Shiro认证_自定义Realm
使用 JdbcRealm 认证时,数据库表名、字段名、认证逻辑都不能改变, 我们可以自定义Realm进行更灵活的认证。
1、准备数据表
CREATE TABLE `users` ( `uid` int(11) NOT NULL AUTO_INCREMENT, `username` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL, `password` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL, PRIMARY KEY (`uid`) USING BTREE ) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic; INSERT INTO `users` VALUES (1, 'bizan','123');
2、编写实体类
@Data public class Users { private Integer uid; private String username; private String password; }
3、编写mapper接口
public interface UsersMapper extends BaseMapper<Users> { }
4、在启动类加载mapper接口
@SpringBootApplication @MapperScan("com.tong.myshiro1.mapper") public class Myshiro1Application { public static void main(String[] args) { SpringApplication.run(Myshiro1Application.class, args); } }
5、编写自定义Realm类
public class MyRealm extends AuthorizingRealm { @Autowired private UserInfoMapper userInfoMapper; // 自定义认证方法 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { // 1.获取用户输入的用户名 UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken; String username = token.getUsername(); // 2.根据用户名查询用户 QueryWrapper<Users> wrapper = new QueryWrapper<Users>().eq("username",username); Users users = usersMapper.selectOne(wrapper); // 3.将查询到的用户封装为认证信息 if (users == null) { throw new UnknownAccountException("账户不存在"); } /** * 参数1:用户 * 参数2:密码 * 参数3:Realm名 */ return new SimpleAuthenticationInfo(users,users.getPassword(),"myRealm"); } // 自定义授权方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { return null; } }
6、将自定义Realm放入SecurityManager对象中
@Configuration public class ShiroConfig { // 自定义Realm @Bean public MyRealm myRealm(){ return new MyRealm(); } // SecurityManager对象 @Bean public DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm myRealm){ DefaultWebSecurityManager defaultSecurityManager=new DefaultWebSecurityManager(); // 自定义Realm放入SecurityManager中 defaultSecurityManager.setRealm(myRealm); return defaultSecurityManager; } }
7、无需修改Service和Controller
8、启动项目,访问登录页http://localhost/login,测试登录功能。
Shiro认证_多Realm认证
在实际开发中,我们的认证逻辑可能不止一种,例如:
1、系统支持用户名密码认证,也支持扫描二维码认证;
2、在系统中有管理员和普通用户两张表,管理员和普通用户的认证逻辑是不一样的;
3、用户数据量庞大,分别存在不同的数据库中,认证时需要连接多个数据源。
以上情况都需要配置多个Realm进行认证,我们以第二种情况举 例,讲解Shiro中多Realm认证的写法:
1、在数据库创建admin表
CREATE TABLE `admin` ( `id` int(11) NOT NULL, `name` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL, `password` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL, PRIMARY KEY (`id`) USING BTREE ) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic; INSERT INTO `admin` VALUES (1, 'bizan','123'); INSERT INTO `admin` VALUES (2, 'xtzb','456');
2、创建Admin实体类和AdminMapper接口
@Data public class Admin { private Integer id; private String name; private String password; } public interface AdminMapper extends BaseMapper<Admin> {}
3、MyRealm 认证User用户, MyRealm2 认证Admin用户
public class MyRealm2 extends AuthorizingRealm { @Autowired private AdminMapper adminMapper; // 自定义认证方法 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { // 1.获取输入的管理员名 UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken; String username = token.getUsername(); // 2.根据管理员名查询管理员 QueryWrapper<Admin> wrapper = new QueryWrapper<Admin>().eq("name",username); Admin admin =adminMapper.selectOne(wrapper); // 3.将查询到的管理员封装为认证信息 if (admin == null) { throw new UnknownAccountException("账户不存在"); } /** * 参数1:管理员 * 参数2:密码 * 参数3:Realm名 */ return new SimpleAuthenticationInfo(admin, admin.getPassword(), "myRealm2"); } // 自定义授权方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { return null; } }
4、在SecurityManager中配置Realm
// Realm @Bean public MyRealm getMyRealm() { return new MyRealm(); } @Bean public MyRealm2 getMyRealm2() { return new MyRealm2(); } // SecurityManager对象 @Bean public DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm realm, MyRealm2 realm2){ DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager(); // Realm放入SecurityManager中 List<Realm> realms = new ArrayList(); realms.add(realm); realms.add(realm2); defaultSecurityManager.setRealms(realms); return defaultSecurityManager; }
5、使用 bizan:123 和 xtzb:456 测试认证效果
Shiro认证_多Realm认证策略
如果有多个Realm,怎样才能认证成功,这就是认证策略。认证策 略主要使用的是 AuthenticationStrategy 接口,这个接口有三个实现类:
// Realm管理者 @Bean public ModularRealmAuthenticator modularRealmAuthenticator(){ ModularRealmAuthenticator modularRealmAuthenticator = new ModularRealmAuthenticator(); //设置认证策略 modularRealmAuthenticator.setAuthenticationStrategy(new AtLeastOneSuccessfulStrategy()); return modularRealmAuthenticator; } // SecurityManager对象 @Bean public DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm realm,MyRealm2 realm2){ DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager(); // 设置Realm管理者(需要在设置Realm之前) defaultSecurityManager.setAuthenticator(modularRealmAuthenticator()); List<Realm> realms = new ArrayList(); realms.add(realm); realms.add(realm2); defaultSecurityManager.setRealms(realms); return defaultSecurityManager; }
在 ModularRealmAuthenticator 中的 doMultiRealmAuthentication 方法中添加断点可以 查看认证通过信息。
Shiro认证_异常处理
当Shiro认证失败后,会抛出 AuthorizationException 异常。该异常的子类分 别代表不同的认证失败原因,我们可以通过捕捉它们确定认证失败原因。
1、DisabledAccountException:账户失效
2、ConcurrentAccessException:竞争次数过多
3、ExcessiveAttemptsException:尝试次数过多
4、UnknownAccountException:用户名不正确
5、IncorrectCredentialsException:凭证(密码)不正确
6、ExpiredCredentialsException:凭证过期
我们一般在Controller中处理认证异常:
@RequestMapping("/user/login2") public String login(String username, String password) { try { usersService.userLogin(username, password); return "main"; } catch (DisabledAccountException e) { System.out.println("账户失效"); return "fail"; } catch (ConcurrentAccessException e) { System.out.println("竞争次数过多"); return "fail"; } catch (ExcessiveAttemptsException e) { System.out.println("尝试次数过多"); return "fail"; } catch (UnknownAccountException e) { System.out.println("用户名不正确"); return "fail"; } catch (IncorrectCredentialsException e) { System.out.println("密码不正确"); return "fail"; } catch (ExpiredCredentialsException e) { System.out.println("凭证过期"); return "fail"; } }
注: 如果将异常信息提示给用户,尽量把异常信息表示的婉转一 些。比如不管用户名还是密码错误,都提示用户名或密码错误,这样有助于提升代码的安全性。