活动介绍
file-type

深入Shiro权限框架:自定义Realm实现指南

RAR文件

shiro,Realm
2星 | 下载需积分: 32 | 1.21MB | 更新于2025-04-03 | 172 浏览量 | 30 下载量 举报 收藏
download 立即下载
Apache Shiro 是一个功能强大的Java安全框架,它提供了认证、授权、加密和会话管理功能。在这个框架中,Realm 是用来获取安全数据(比如用户、角色和权限)的组件,它扮演了Shiro与应用安全数据间的“桥梁”角色。在实际应用中,有时候默认的Realm并不能满足所有需求,因此需要自定义Realm来适应特定的应用场景。本文档将详细说明如何在Shiro中自定义Realm,并通过一个示例来展示其具体实现。 ### Shiro中自定义Realm的必要性 在Shiro中,默认提供了多种Realm实现,比如IniRealm、JdbcRealm、ActiveDirectoryRealm等。这些内置的Realm能够覆盖很多常规应用的需求,但并不是所有的。比如,当需要从特定的外部系统或自定义数据源进行用户验证和授权时,就需要自定义Realm。例如,如果你的应用存储用户信息在自定义的数据库中、使用专门的用户服务接口或者有特殊的授权逻辑,那么自定义Realm就显得十分必要。 ### 自定义Realm的关键知识点 自定义Realm需要实现Shiro的`Realm`接口或继承一个现有的`Realm`类(如`AuthorizingRealm`、`AuthenticatingRealm`)。要自定义一个Realm,主要步骤包括: 1. **扩展Realm接口**: - 实现`Realm`接口,这个接口要求实现获取身份验证信息和授权信息的方法。 - 通常为了简化,可以继承`AuthorizingRealm`类,该类实现了`Realm`接口中的大部分功能,只须重写相关方法即可。 2. **身份验证方法**: - 实现`doGetAuthenticationInfo(AuthenticationToken token)`方法,该方法用于身份验证过程中的账号密码校验。 - 实例化`AuthenticationInfo`对象,并进行身份信息匹配。 3. **授权方法**: - 实现`doGetAuthorizationInfo(PrincipalCollection principals)`方法,该方法用于授权过程中角色、权限的加载。 - 实例化`AuthorizationInfo`对象,并根据用户身份信息,加载相应的角色(`SimpleRole`)和权限(`SimplePermission`)。 4. **配置Realm到Shiro安全框架**: - 通过Shiro的`SecurityManager`配置自定义Realm。 - 在Shiro的配置文件或配置类中添加自定义Realm的实例。 ### 实际示例分析 假设现在有一个名为`ShiroRealmProject`的项目,该项目使用Shiro框架,并且需要从自定义的数据源来获取用户信息进行安全控制。以下是自定义Realm的一个简单示例: ```java import org.apache.shiro.authc.*; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.subject.PrincipalCollection; import org.apache.shiro.authc.credential.CredentialsMatcher; import org.apache.shiro.authc.credential.HashedCredentialsMatcher; public class CustomRealm extends AuthorizingRealm { // 设置凭证匹配器 { CredentialsMatcher matcher = new HashedCredentialsMatcher(); matcher.setHashAlgorithmName("SHA-256"); matcher.setHashIterations(1); setCredentialsMatcher(matcher); } // 身份认证方法 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken upToken = (UsernamePasswordToken) token; String username = upToken.getUsername(); String password = // 从自定义数据源获取密码,比如自定义的数据库接口或服务 SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, password, getName()); return info; } // 授权方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 获取用户身份 Object principal = principals.getPrimaryPrincipal(); // 根据身份获取角色和权限 String role = // 从自定义数据源获取角色 String permission = // 从自定义数据源获取权限 SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(); info.addRole(role); info.addStringPermission(permission); return info; } } ``` 在上述代码中,`CustomRealm`类通过继承`AuthorizingRealm`并实现两个主要方法,`doGetAuthenticationInfo`和`doGetAuthorizationInfo`,来完成身份验证和授权逻辑。其中,密码的匹配过程使用了`CredentialsMatcher`,这里指定使用了SHA-256算法,并设置了一次迭代。在`doGetAuthenticationInfo`方法中,实际应该从数据源获取密码进行比对;在`doGetAuthorizationInfo`方法中,从数据源获取用户角色和权限。 在实际配置Shiro安全框架时,需要将这个自定义的`CustomRealm`配置到`SecurityManager`中: ```java import org.apache.shiro.mgt.SecurityManager; import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor; import org.apache.shiro.spring.web.ShiroFilterFactoryBean; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; @Configuration public class ShiroConfiguration { @Bean public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); shiroFilterFactoryBean.setSecurityManager(securityManager); // 其他配置... return shiroFilterFactoryBean; } @Bean public SecurityManager securityManager() { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); // 设置realm securityManager.setRealm(customRealm()); return securityManager; } @Bean public CustomRealm customRealm() { return new CustomRealm(); } // 配置Shiro注解支持 @Bean public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) { AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor(); advisor.setSecurityManager(securityManager); return advisor; } } ``` 通过上述配置,自定义的`CustomRealm`被添加到`SecurityManager`中,并且通过`ShiroFilterFactoryBean`配置Shiro的过滤器链。Shiro的安全控制逻辑将使用`CustomRealm`中的方法来完成认证和授权。 ### 结语 Shiro是一个灵活的安全框架,通过自定义Realm可以很轻松地根据自己的需求进行扩展,以适应复杂的安全管理场景。通过本文的介绍,我们了解了自定义Realm的意义、步骤以及一个简单的示例。掌握了这些知识后,开发人员可以更加自信地使用Shiro框架来构建安全的应用程序。

相关推荐

filetype

从实例入手学习Shiro自定义Realm实现查询数据进行验证示例代码.zip

本实例将通过自定义Realm来演示如何使用Shiro从数据库中查询数据进行用户验证。 首先,我们需要了解 Realm 的基本概念。在Shiro中, Realm 是一个接口,它实现了认证和授权的功能。默认的 Realm 类型包括 JdbcRealm...
filetype

shiro权限管理示例

通过自定义Realm、配置安全策略以及在代码中进行权限检查,你可以构建一个完整的权限管理系统。这个示例应该可以帮助你更好地理解和应用Shiro,以实现你的项目中的权限控制需求。请根据实际项目需求调整和完善这些...
filetype

Apache Shiro入门与自定义Realm详解

在Apache Shiro框架中,`三简单扩展-shiro使用规范`这部分内容主要讲述了如何自定义 Realm。Realm 是Shiro中的核心概念,它负责与应用程序的特定安全存储进行交互,比如数据库、LDAP服务器等,用于实现身份验证...
filetype

Shiro Web应用自定义Realm实现指南

### 知识点六:自定义Realm示例代码 ```java public class CustomRealm extends AuthorizingRealm { @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // ...
filetype

Shiro自定义Realm示例教程:查询数据验证与Web集成

Shiro 自定义 Realm 是指在 Shiro 架构中,通过继承 Realm 类并实现其方法来自定义用户身份信息查询和权限验证的逻辑。本文将从实例的角度,详细阐述如何通过自定义 Realm 实现查询数据以进行用户验证的流程,并提供...
filetype

入门级Shiro自定义Realm测试代码示例

测试的目的是为了学习Shiro框架及其自定义Realm的使用,而不适用于商业应用。 需要注意的是,由于Shiro版本的更新,API和最佳实践可能会有所变化。因此,在实际开发中,开发者应该根据所使用的Shiro版本查阅官方...
filetype

Shiro权限框架使用示例教程

### Shiro权限框架的关键概念 1. **主体(Subject)**: 代表当前用户的安全操作,Shiro把所有与系统交互的用户都抽象为Subject。 2. **安全管理器(SecurityManager)**: 是Shiro的核心组件,负责管理所有的Subject。...
filetype

全面掌握Shiro安全框架教程及示例

Shiro也支持自定义组件,如自定义Realm、认证策略等,从而适应特定的应用场景。 ### 知识点八:Shiro教程.pdf内容概览 这本《Shiro教程.pdf》可能是对Shiro框架的详细介绍,其中可能包括以下内容: - Shiro的设计...
filetype

Shiro安全框架的简易示例代码解析

Shiro是一个强大的Java安全框架,它提供了身份验证、授权、会话管理以及加密等功能。Shiro的全称是Apache Shiro,它旨在易于使用的同时,为任何应用程序提供安全保障。由于“shiro-se例子代码”的标题和描述指出这是...
filetype

Shiro框架权限控制示例教程

本示例项目名为 'gemini-shiro',旨在展示如何使用Shiro框架实现权限控制。Shiro的设计遵循了安全领域广泛认可的 "认证、授权、密码编码和会话管理" 标准模式。接下来将详细介绍Shiro框架的核心概念以及如何在实际...
filetype

深入分析Shiro框架:具体Realm源码解析

此外,Shiro的测试用例中也包含了如何使用自定义Realm的代码示例。 ### 知识点六:Realm的扩展性和可配置性 Shiro设计时考虑到了扩展性和可配置性。开发者可以通过配置文件或代码来添加自定义的Realm,也可以根据...
filetype

Spring Shiro框架权限配置与使用示例

描述中提到,该例子演示了Shiro框架的使用步骤,并对配置进行了说明,这意味着通过该示例可以了解如何设置和运行Shiro来实现安全控制,这对于理解权限框架是一个非常好的实践案例。它将帮助开发者掌握如何在实际项目...
filetype

Java Shiro权限框架整合实践教程

描述中提到的"shiro-example-master java shiro的权限框架整合代码",意味着这是一个Java项目,用来说明如何将Shiro框架整合进应用程序中,进行权限的控制。权限控制是现代应用程序中不可或缺的一环,尤其是在处理...
filetype

SpringBoot集成Shiro权限框架实现教程

在Spring Boot应用中,通常会配置一个继承自`AuthorizingRealm`的自定义Realm来处理身份验证和授权。同时,配置一个`DefaultWebSecurityManager`作为SecurityManager,并通过`ShiroFilterFactoryBean`来定义URL访问...
filetype

Shiro权限框架认证与授权实战教程

通过实现`org.apache.shiro.realm.AuthenticatingRealm`接口,开发者可以创建自定义的Realm来处理用户的认证逻辑。Shiro也提供了一些内置的Realm,如`IniRealm`、`JdbcRealm`、`LDAPRealm`等,用于不同的应用场景。 ...
filetype

Shiro的自定义Realm实现

Apache Shiro是一个强大且易用的Java安全框架,提供了身份验证、授权、加密、会话管理等安全特性。Shiro的设计是非常灵活和通用的,可以与任何应用程序集成,无论是Web、移动、云端还是桌面应用。它的简单性使得开发...
filetype

安全框架shiro与Spring集成:自定义Realm

shiro安全框架简介 ## 1.1 shiro框架概述 Shiro是一个强大且灵活的Java安全框架,可以提供身份认证、授权、加密、会话管理等功能。它是Apache软件基金会的一个开源项目,广泛应用于各种企业应用程序中。 ## 1.2 ...
filetype

Shiro自定义Realm与身份认证

## 1.1 Shiro框架概述 Shiro是一个强大的开源Java安全框架,提供了身份认证、授权、加密、会话管理等功能。它是Apache的顶级项目之一,已经成为Java企业级应用程序中最受欢迎的安全框架之一。 Shiro以简单、直观、...
filetype

Apache Shiro中的自定义权限过滤器

# 1. 介绍Apache Shiro ## 1.1 什么是Apache Shiro Apache Shiro是一个强大且易于使用的Java安全框架,...- Realm:提供与数据源进行交互的组件,用于验证用户身份和获取用户权限信息。 - Permission:表示用户可以
filetype

ROS melodic 安装/卸载&常用命令及使用-ubuntu18.04

文章目录ROSROS安装配置环境变量ROS测试ros server启动package 包管理node 节点管理编译topic 消息管理service 服务管理bag使用message管理parameter 参数管理卸载 ROS 古月居 · ROS入门21讲:https://www.bilibili.com/video/BV1zt411G7Vn?p=1 古月居 · 对应代码:https://gith...
filetype

微前端架构的实现思路与案例.doc

微前端架构的实现思路与案例.doc
源代码CXH
  • 粉丝: 124
上传资源 快速赚钱

最新资源