AI 助理
备案控制台
开发者社区 云计算 文章 正文

Shrio配置多个Realm、SecurityManager认证策略

2023-11-13 149
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
运维安全中心(堡垒机),企业双擎版|50资产|一周时长
运维安全中心(堡垒机),免费版 6个月
简介: Shrio配置多个Realm、SecurityManager认证策略


  1. authenticate

该方法是实现认证逻辑的。

如果验证成功,将返回AuthenticationInfo验证信息;此信息中包含了身份及凭证;如果验证失败将抛出相应的 AuthenticationException 实现

  1. ModularRealmAuthenticator
    认证策略接口,自定义认证策略时只需要继承该类即可

一般使用默认的三种策略即可

三种策略

  • FirstSuccessfulStrategy:只要有一个Realm验证成功即可,只返回第一个Realm身份验证 成功的认证信息,其他的忽略;
  • AtLeastOneSuccessfulStrategy:只要有一个Realm验证成功即可,和FirstSuccessfulStrategy 不同,返回所有 Realm 身份验证成功的认证信息;
  • AllSuccessfulStrategy:所有Realm验证成功才算成功,且返回所有Realm身份验证成功的 认证信息,如果有一个失败就失败了。
  • 注意:ModularRealmAuthenticator 默认使用 AtLeastOneSuccessfulStrategy 策略。
  • 环境搭建
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.4.0</version>
</dependency>
<dependency>
    <groupId>junit</groupId>
    <artifactId>junit</artifactId>
    <version>4.12</version>
</dependency>
  • 自定义Realm实现Realm接口
  • MyRealm01
import org.apache.shiro.authc.*;
import org.apache.shiro.realm.Realm;
/**
 * Realm01
 * @author 
 * @create 2019-01-21 16:21
 */
public class MyRealm01 implements Realm {
    /** 用户名 */
    public static final String USERNAME = "fury1";
    /** 用户密码 */
    public static final String PASSWORD = "111111";
    public String getName() {
        return "MyRealm01";
    }
    public boolean supports(AuthenticationToken token) {
        if (token instanceof UsernamePasswordToken) {
            return true;
        }
        return false;
    }
    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = (String) token.getPrincipal();
        String password = new String((char[]) token.getCredentials());
        if (USERNAME.equals(username) && PASSWORD.equals(password)) {
            return new SimpleAuthenticationInfo(username, password, getName());
        } else {
            throw new RuntimeException("MyRealm01 - 用户名或者密码错误");
        }
    }
}
  • MyRealm02
import org.apache.shiro.authc.*;
import org.apache.shiro.realm.Realm;
/**
 * Realm02
 * @author 
 * @create 2019-01-21 16:21
 */
public class MyRealm02 implements Realm {
    /** 用户名 */
    public static final String USERNAME = "fury2";
    /** 用户密码 */
    public static final String PASSWORD = "222222";
    public String getName() {
        return "MyRealm02";
    }
    public boolean supports(AuthenticationToken token) {
        if (token instanceof UsernamePasswordToken) {
            return true;
        }
        return false;
    }
    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = (String) token.getPrincipal();
        String password = new String((char[]) token.getCredentials());
        if (USERNAME.equals(username) && PASSWORD.equals(password)) {
            return new SimpleAuthenticationInfo(username, password, getName());
        } else {
            throw new RuntimeException("MyRealm02 - 用户名或者密码错误");
        }
    }
}

步骤:

  • 实例化Realm
  • 实例化SecurityManager
  • 实例化ModularRealmAuthenticator
  • 实例化FirstSuccessfulStrategy
  • 给ModularRealmAuthenticator对象设置认证策略
  • 给SecurityManager设置认证对象
  • 给SecurityManager设置Realm对象
  • 注意:SecurityManager必须先设置Authenticator再设置Realm,否则会报错
import com.xunyji.shirotest.realm.MyRealm01;
import com.xunyji.shirotest.realm.MyRealm02;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.pam.AllSuccessfulStrategy;
import org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy;
import org.apache.shiro.authc.pam.FirstSuccessfulStrategy;
import org.apache.shiro.authc.pam.ModularRealmAuthenticator;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.subject.Subject;
import org.junit.Test;
import java.util.Collections;
import java.util.HashSet;
import java.util.Set;
/**
 * @author 
 * @create 2019-01-21 16:26
 */
public class TestDemo {
    @Test
    public void test01() {
//        01 获取Realm对象
        MyRealm01 myRealm01 = new MyRealm01();
        MyRealm02 myRealm02 = new MyRealm02();
//        02 获取SecurityManager对象
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
//        03 设置SecurityManager对象的认证策略
        ModularRealmAuthenticator modularRealmAuthenticator = new ModularRealmAuthenticator();
        modularRealmAuthenticator.setAuthenticationStrategy(new FirstSuccessfulStrategy());
//        modularRealmAuthenticator.setAuthenticationStrategy(new AllSuccessfulStrategy());
        defaultSecurityManager.setAuthenticator(modularRealmAuthenticator);
//        04 设置SecurityManager的Realm
//        defaultSecurityManager.setRealm(myRealm01);
//        defaultSecurityManager.setRealm(myRealm02);
        Set<Realm> realmHashSet = new HashSet<Realm>();
        realmHashSet.add(myRealm01);
        realmHashSet.add(myRealm02);
        defaultSecurityManager.setRealms(realmHashSet);
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("fury1", "111111");
//        UsernamePasswordToken token = new UsernamePasswordToken("fury2", "222222");
        subject.login(token);
        System.out.println(String.format("认证结果为:%s", subject.isAuthenticated()));
        subject.logout();
        System.out.println(String.format("认证结果为:%s", subject.isAuthenticated()));
    } 
}


文章标签:
运维安全中心(堡垒机)
讓丄帝愛伱
目录
相关文章
童小纯
|
7月前
|
数据库 数据安全/隐私保护
Shiro【自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(四)-全面详解(学习总结---从入门到深化)
Shiro【自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(四)-全面详解(学习总结---从入门到深化)
童小纯
146 1
童小纯
|
7月前
|
数据库 数据安全/隐私保护
Shiro【自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)
Shiro【自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)
童小纯
449 0
阿甘兄
|
SQL 安全 测试技术
05 Shrio Realm
05 Shrio Realm
阿甘兄
50 0
1213z
|
安全 Java 数据库
Sping Security-3-动态认证用户信息
Sping Security-3-动态认证用户信息
1213z
141 1
是八哥啊~
|
缓存 安全 Apache
2021年你还不会Shiro?----3.分析身份认证源码实现自定义Realm
我们已经知道无论我们是认证还是授权,数据的获取都是来源于Realm,Realm就相当于我们的datasource,在上一篇中我们使用的是用IniRealm来加载我们的配置文件shiro.ini,同时我们也说了ini只是临时解决方案,在实际的开发中是不可能把用户信息和权限信息放在ini文件中的,都是来源于数据库,那么系统提供的IniRealm就不能满足我们的需要了,我们就需要自定义Realm来实现真正的场景,事实上ini文件也只是apache为我们提供学习使用的策略,下面我们就来看下怎么自己定义一个Realm。
是八哥啊~
123 0
2021年你还不会Shiro?----3.分析身份认证源码实现自定义Realm
游客6dbodhmctel3g
|
缓存 前端开发 程序员
Shiro实现多realm方案
前后端分离的背景下,在认证的实现中主要是两方面的内容,一个是用户登录获取到token,二是从请求头中拿到token并检验token的有效性和设置缓存。
游客6dbodhmctel3g
300 0
Shiro实现多realm方案
恒宇少年的知识库
|
安全 Java API
原来SpringSecurity整合OAuth2后开放权限拦截路径还能这么玩?
当我们整合了`Spring Security`以及`OAuth2`后发现,有一些业务请求是需要开放的,因为种种原因这时访问者还没有身份标识(`比如:用户刚来,还没有注册,需要进行新用户注册,这时注册业务相关的接口都应该是开放的`),下面我们来看看`ApiBoot`是怎么排除路径不进行权限拦截的。
恒宇少年的知识库
573 0
1446108432
|
数据库 数据安全/隐私保护
【Shiro】3、Shiro实现自定义密码验证规则
我们在使用 Shiro 实现登录的时候,我们只需要将账号、密码,Shiro 会自动判断账户、密码是否正确,那么 Shiro 怎么会知道我们的密码加密规则呢?所以我们需要自定义密码的加密规则
1446108432
245 0
Java极客技术
|
数据库
【Shiro 系列 05】Shiro 中多 Realm 的认证策略问题
上篇文章和小伙伴们分享了 JdbcRealm,本文我想和小伙伴们聊聊多 Realm 的认证策略问题。
Java极客技术
347 0
【Shiro 系列 05】Shiro 中多 Realm 的认证策略问题
Java极客技术
|
Java Apache Maven
Shiro--从一个简单的 Realm 开始权限认证
通过上篇文章的学习,小伙伴们对 shiro 应该有了一个大致的了解了,本文我们就来通过一个简单的案例,先来看看 shiro 中登录操作的一个基本用法。
Java极客技术
185 0
Shiro--从一个简单的 Realm 开始权限认证