有两个AuthorizingRealm继承的类怎么执行

<think>我们正在讨论的是Shiro框架中配置多个自定义Realm的情况。用户的问题集中在：当配置了两个继承自AuthorizingRealm的自定义Realm类时，Shiro如何决定使用哪一个进行身份验证和授权。 根据Shiro的设计，多个Realm可以同时存在，形成一个Realm链。Shiro会按照配置的顺序依次调用这些Realm进行认证和授权。具体机制如下： 1. **Realm的配置顺序**：在Shiro的配置中（例如通过ini文件或Java配置），多个Realm的添加顺序决定了它们被调用的顺序。例如，在shiro.ini中，realms属性的顺序就是Realm的执行顺序。 2. **认证过程**：当用户登录时，Shiro会按照配置顺序遍历所有支持该类型Token的Realm。每个Realm都会尝试进行认证（即调用其`doGetAuthenticationInfo`方法）。如果某个Realm认证成功（返回非null且凭证匹配），则认证过程立即成功，后续Realm不再执行。如果所有Realm都认证失败（抛出异常或返回null），则认证失败。 3. **授权过程**：授权（获取角色和权限）时，Shiro会遍历所有配置的Realm（同样按照配置顺序），并调用每个Realm的`doGetAuthorizationInfo`方法。与认证不同的是，授权过程会收集所有Realm返回的授权信息（角色和权限），合并后形成完整的授权信息。因此，多个Realm都可以为同一个用户提供授权信息。 4. **自定义认证策略**：Shiro允许通过设置`AuthenticationStrategy`来改变认证过程中的行为。默认策略是`AtLeastOneSuccessfulStrategy`，即只要有一个Realm认证成功即可。还有`FirstSuccessfulStrategy`（第一个认证成功的Realm的结果将被使用，后续Realm不再执行）和`AllSuccessfulStrategy`（所有Realm都必须认证成功）。可以通过配置来修改策略。 下面是一个配置示例（基于ini配置）： ``` [main] # 定义两个自定义Realm realm1 = com.example.MyRealm1 realm2 = com.example.MyRealm2 # 设置Realm的执行顺序（按配置顺序） securityManager.realms = $realm1, $realm2 # 可选：设置认证策略（默认为AtLeastOneSuccessfulStrategy） # authcStrategy = org.apache.shiro.authc.pam.FirstSuccessfulStrategy # securityManager.authenticator.authenticationStrategy = $authcStrategy ``` 在Java配置中（如Spring Boot），可以通过创建`ModularRealmAuthenticator`并设置认证策略，然后将多个Realm添加到`SecurityManager`中，并注意Realm的添加顺序。 总结： - 认证：按照配置顺序执行，直到有一个Realm认证成功或全部失败。 - 授权：按照配置顺序执行，所有Realm的授权信息被合并。 - 可以通过配置认证策略来改变认证时的行为。 如果用户需要更具体的代码示例或配置细节，可以进一步询问。 §§相关问题§§ 1. 如何在Spring Boot中配置多个Shiro Realm并指定顺序？ 2. Shiro的认证策略（如FirstSuccessfulStrategy）如何影响多Realm的认证流程？ 3. 在多个Realm的情况下，如何避免授权信息冲突？</think>### Apache Shiro多Realm执行机制详解 在Apache Shiro框架中配置多个自定义`AuthorizingRealm`实现类时，Shiro通过以下机制决定执行顺序和逻辑： #### 1. **Realm配置顺序决定执行优先级** - **配置顺序即执行顺序**：在`shiro.ini`或Java配置中，Realm的声明顺序决定了调用优先级 - 示例配置（shiro.ini）： ```ini [main] realmA = com.example.RealmA realmB = com.example.RealmB securityManager.realms = $realmA, $realmB # 按声明顺序执行 ``` - 此时会先执行`RealmA`，再执行`RealmB`[^1] #### 2. **身份认证流程** ```mermaid graph TD A[Subject.login] --> B[创建AuthenticationToken] B --> C{遍历所有Realm} C --> D[RealmA.supports?] D -->|是| E[执行RealmA认证] D -->|否| F[跳过RealmA] C --> G[RealmB.supports?] G -->|是| H[执行RealmB认证] G -->|否| I[跳过RealmB] ``` - **令牌类型匹配**：每个Realm通过`supports()`方法检查是否支持当前Token类型（如`UsernamePasswordToken`） - **短路原则**：默认使用`AtLeastOneSuccessfulStrategy`策略，只要有一个Realm认证成功即返回成功[^1] - **全验证策略**：若配置`AllSuccessfulStrategy`，则所有Realm都必须认证成功 #### 3. **授权流程** - **信息合并机制**： ```java // 伪代码展示授权信息合并 AuthorizationInfo aggregateInfo = new SimpleAuthorizationInfo(); for (Realm realm : realms) { AuthorizationInfo info = realm.doGetAuthorizationInfo(principal); aggregateInfo.addRoles(info.getRoles()); aggregateInfo.addStringPermissions(info.getStringPermissions()); } return aggregateInfo; ``` - 所有Realm的授权结果（角色+权限）会被合并 - 执行顺序同样遵循配置顺序 #### 4. **关键配置参数 | 参数 | 默认值 | 说明 | |---|---|----| | `authenticationStrategy` | `AtLeastOneSuccessfulStrategy` | 认证策略：任一成功/全部成功/首次成功 | | `realms` 顺序 | 配置声明顺序 | 决定Realm执行优先级 | | `Realm.supports()` | 需自定义实现 | 过滤可处理当前Token的Realm | #### 5. **自定义策略示例 修改认证策略为"首次成功即返回"： ```ini [main] authcStrategy = org.apache.shiro.authc.pam.FirstSuccessfulStrategy securityManager.authenticator.authenticationStrategy = $authcStrategy ``` #### 6. **最佳实践 1. **明确Realm分工**： - RealmA：处理数据库认证 - RealmB：处理LDAP认证 2. **实现精确的`supports()`**： ```java // 示例：仅处理特定Token类型 public boolean supports(AuthenticationToken token) { return token instanceof LdapToken; } ``` 3. **性能优化**：高频认证源配置在前 > ⚠️ 注意：当多个Realm返回授权信息时，最终权限是**并集**而非交集。如果RealmA返回权限`user:read`，RealmB返回`user:write`，最终用户将获得两者权限[^1]。