shiro-自定义realm

likesyour 2017-11-08

之前写的博客里都是使用.ini文件来获取信息的,包括用户信息,角色信息,权限信息等。进入系统时,都是从.ini文件这读取进入的。实际中除非这个系统特别特别简单,否则一般都不是这样干的,这些信息都是需要在数据库中进行维护的,所以就需要用到自定义realm了。

1. 数据库建表

首先在数据库中新建三个表:t_user,t_role和t_permission,分别存储用户信息,角色信息和权限信息,建表语句如下:

CREATE TABLE `t_role` (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '主键',
  `rolename` varchar(20) DEFAULT NULL COMMENT '角色名称',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=4 DEFAULT CHARSET=utf8

CREATE TABLE `t_user` (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '用户主键',
  `username` varchar(20) NOT NULL COMMENT '用户名',
  `password` varchar(20) NOT NULL COMMENT '密码',
  `role_id` int(11) DEFAULT NULL COMMENT '外键关联role表',
  PRIMARY KEY (`id`),
  KEY `role_id` (`role_id`),
  CONSTRAINT `t_user_ibfk_1` FOREIGN KEY (`role_id`) REFERENCES `t_role` (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=4 DEFAULT CHARSET=utf8

CREATE TABLE `t_permission` (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '主键',
  `permissionname` varchar(50) NOT NULL COMMENT '权限名',
  `role_id` int(11) DEFAULT NULL COMMENT '外键关联role',
  PRIMARY KEY (`id`),
  KEY `role_id` (`role_id`),
  CONSTRAINT `t_permission_ibfk_1` FOREIGN KEY (`role_id`) REFERENCES `t_role` (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8

 每个表中我添加了一些测试数据,如下: 

shiro-自定义realm
shiro-自定义realm
shiro-自定义realm

2. 自定义realm

自定义realm中需要操作数据库,所有首先得先写一个dao,使用的是原始的jdbc,主要是下面的自定义realm。

public class UserDao {

    //根据用户名查找用户
    public User getByUsername(Connection conn, String username) throws Exception {

        User resultUser = null;
        String sql = "select * from t_user where username=?";
        PreparedStatement ps = conn.prepareStatement(sql);
        ps.setString(1, username);
        ResultSet rs = ps.executeQuery();
        if(rs.next()) {
            resultUser = new User();
            resultUser.setId(rs.getInt("id"));
            resultUser.setUsername(rs.getString("username"));
            resultUser.setPassword(rs.getString("password"));
        }
        return resultUser;
    }

    //根据用户名查找改用户所拥有的角色
    public Set<String> getRoles(Connection conn, String username) throws Exception {
        Set<String> roles = new HashSet<String>();
        String sql = "select * from t_user u, t_role r where u.role_id=r.id and u.username=?";
        PreparedStatement ps = conn.prepareStatement(sql);
        ps.setString(1, username);
        ResultSet rs = ps.executeQuery();
        while(rs.next()) {
            roles.add(rs.getString("rolename"));
        }
        return roles;
    }

    //根据用户名查找该用户角色所拥有的权限
    public Set<String> getPerms(Connection conn, String username) throws Exception {
        Set<String> perms = new HashSet<String>();
        String sql = "select * from t_user u, t_role r, t_permission p where u.role_id=r.id and p.role_id=r.id and u.username=?";
        PreparedStatement ps = conn.prepareStatement(sql);
        ps.setString(1, username);
        ResultSet rs = ps.executeQuery();
        while(rs.next()) {
            perms.add(rs.getString("permissionname"));
        }
        return perms;
    }
}

 有了dao了,接下来就可以写自定义的realm了,自定义realm需要继承AuthorizingRealm类,因为该类封装了很多方法,它也是一步步继承自Realm类的,继承了AuthorizingRealm类后,需要重写两个方法:

doGetAuthenticationInfo()方法:用来验证当前登录的用户,获取认证信息 
doGetAuthorizationInfo()方法:用来为当前登陆成功的用户授予权限和角色(已经登陆成功了)

下面来看一下具体的实现:

public class MyRealm extends AuthorizingRealm {

    private UserDao userDao = new UserDao();

    // 为当前登陆成功的用户授予权限和角色,已经登陆成功了
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(
            PrincipalCollection principals) {
        String username = (String) principals.getPrimaryPrincipal(); //获取用户名
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        Connection conn = null;
        try {
            conn = DbUtil.getConnection();
            authorizationInfo.setRoles(userDao.getRoles(conn, username)); //设置角色
            authorizationInfo.setStringPermissions(userDao.getPerms(conn, username)); //设置权限            
        } catch (Exception e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } finally {
            try {
                DbUtil.closeConnection(conn);
            } catch (Exception e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }
        }
        return authorizationInfo;
    }

    // 验证当前登录的用户,获取认证信息
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken token) throws AuthenticationException {
        String username = (String) token.getPrincipal(); // 获取用户名
        Connection conn = null;
        try {
            conn = DbUtil.getConnection();
            User user = userDao.getByUsername(conn, username); // 仅仅是根据用户名查出的用户信息,不涉及到密码
            if (user != null) {
                AuthenticationInfo authcInfo = new SimpleAuthenticationInfo(
                        user.getUsername(), user.getPassword(), "myrealm");
                return authcInfo;
            } else {
                return null;
            }
        } catch (Exception e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } finally {
            try {
                DbUtil.closeConnection(conn);
            } catch (Exception e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }
        }
        return null;
    }
}

 从上面两个方法中可以看出:验证身份的时候是根据用户输入的用户名先从数据库中查出该用户名对应的用户,这时候并没有涉及到密码,也就是说到这一步的时候,即使用户输入的密码不对,也是可以查出来该用户的,然后将该用户的正确信息封装到authcInfo 中返回给Shiro,接下来就是Shiro的事了,它会根据这里面的真实信息与用户前台输入的用户名和密码进行校验, 这个时候也要校验密码了,如果校验通过就让用户登录,否则跳转到指定页面。同理,权限验证的时候也是先根据用户名获取与该用户名有关的角色和权限,然后封装到authorizationInfo中返回给Shiro。

3. 修改ini文件

在该配置文件中,[users]和[roles]的信息就可以删掉了,因为这些信息都是从数据库中维护的,另外还要在文件中指定我们自定义的realm的完全限定名,并且指定securityManager的realm使用我们自定义的realm,如下:

[main]
authc.loginUrl=/login
roles.unauthorizedUrl=/unauthorized.jsp
perms.unauthorizedUrl=/unauthorized.jsp

#定义自己的realm
myRealm=demo.shiro.realm.MyRealm
securityManager.realms=$myRealm

#定义请求的地址需要做什么验证
[urls]
/login=anon 
/admin=authc 
/student=roles[teacher]
/teacher=perms["user:create"]

 这样我们自定义的realm就搞定了,根据配置文件,当我们请求…/admin的时候会进行身份认证,所以会进入LoginServlet中,当调用currentUser.login(token);的时候,就会进入我们自定义的realm中的doGetAuthenticationInfo方法进行身份初始化,然后交给Shiro去验证。当我们请求…./student的时候,也会先进行身份验证,就是上面的过程,然后验证通过,当我们再次请求…/student的时候,就会进入我们自定义的realm中的doGetAuthorizationInfo方法进行权限的初始化,然后交给Shiro去验证。 

likesyour

likesyour

相关推荐

shiro配合druid使用下URL拦截权限设置为anno时遇到的问题

在使用shiro做权限控制的一个系统中,其中有一个页面需要配置为无需登录就能访问,配置方法如下。这里配置的意思就是所有人都能直接访问 /test 这个路径,但是实际访问时,却报如下错误:

杜鲁门 / 0评论 2020-11-05

springboot windows10风格 工作流 整合项目框架源码 shiro 安全框架

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

luckyxl0 / 0评论 2020-08-16

windows10风格 springboot mybatis 项目框架源码 shiro flowable工作流

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

Dullonjiang / 0评论 2020-08-09

Apache Shiro 反序列化(CVE-2016-4437)复现

shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操

xclxcl / 0评论 2020-08-03

Apache Shiro 反序列化(CVE-2016-4437)复现

shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操

zmzmmf / 0评论 2020-08-03

不用 Spring Security 可否?试试这个小而美的安全框架

写在前面在一款应用的整个生命周期,我们都会谈及该应用的数据安全问题。用户的合法性与数据的可见性是数据安全中非常重要的一部分。但是,一方面,不同的应用对于数据的合法性和可见性要求的维度与粒度都有所区别;另一方面,以当前微服务、多服务的架构方式,如何共享Ses

MicroBoy / 0评论 2020-08-02

springboot windows10风格 工作流 整合项目框架源码 shiro

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

ganjing / 0评论 2020-08-02

【Shiro】05 自定义Realm认证实现

Shiro默认使用自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义realm。public abstract class CachingRealm implements

likesyour / 0评论 2020-08-01

springboot windows10风格 工作流 整合项目框架源码 shiro 安全框架

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

zmzmmf / 0评论 2020-07-09

Spring Security 从入门到实战

Spring Security 和 Apache Shiro 都是安全框架,为Java应用程序提供身份认证和授权。本片文章将讲述Security入门到项目实战使用。其中包括简单的登录和项目常用的权限管理,权限校验有两种方式、角色资源校验、URL校验,如果有

MicroBoy / 0评论 2020-07-05

springcloud vue.js 微服务 分布式 flowable 工作流 前后分离 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

zzhao / 0评论 2020-06-26

springcloud vue.js 微服务分布式 activiti工作流 前后分离 集成代码生成器 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

子云 / 0评论 2020-06-18

shiro java 反序列漏洞复现

返回值中能在set-cookie很明显看到rememberme=deleteme 这个的字段,那么很有可能存在shiro漏洞。运行shiro.py根据域名生成payload,后面的网址就是上一步生成的域名,前面自己加上http://头。复制payload,

visionzheng / 0评论 2020-06-07

Spring Security

Spring家族的安全管理框架,竞品是Shiro。虽然Security功能比Shiro强大,但Spring Boot出现之前,Security的整合比较麻烦,使得大部分项目选择使用Shiro。Spring Boot对于Spring Security提供了自

neweastsun / 0评论 2020-06-04

SpringBoot11:集成Shiro

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Cryptography:加密,使用密码学

ErixHao / 0评论 2020-06-03

Shiro+JWT 实现权限管理(一)--Shiro

再后来的工作过程中,发现了shiro的一些不足之处--对于多端登录支持不是很友好,需要自己去实现具体功能.在大致研究了JWT功能后,决定对之前写的权限管理做一些优化--使用JWT做认证,配合Shrio强大的授权功能,实现更加全面、轻量化的权限管理.之前那篇

GDreams0 / 0评论 2020-06-01

springboot整合shiro

Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。

ganjing / 0评论 2020-05-29

Java项目源码 考试系统 springboot mybaits vue.js 前后分离跨域 shiro 权限

34. 成绩管理:可以根据条件检索考生成绩,分值排序逆序,查看排名,查看考生试卷信息,查看试题统计图。列表动态滑动放大展示。

zmzmmf / 0评论 2020-05-28

shiro配置登录验证(前后端分离项目)

本次只是记录一下启用shiro配置过程遗忘掉的几个关键点,首先项目是前后端分离的后台,提供json格式的接口数据,但又是一个web项目,现在要控制登录之后才能使用1、ShiroFilterFactoryBean我这里是一个自定义的,继承ShiroFilte

nullcy / 0评论 2020-05-26

30分钟学会如何使用Shiro

要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙。Shiro的应用不依赖任何容器,它也可以在JavaSE下使用。但是最常用的环境还是JavaEE。下面以用户登录为例:。token可以理解为用户令牌,登录的过程被抽象为S

ganjing / 0评论 2020-05-22

springcloud vue.js 微服务分布式 activiti工作流 前后分离 集成代码生成器 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

shixiaoguo0 / 0评论 2020-05-06

3. shiro- 权限认证

--templates下的只能通过controller访问-->

ganjing / 0评论 2020-05-06

shiro整合thymeleaf

--从seesion中判断是否有用户-->

luckyxl0 / 0评论 2020-05-05

Shiro反序列化漏洞检测、dnslog

pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode(). encryptor = AES.new(base64.b64decode(key), mode, iv).

visionzheng / 0评论 2020-05-05

Shiro RememberMe 1.2.4 反序列化命令执行漏洞复现

然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。前16字节的密钥-->后面加入序列化参数-->AES加密-->base64编码-->发送cookie. python shiro_shell.py

visionzheng / 0评论 2020-05-04

SpringBoot整合Shiro 四:认证+授权

return "未授权无法访问";

nullcy / 0评论 2020-04-30

CAS 5.3.1系列之自定义Shiro认证策略(四)

CAS官方文档是介绍基于配置实现shiro认证的,可以参考官方文档,不过我们也可以通过自定义认证策略的方式实现jdbc认证,pom先加入相关jar. * 修改后版本: 修改人: 修改日期: 2020/04/26 11:33 修改内容:

zhangxiaocc / 0评论 2020-04-29

Shiro源码分析-ShiroFilterFactoryBean

* Inspects a bean, and if it implements the {@link Filter} interface, automatically adds that filter. * instance to the internal

visionzheng / 0评论 2020-04-29

Springboot整合Shiro

开始配置ShiroConfig,从底层开始配置,Realm需要额外写一个类UserRealm,这个类便是shiro的核心。UserRealm只需继承AuthorizingRealm类即可,要实现如下两个方法,本类为shiro核心:

nullcy / 0评论 2020-04-25

springboot windows10风格 activiti 整合项目框架源码 shiro 安全框架 druid

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用,非桌面应用程序。

heywakeup / 0评论 2020-04-23

SpringBoot整合Shiro 一:搭建环境

<artifactId>spring-boot-starter-thymeleaf</artifactId>. package com.zy.config;return null;return null;return new Use

zmzmmf / 0评论 2020-04-23

springcloud activiti工作流 微服务分布式 vue.js 前后分离 集成代码生成器 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

YZR / 0评论 2020-04-21

Springboot与Shiro的整合

Springboot使用的页面模板是thyme leaf,它比jsp多一些特定的标签,可以动态或者静态显示文本内容。~ * Copyright 2019. tdc.shangri-la.com. All Rights Reserved.* subjec

visionzheng / 0评论 2020-04-20

Maven导入shiro的依赖后,欢迎页面404、shiro-features异常的解决方案:

自己练习shiro的时候,导入shiro官网的全部依赖,发现有两个依赖在项目里会造成某些异常。以下时shiro官方提供的全部依赖,但是有两个最好注释掉:。-- shiro相关的所有依赖等同于shiro-all -->

visionzheng / 0评论 2020-04-19

Spring Boot 整合 Shiro 实现登录认证与权限控制

`perm_id` int NOT NULL COMMENT ‘权限主键‘,`perm_description` varchar CHARACTER SET utf8 COLLATE utf8_bin DEFAULT NULL COMMENT ‘权限描述‘

luckyxl0 / 0评论 2020-04-19

springboot shiro session过期时间配置

#实际过期时间为秒数对分钟取整,比如设置2000,则 2000s/60=33min,33min*60=1980s,实际过期时间为1980s. 配置shiro-Session的优先级高于使用servlet的session。

visionzheng / 0评论 2020-04-14

springcloud vue.js 微服务分布式 activiti工作流 前后分离 集成代码生成器 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

huoyunp / 0评论 2020-04-11

SpringBoot学习记录:@Cacheable不起作用 --&gt;原因:Shiro + @Cache整合

SpringBoot学习记录:@Cacheable不起作用 -->原因:Shrio + @Cache整合。@Cacheable ,当使用ehcache时,autoconfig机制会根据配置文件自动去初始化bean. 而shiroConfig在@Con

luckyxl0 / 0评论 2020-03-23

Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)复现

然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。安装docker环境,方法自行百度。生成的工具在target/目录下ysoserial-0.0.6-SNAPSHOT-all.jar文件。浏览器访问,出现以下页面则证明环境

chenjia00 / 0评论 2020-03-23

springcloud vue.js 微服务分布式 activiti工作流 前后分离 集成代码生成器 shiro权限

三:系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单

nullcy / 0评论 2020-03-21

springcloud vue.js 微服务分布式 activiti工作流 前后分离 集成代码生成器 shiro权限

三:系统服务-----------------------------------------------------------------------------------------------------1. 权限管理:点开二级菜单进入三级菜单显

yxlnum / 0评论 2020-03-16

Springboot vue.js html 跨域 前后分离 工作流Activiti6 集成代码生成器 shiro 权限

后台框架:springboot2.1.2+ activiti6.0.0+ mybaits+maven+接口

xtiawxf / 0评论 2020-03-14

Springboot vue.js 前后分离 跨域 集成代码生成器 shiro权限

1. 权限管理:点开二级菜单进入三级菜单显示 角色和按钮权限 角色: 分角色组和角色,独立分配菜单权限和增删改查权限。

gsc / 0评论 2020-02-27

springboot @Configuration @bean注解作用

在spring项目中我们集成第三方的框架如shiro会在spring.xml配置文件中进行配置,例如:。-- 注入shiro核心组件安全管理器 -->. -- 注入相关页面 -->. -- 配置过滤器链:配置项目发出url对应拦截规则:指定什么

牧场SZShepherd / 0评论 2020-02-16

shiro

https://www.cnblogs.com/WUXIAOCHANG/p/10886534.html https://blog.csdn.net/pengjwhx/article/details/84867112

nullcy / 0评论 2020-02-16

spring项目篇5----shiro以及实现登陆认证

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。但是,在Shiro中,Subject这一概

ganjing / 0评论 2020-02-16

Shiro&amp;Jwt验证

其实这个方法我们会手动调用 isLoginAttempt 方法及 executeLogin 方法isLoginAttempt判断用户是否想要登陆,判断依据为请求头中是否包含 Authorization 授权信息,也就是所谓的 Token. 如果有则再执行e

luckyxl0 / 0评论 2020-02-12

Springboot集成Shiro和Cas实现单点登录(服务端篇CAS5)

什么是单点登录?单点登录,简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

zmzmmf / 0评论 2020-02-09

shiro自定义密码校验器

它们都实现了一个接口 CredentialsMatcher ,我这里也实现这个接口,实现一个自己的密码校验。配置自己的密码校验类替换默认的:由于是springboot,我们直接在配置类ShiroConfig里面配置:。此时我们的密码校验类就替换成了我们自己

visionzheng / 0评论 2020-01-29

使用Shiro实现认证和授权(基于SpringBoot)

Apache Shiro是一个功能强大且易于使用的Java安全框架,它为开发人员提供了一种直观,全面的身份验证,授权,加密和会话管理解决方案。下面是在SpringBoot中使用Shiro进行认证和授权的例子,代码如下:

stoneechogx / 0评论 2020-01-29