Shiro【自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(四)-全面详解(学习总结---从入门到深化)

简介: Shiro【自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(四)-全面详解(学习总结---从入门到深化)

Shiro认证_自定义Realm



使用 JdbcRealm 认证时,数据库表名、字段名、认证逻辑都不能改变, 我们可以自定义Realm进行更灵活的认证。


1、准备数据表

CREATE TABLE `users`  (
  `uid` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `password` varchar(255) CHARACTER SET
utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`uid`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8
COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
INSERT INTO `users` VALUES (1, 'bizan','123');


2、编写实体类

@Data
public class Users {
    private Integer uid;
    private String username;
    private String password;
}


3、编写mapper接口

public interface UsersMapper extends BaseMapper<Users> { }


4、在启动类加载mapper接口

@SpringBootApplication
@MapperScan("com.tong.myshiro1.mapper")
public class Myshiro1Application {
    public static void main(String[] args)
   {
      SpringApplication.run(Myshiro1Application.class, args);
   }
}


5、编写自定义Realm类

public class MyRealm extends
AuthorizingRealm {
    @Autowired
    private UserInfoMapper userInfoMapper;
    // 自定义认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 1.获取用户输入的用户名
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username = token.getUsername();
        // 2.根据用户名查询用户
        QueryWrapper<Users> wrapper = new QueryWrapper<Users>().eq("username",username);
        Users users = usersMapper.selectOne(wrapper);
        // 3.将查询到的用户封装为认证信息
        if (users == null) {
            throw new UnknownAccountException("账户不存在");
       }
        /**
         * 参数1:用户
         * 参数2:密码
         * 参数3:Realm名
         */
        return new SimpleAuthenticationInfo(users,users.getPassword(),"myRealm");
   }
    // 自定义授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
   }
}


6、将自定义Realm放入SecurityManager对象中

@Configuration
public class ShiroConfig {
    // 自定义Realm
    @Bean
    public MyRealm myRealm(){
        return new MyRealm();
   }
    // SecurityManager对象
    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm myRealm){
        DefaultWebSecurityManager defaultSecurityManager=new DefaultWebSecurityManager();
        // 自定义Realm放入SecurityManager中
       defaultSecurityManager.setRealm(myRealm);
       return defaultSecurityManager;
   }
}


7、无需修改Service和Controller


8、启动项目,访问登录页http://localhost/login,测试登录功能。

Shiro认证_多Realm认证



在实际开发中,我们的认证逻辑可能不止一种,例如:


1、系统支持用户名密码认证,也支持扫描二维码认证;

2、在系统中有管理员和普通用户两张表,管理员和普通用户的认证逻辑是不一样的;

3、用户数据量庞大,分别存在不同的数据库中,认证时需要连接多个数据源。


以上情况都需要配置多个Realm进行认证,我们以第二种情况举 例,讲解Shiro中多Realm认证的写法:


1、在数据库创建admin表

CREATE TABLE `admin`  (
  `id` int(11) NOT NULL,
  `name` varchar(255) CHARACTER SET utf8
COLLATE utf8_general_ci NULL DEFAULT NULL,
  `password` varchar(255) CHARACTER SET
utf8 COLLATE utf8_general_ci NULL DEFAULT
NULL,
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8
COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
INSERT INTO `admin` VALUES (1, 'bizan','123');
INSERT INTO `admin` VALUES (2, 'xtzb','456');


2、创建Admin实体类和AdminMapper接口

@Data
public class Admin {
    private Integer id;
    private String name;
    private String password;
}
public interface AdminMapper extends BaseMapper<Admin> {}


3、MyRealm 认证User用户, MyRealm2 认证Admin用户

public class MyRealm2 extends AuthorizingRealm {
@Autowired
    private AdminMapper adminMapper;
    // 自定义认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 1.获取输入的管理员名
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username = token.getUsername();
        // 2.根据管理员名查询管理员
        QueryWrapper<Admin> wrapper = new QueryWrapper<Admin>().eq("name",username);
        Admin admin =adminMapper.selectOne(wrapper);
        // 3.将查询到的管理员封装为认证信息
        if (admin == null) {
            throw new UnknownAccountException("账户不存在");
       }
        /**
         * 参数1:管理员
         * 参数2:密码
         * 参数3:Realm名
         */
        return new SimpleAuthenticationInfo(admin,
                admin.getPassword(),
                "myRealm2");
   }
    // 自定义授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
   }
}


4、在SecurityManager中配置Realm

// Realm
@Bean
public MyRealm getMyRealm() {
    return new MyRealm();
}
@Bean
public MyRealm2 getMyRealm2() {
    return new MyRealm2();
}
// SecurityManager对象
@Bean
public DefaultWebSecurityManager
getDefaultWebSecurityManager(MyRealm realm, MyRealm2 realm2){
    DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager();
    // Realm放入SecurityManager中
    List<Realm> realms = new ArrayList();
    realms.add(realm);
    realms.add(realm2);
    defaultSecurityManager.setRealms(realms);
    return defaultSecurityManager;
}


5、使用 bizan:123 和 xtzb:456 测试认证效果

Shiro认证_多Realm认证策略



如果有多个Realm,怎样才能认证成功,这就是认证策略。认证策 略主要使用的是 AuthenticationStrategy 接口,这个接口有三个实现类:


// Realm管理者
@Bean
public ModularRealmAuthenticator modularRealmAuthenticator(){
    ModularRealmAuthenticator modularRealmAuthenticator = new ModularRealmAuthenticator();
    //设置认证策略
    modularRealmAuthenticator.setAuthenticationStrategy(new AtLeastOneSuccessfulStrategy());
    return modularRealmAuthenticator;
}
// SecurityManager对象
@Bean
public DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm realm,MyRealm2 realm2){
    DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager();
    // 设置Realm管理者(需要在设置Realm之前)
    defaultSecurityManager.setAuthenticator(modularRealmAuthenticator());
    List<Realm> realms = new ArrayList();
    realms.add(realm);
    realms.add(realm2);
    defaultSecurityManager.setRealms(realms);
    return defaultSecurityManager;
}


ModularRealmAuthenticator 中的 doMultiRealmAuthentication 方法中添加断点可以 查看认证通过信息。

Shiro认证_异常处理



当Shiro认证失败后,会抛出 AuthorizationException 异常。该异常的子类分 别代表不同的认证失败原因,我们可以通过捕捉它们确定认证失败原因。


1、DisabledAccountException:账户失效

2、ConcurrentAccessException:竞争次数过多

3、ExcessiveAttemptsException:尝试次数过多

4、UnknownAccountException:用户名不正确

5、IncorrectCredentialsException:凭证(密码)不正确

6、ExpiredCredentialsException:凭证过期


我们一般在Controller中处理认证异常:

@RequestMapping("/user/login2")
public String login(String username, String password) {
    try {
        usersService.userLogin(username, password);
        return "main";
   } catch (DisabledAccountException e) {
        System.out.println("账户失效");
        return "fail";
   } catch (ConcurrentAccessException e) {
        System.out.println("竞争次数过多");
        return "fail";
   } catch (ExcessiveAttemptsException e) {
        System.out.println("尝试次数过多");
        return "fail";
   } catch (UnknownAccountException e) {
        System.out.println("用户名不正确");
        return "fail";
   } catch (IncorrectCredentialsException e) {
        System.out.println("密码不正确");
        return "fail";
   } catch (ExpiredCredentialsException e)
{
        System.out.println("凭证过期");
        return "fail";
   }
}


注: 如果将异常信息提示给用户,尽量把异常信息表示的婉转一 些。比如不管用户名还是密码错误,都提示用户名或密码错误,这样有助于提升代码的安全性。

目录
相关文章
|
6月前
|
数据库 数据安全/隐私保护
Shiro【自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)
Shiro【自定义Realm 、多Realm认证 、多Realm认证策略、异常处理】(二)-全面详解(学习总结---从入门到深化)
343 0
|
12月前
Shrio配置多个Realm、SecurityManager认证策略
Shrio配置多个Realm、SecurityManager认证策略
129 0
|
存储 缓存 安全
2021年你还不会Shiro?----2.Shiro实现登录功能(身份认证实践)
上一篇介绍了Shiro的架构,我们可以发现Shiro核心的东西并不多,我们花个几分钟就可以把Shiro的机构记清楚,其中Security Manager就是Shiro的核心,他包含了身份认证器Authenticator、授权器Authorizer、Session管理Session Manager、缓存管理Cache Manager。这一篇我们就介绍下Shiro的身份认证的过程,也就是我们说的用户登录。
148 0
2021年你还不会Shiro?----2.Shiro实现登录功能(身份认证实践)
|
缓存 安全 Apache
2021年你还不会Shiro?----3.分析身份认证源码实现自定义Realm
我们已经知道无论我们是认证还是授权,数据的获取都是来源于Realm,Realm就相当于我们的datasource,在上一篇中我们使用的是用IniRealm来加载我们的配置文件shiro.ini,同时我们也说了ini只是临时解决方案,在实际的开发中是不可能把用户信息和权限信息放在ini文件中的,都是来源于数据库,那么系统提供的IniRealm就不能满足我们的需要了,我们就需要自定义Realm来实现真正的场景,事实上ini文件也只是apache为我们提供学习使用的策略,下面我们就来看下怎么自己定义一个Realm。
113 0
2021年你还不会Shiro?----3.分析身份认证源码实现自定义Realm
|
存储 缓存 安全
Shiro框架01之什么是shiro+shiro的架构+权限认证
Shiro框架01之什么是shiro+shiro的架构+权限认证
Shiro框架01之什么是shiro+shiro的架构+权限认证
|
缓存 前端开发 程序员
Shiro实现多realm方案
前后端分离的背景下,在认证的实现中主要是两方面的内容,一个是用户登录获取到token,二是从请求头中拿到token并检验token的有效性和设置缓存。
Shiro实现多realm方案
|
Java 数据安全/隐私保护
【Shiro】1、Shiro实现登录授权认证功能(下)
之前在 SSM 项目中使用过 shiro,发现 shiro 的权限管理做的真不错,但是在 SSM 项目中的配置太繁杂了,于是这次在 SpringBoot 中使用了 shiro,下面一起看看吧
135 0
|
数据库
【Shiro 系列 05】Shiro 中多 Realm 的认证策略问题
上篇文章和小伙伴们分享了 JdbcRealm,本文我想和小伙伴们聊聊多 Realm 的认证策略问题。
【Shiro 系列 05】Shiro 中多 Realm 的认证策略问题
|
Java Apache Maven
Shiro--从一个简单的 Realm 开始权限认证
通过上篇文章的学习,小伙伴们对 shiro 应该有了一个大致的了解了,本文我们就来通过一个简单的案例,先来看看 shiro 中登录操作的一个基本用法。
Shiro--从一个简单的 Realm 开始权限认证
|
网络安全 数据库 数据安全/隐私保护
Shiro自定义Realm实现认证和授权(五)下
Shiro自定义Realm实现认证和授权(五)
158 0
Shiro自定义Realm实现认证和授权(五)下