Shiro筆記四:Shiro安全數據來源之Realm
Realm和常見方法
- Realm的作用:shiro從Realm獲取安全數據
- 兩個概念
principal:主體的標識,可以有多個,但是需要具有唯一性,常見的有用戶名,手機號,郵箱等。
credential:憑證,一般是密碼。
所以一般我們說principal+credential 就是賬號+密碼。
開發中往往是自定義realm.即集成AuthorizingRealm
- 配置shiro.ini
# 格式 name=password,role1,role2,..roleN。用戶名=密碼,角色
[users]
# user 'root' with password 'secret' and the 'admin' role,
jack = 456, user
# user 'guest' with the password 'guest' and the 'guest'
role xdcalss = 123, root
# 格式 role=permission1,permission2...permissionN 也可以用通配符 .角色=服務模塊:操作類型,分隔。
# 下面配置user的權限爲所有video:find,video:buy,如果需要配置video全部操作crud 則 user = video:*
[roles]
user = video:find,video:buy
# 'admin' role has all permissions, indicated by the wildcard '*'
admin = *
- 使用java獲取ini的數據並進行shiro檢驗
public void testAuthentication(){
//創建SecurityManager工廠,通過配置文件ini創建。
Factory<SecurityManager> factory= new IniSecurityManagerFactory("classpath:shiro.ini");
SecurityManager securityManager = factory.getInstance();
//將securityManager設置到當前運行環境中
SecurityUtils.setSecurityManager(securityManager);
Subject subject = SecurityUtils.getSubject();
//用戶輸入賬號和密碼
UsernamePasswordToken usernamePasswordToken=new UsernamePasswordToken("jack","456");
//調用login執行認證內容,login裏面會調用SecurityManager的認證內容。SecurityManager會調用Authenticator進行校驗,Authenticator會調用Realm
subject.login(usernamePasswordToken);
System.out.println("認證結果:"+subject.isAuthenticated());
System.out.println("是否有對應的user角色:"+subject.hasRole("user"));
System.out.println("getPrincipal=:"+subject.getPrincipal());
subject.checkPermission("video:find");
System.out.println("是否有video:find權限:"+subject.isPermitted("video:find"));
subject.logout();
System.out.println("logout後認證結果:"+subject.isAuthenticated());
}
操作shiro內置的jdbcRealm
- 使用jdbcrealm.ini:通過SecurityManager工廠類加載該ini,生成SecurityManager實體類。
public void testAuthentication(){
//創建SecurityManager工廠,通過配置文件ini創建。
Factory<SecurityManager> factory= new IniSecurityManagerFactory("classpath:jdbcrealm.ini");
SecurityManager securityManager = factory.getInstance();
//將securityManager設置到當前運行環境中
SecurityUtils.setSecurityManager(securityManager);
Subject subject = SecurityUtils.getSubject();
//用戶輸入賬號和密碼
UsernamePasswordToken usernamePasswordToken=new UsernamePasswordToken("jack","123");
//調用login執行認證內容,login裏面會調用SecurityManager的認證內容。SecurityManager會調用Authenticator進行校驗,Authenticator會調用Realm
subject.login(usernamePasswordToken);
System.out.println("認證結果:"+subject.isAuthenticated());
System.out.println("是否有對應的user角色:"+subject.hasRole("role2"));
System.out.println("是否有video:find權限"+subject.isPermitted("video:find"));
}
- 還有另一種寫法,不用imi,直接在類得內部加載sql連接
public void test2(){
DefaultSecurityManager securityManager = new DefaultSecurityManager();
DruidDataSource ds = new DruidDataSource();
ds.setDriverClassName("com.mysql.jdbc.Driver");
ds.setUrl("jdbc:mysql://127.0.0.1:3306/xdclass_shiro?characterEncoding=UTF-8&serverTimezone=UTC&useSSL=false&serverTimezone=Asia/Shanghai");
ds.setUsername("root");
ds.setPassword("123456");
JdbcRealm jdbcRealm = new JdbcRealm();
jdbcRealm.setPermissionsLookupEnabled(true);
jdbcRealm.setDataSource(ds);
securityManager.setRealm(jdbcRealm);
//將securityManager 設置到當前運行環境中
SecurityUtils.setSecurityManager(securityManager);
Subject subject = SecurityUtils.getSubject();
//用戶輸入的賬號密碼
UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("jack", "123");
subject.login(usernamePasswordToken);
System.out.println(" 認證結果:"+subject.isAuthenticated());
System.out.println(" 是否有對應的role1角色:"+subject.hasRole("role1"));
System.out.println("是否有video:find權限:"+ subject.isPermitted("video:find"));
System.out.println("是否有任意權限:"+ subject.isPermitted("aaaa:xxxxxxxxx"));
}
自定義realm
- 步驟
- 創建一個類,繼承AuthorizingRealm–>AuthenticatingRealm–>CachingRealm—>Realm
- 重寫授權方法doGetAuthorizationInfo
- 重寫認證方法doGetAuthenticationInfo
- 對象
- UsernamePasswordToken:對應就是shiro的token中有Principal和Credential
UsernamePasswordToken—>HostAuthenticationToken—>AuthenticationToken
- SimpleAuthorizationInfo:代表用戶角色權限信息
- SimpleAuthenticationInfo:代表用戶的認證信息。
- 方法:
- 當用戶登陸的時候會調用 doGetAuthenticationInfo
- 進行權限校驗的時候會調用:doGetAuthorizationInfo
- 總結
創建繼承AuthorizingReal的類的主要目的是:
1、獲取前端傳過來的用戶登錄信息。
2、拿着用戶信息從連接數據庫,判斷用戶是否登錄,以及其權限等信息。
3、將結果封裝到SimpleAuthorizationInfo中,返回給web端。
4、web端通過調用主體類就能知道該用戶是否有權限訪問該接口。
- 繼承Realm,對Realm進行重寫。
public class CustomRealm extends AuthorizingRealm {
private final Map<String,String> userInfoMap=new HashMap<>();
{
userInfoMap.put("jack","123");
userInfoMap.put("xdclass","456");
}
//role-->permission
private final Map<String,Set<String>> permissionMap=new HashMap<>();
{
Set<String> set1=new HashSet<>();
Set<String> set2=new HashSet<>();
set1.add("video:find");
set1.add("video:buy");
set2.add("video:add");
set2.add("video:delete");
permissionMap.put("jack",set1);
permissionMap.put("xdclass",set2);
}
//user--->role
private final Map<String,Set<String>> roleMap=new HashMap<>();
{
Set<String> set1=new HashSet<>();
Set<String> set2=new HashSet<>();
set1.add("role1");
set1.add("role2");
set2.add("root");
roleMap.put("jack",set1);
roleMap.put("xdclass",set2);
}
//進行權限校驗和角色校驗時會調用
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("權限 doGetAuthorizationInfo");
String name = (String) principalCollection.getPrimaryPrincipal();
Set<String> permissions=getPermissionsByNameFromDB(name);
Set<String> roles=getRoleByNameFromDB(name);
SimpleAuthorizationInfo simpleAuthorizationInfo=new SimpleAuthorizationInfo();
simpleAuthorizationInfo.setRoles(roles);
simpleAuthorizationInfo.setStringPermissions(permissions);
return simpleAuthorizationInfo;
}
/**
* 模擬從數據庫中獲取角色信息
* @param name
* @return
*/
private Set<String> getRoleByNameFromDB(String name) {
return roleMap.get(name);
}
/**
* 模擬從數據庫中獲取權限信息
* @param name
* @return
*/
private Set<String> getPermissionsByNameFromDB(String name) {
return permissionMap.get(name);
}
//用戶登錄時會調用
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
System.out.println("認證 doGetAuthenticationInfo");
//從token中獲取用戶身份信息,token代表用戶輸入的信息。
String name=(String)authenticationToken.getPrincipal();
//模擬從數據庫中取密碼
String pwd=getPwdByUserNameFromDB(name);
if(pwd==null||"".equals(pwd)){
return null;
}
SimpleAuthenticationInfo simpleAuthenticationInfo=new SimpleAuthenticationInfo(name,pwd,this.getName());
return simpleAuthenticationInfo;
}
private String getPwdByUserNameFromDB(String name) {
return userInfoMap.get(name);
}
}
- 調用Realm
public void testAuthentication(){
//獲取當前操作的主體
Subject subject=SecurityUtils.getSubject();
//用戶輸入賬號和密碼
UsernamePasswordToken usernamePasswordToken=new UsernamePasswordToken("jack","123");
//調用login執行認證內容,login裏面會調用SecurityManager的認證內容。SecurityManager會調用Authenticator進行校驗,Authenticator會調用Realm
subject.login(usernamePasswordToken);
System.out.println("認證結果:"+subject.isAuthenticated());
//拿到主體標識名稱
System.out.println("拿到主體標識名稱"+subject.getPrincipal());
subject.checkRole("role1");
System.out.println(" 是否有對應的role1角色:"+subject.hasRole("role1"));
System.out.println("是否有video:find權限:"+ subject.isPermitted("video:find"));
}
- 流程分析
認證流程解讀
1、subject.login(usernamePasswordToken);
2、DelegatingSubject->login()
3、DefaultSecurityManager->login()
4、AuthenticatingSecurityManager->authenticate()
5、AbstractAuthenticator->authenticate()
6、ModularRealmAuthenticator->doAuthenticate()
7、ModularRealmAuthenticator->doSingleRealmAuthentication()
8、AuthenticatingRealm->getAuthenticationInfo()
密碼驗證方法:AuthenticatingRealm-> assertCredentialsMatch()
- 授權流程
授權流程解讀:
1、subject.checkRole(“admin”)
2、DelegatingSubject->checkRole()
3、AuthorizingSecurityManager->checkRole()
4、ModularRealmAuthorizer->checkRole()
5、AuthorizingRealm->hasRole()
6、AuthorizingRealm->doGetAuthorizationInfo()