来获取信息的,包括用户信息,角色信息,权限信息等。进入系统时,都是从.ini文件这读取进入的。实际中除非这个系统特别特别简单,否则一般都不是这样干的,这些信息都是需要在数据库中进行维护的,所以就需要用到自定义realm了。

likesyour / 0评论 2017-11-08

shiro-入门Realm

在上篇文章中我们将身份信息写在配置文件中,但是实际开发中,这些身份信息应该保存在数据中,因此我们需要自定义Realm来从数据中获取身份信息,进行验证。

missok / 0评论 2017-11-03

tomcat绑定多个域名

首先要将您的域名解析到tomcat所在的服务器上比如您的服务器的IP为102.11.28.16;打算在这台机器上部署三个应用,分别对应三个域名。xy109.com默认端口改为80 <Connector port="80" prot

AndrewYuan / 0评论 2013-03-19

Spring Security整合KeyCloak保护Rest API

今天我们尝试Spring Security整合Keycloak,并决定建立一个非常简单的Spring Boot微服务,使用Keycloak作为我的身份验证源,使用Spring Security处理身份验证和授权。设置Keycloak首先我们需要一个Keyc

darongzi / 0评论 2019-07-01

第六章 Realm及相关对象

6.1 Realm及部分都已经详细介绍过Realm了,接下来再来看一下一般真实环境下的Realm如何实现。

honeylife / 0评论 2017-01-09

CachingRealm抽象类

CachingRealm抽象类主要是用来做缓存realm的,它实现了Realm,Nameable,CacheManagerAware,LogoutAware接口,先对其解析如下:。可以参考Realm接口源码解析,主要有获取名字,是否支持当前token,获取

reylen / 0评论 2016-11-07

FirstSuccessfulStrategy类源码解析

CollectionUtils.isEmpty) { return aggregate; } return info !

zhengwanshi / 0评论 2016-11-07

AbstractAuthenticationStrategy抽象类源码解析

主要是定义了一些认证时的公共的方法,例如beforeAllAttempts,beforeAttempt,afterAttempt,afterAllAttempts。

honeylife / 0评论 2016-11-04

ModularRealmAuthenticator类

public void setRealms(Collection<Realm> realms) { this.realms = realms;}. protected Collection<Realm> getRealms() {

likesyour / 0评论 2016-11-04

AtLeastOneSuccessfulStrategy类

return aggregate; }

Mr丶Yang / 0评论 2016-11-04

AuthenticationStrategy接口源码解析

AuthenticationInfo beforeAllAttempts(Collection<?

cijiancao / 0评论 2016-11-04

AuthenticatingSecurityManager抽象类

public Authenticator getAuthenticator() { return authenticator;}

DeadKnight / 0评论 2016-11-03

RealmSecurityManager抽象类源码解析

realms.isEmpty()) { for { if { .setCacheManager; } } } }

Running果子 / 0评论 2016-11-03

shiro总结1

如果返回认证信息不是null,对inirealm返回用户密码。如果一致则认证通过,如果不致抛出异常。

AndrewYuan / 0评论 2016-03-06

shiro学习15-访问权限控制-authorizingRealm,Authorizor

其实权限验证完全可以类比登录校验,登录校验的时候也有一个Authenticator,他是调用的reaml的信息,这个Authorizer也是调用的realm里面的信息。所以最主要的是还是我们配置的realm,权限的判断最终的根据就是realm中的权限角色信

子云 / 0评论 2016-02-23

shrio自定义realm,权限拦截

private SysUserService userService;private UserAuthService userAuthService;return authorizationInfo;logger.info("----------

Running果子 / 0评论 2016-01-15

源码分析shiro认证授权流程

认证 - 用户身份识别,常被称为用户“登录”;授权 - 访问控制;密码加密 - 保护或隐藏数据防止被偷窥;会话管理 - 每用户相关的时间敏感的状态。对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro要简单的多。

missok / 0评论 2015-12-16

tomcat7部署多个web应用不同编码,端口

--APR library loader. Documentation at /docs/apr.html --> <Listener classname="org.apache.catalina.core.AprLifecycleL

GDreams0 / 0评论 2015-10-29

springMvc和shiro整合,shiro的realm不能自动注入的问题

最近研究shiro,一开头就遇到了大困难,调试了3小时。其中自定义的realm里面居然不能使用@Autowired注解标签注入相关的用户service。百思不得其解,一项项跟踪,发现原来shiro 自定义realm的认证阶段属于filter,当时的spri

Holyn / 0评论 2015-10-26

Shiro源码分析-初始化-Realm

在上一篇介绍SecurityManager的初始化过程中,也有realm的粗略介绍。各种中间件的realm、springsecurity的realm、shiro的realm。。。由图可见,Realm主要还是认证、授权服务,并提供cache支持。shiro提

yxlnum / 0评论 2014-04-08

springboot+shiro 整合与基本应用

简介Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使

luckyxl0 / 0评论 2019-06-29

第六章 Realm及相关对象——《跟我学Shiro》

public Set<String> findPermissions; //根据用户名查找其权限

xtiawxf / 0评论 2014-02-26

apache-shiro杂记(二) 关于多realm认证的策略

一直以为给定的下面配置是短路方式的,即defaultJdbcRealm可以成功认证,backDoorJdbcRealm就不会被调用。只不过是第一个认证成功的AuthenticationInfo作为最后的结果返回。

kaizhuQin / 0评论 2013-12-29

15,tomcat安全

有些web应用程序的内容是有限制的,只允许有权限的用户在提供正确的用户名和密码的情况下才允许访问。一个servlet通过一个叫authenticator的阀门来支持安全性限制。authenticator阀门会在包装器阀门之前被调用。authenticato

AndrewYuan / 0评论 2012-11-14

Android之xUtils-3.0数据库框架详解

在Android 开发中,数据库模块是必不可少的.现在也有许多非常好用流行的数据库快速开发框架.今天主要介绍下xUtils下封装的数据库模块.Android 常用数据库开发框架在这里列一下Android开发中常用的数据库框架,有情趣的可以自行了解下,顺便储

xuweinet / 0评论 2019-06-28

Shiro 中 filter与realm的区别

过滤器是Web中所特有的。Realm是Shiro架构本身的。在调用subject.login方法时,就应用到了Realm.如果将用户名密码写在ini文件中,则先调用的是iniRealm。可见,过滤器仅是方便于Web中一些常用安全路径的封装。像登录、退出等功

nullcy / 0评论 2012-05-28

安全认证框架-Apache Shiro研究心得

最近因为项目需要,研究了一下Apache Shiro安全认证框架,把心得记录下来。Apache Shrio是一个安全认证框架,和Spring Security相比,在于他使用了和比较简洁易懂的认证和授权方式。在普通的WEB项目中,我们可以选择使用nativ

XHuiLin / 0评论 2011-03-15

Shiro权限管理(二)——认证

时隔这么久终于有时间更新了,今天和大家分享一下Shiro的原理。我认为无论是Shiro也好,还是其他安全框架也好,其功能主要就分为三部分:认证、授权、加密。下面我们来详细说明Shiro具体是如何实现的。Shiro结构图讲原理当然离不开结构图,我们先来看一下

GDreams0 / 0评论 2019-06-27

浅谈Realm数据库及其使用

目前还支持React Native 和 Xamarin。由YCombinator孵化的创业团队历时几年打造,是第一个专门针对移动平台设计的数据库。为了彻底解决性能问题,核心数据引擎C++打造,并不是建立在SQLite之上的ORM。2)创建储存对象简单,仅需

missok / 0评论 2019-06-27