Shiro中Realm的初步学习---IniRealm,JdbcRealm,自定义Realm

原創 小小舍 2020-07-05 09:33

全部测试代码整体结构:

在此项目基础上继续编辑

https://blog.csdn.net/qq_43560721/article/details/105194364

 

首先是内置Realm

我们来看一下IniRealm和JdbcRealm

IniRealm:

测试代码:

1.配置user.ini,主要配置用户,角色和权限

[users]
xxs=123,admin
[roles]
admin=user:delete,user:update

2.写测试类:

package cn.xxs.test;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;
import org.junit.Test;

/**
 * @Author xxs
 * @Date 2020/3/30 12:16
 */
public class IniRealmTest {

    @Test
    public void  testAuthentication(){
        IniRealm iniRealm = new IniRealm("classpath:user.ini");

        //1.构建SecurityManager环境,SecurityManager提供安全服务
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        defaultSecurityManager.setRealm(iniRealm);
        //2.主题提交认证请求
        SecurityUtils.setSecurityManager(defaultSecurityManager);//设置SecurityManager环境
        Subject subject = SecurityUtils.getSubject();//获得主体

        UsernamePasswordToken token = new UsernamePasswordToken("xxs","123");//认证数据
        subject.login(token);//提交认证
        System.out.println("isAuthenticated:"+subject.isAuthenticated());//看是否认证 true/false
        subject.checkRole("admin");//检查角色
        subject.checkPermission("user:update");//检查权限
    }
}

测试过程:

1.正确的用户信息,角色,权限 进行检查

2.错误用户名

3.错误的密码

4.错误角色

5.错误权限

 

 

JdbcRealm:

测试代码:

1.添加依赖

<!--        引入mysql数据库驱动包-->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>5.1.45</version>
        </dependency>
<!--        引入数据源-->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid</artifactId>
            <version>1.1.6</version>
        </dependency>

2.新建数据库

自带sql例子表:

自定义sql例子表:

3.写测试类

package cn.xxs.test;

import com.alibaba.druid.pool.DruidDataSource;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.jdbc.JdbcRealm;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;
import org.junit.Test;

/**
 * @Author xxs
 * @Date 2020/3/30 14:02
 */
public class JdbcRealmTest {

    //设置jdbc访问url,用户及密码
    DruidDataSource dataSource = new DruidDataSource();
    {
        dataSource.setUrl("jdbc:mysql://localhost:3306/test?useSSL=false");
        dataSource.setUsername("root");
        dataSource.setPassword("root");
    }
    @Test
    public void  testAuthentication(){
        //创建JdbcRealm对象
        JdbcRealm jdbcRealm = new JdbcRealm();
        //引入jdbc数据源
        jdbcRealm.setDataSource(dataSource);
        jdbcRealm.setPermissionsLookupEnabled(true);//打开查询数据库权限的开关,默认为false
        //自定义sql
        String sql = "select password from test_user where user_name = ?";
        jdbcRealm.setAuthenticationQuery(sql);
        String roleSql =  "select role_name from test_user_role where user_name = ?";
        jdbcRealm.setUserRolesQuery(roleSql);
        //1.构建SecurityManager环境,SecurityManager提供安全服务
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        defaultSecurityManager.setRealm(jdbcRealm);
        //2.主题提交认证请求
        SecurityUtils.setSecurityManager(defaultSecurityManager);//设置SecurityManager环境
        Subject subject = SecurityUtils.getSubject();//获得主体
        UsernamePasswordToken token = new UsernamePasswordToken("ss","321");//认证数据
        subject.login(token);//提交认证
        System.out.println("isAuthenticated:"+subject.isAuthenticated());//看是否认证 true/false
//        subject.checkRole("admin");
//        subject.checkRoles("admin","user");
//        subject.checkPermission("user:select");
        subject.checkRole("user");
    }
}

测试过程:

1.自带sql测试

数据对照这3个表

注意点:

 

jdbcRealm.setPermissionsLookupEnabled(true);//打开查询数据库权限的开关,默认为false

 

以下面这两张图做对比。必须加上边一行代码,不然默认不查询

JdbcRealm自带的sql是在JdbcRealm类里边,进入会看到如下图所示:

但是有弊端:只能按照自带sql字段来建数据库表。

那么我们可以自定义sql

2.自定义sql测试:

数据对照这2个表

 

 

 

其次是自定义Realm

1.新建一个CustomRealm

package cn.imooc.shiro.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import java.util.HashMap;
import java.util.HashSet;
import java.util.Map;
import java.util.Set;

/**
 * @Author xxs
 * @Date 2020/4/8 10:33
 */
public class CustomRealm  extends AuthorizingRealm {

    Map<String,String> userMap = new HashMap<String, String>(16);
    {
        userMap.put("xxs","123");
        super.setName("customRealm");
    }
    //做授权
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        // 1.从主体传过来的认证信息中,获得用户名
        String userName = (String) principalCollection.getPrimaryPrincipal();
        //2.通过用户名到数据库或者缓存中获取角色数据
        Set<String> roles = getRolesByUserName(userName);
        //3.通过用户名到数据库或者缓存中获取权限数据
        Set<String> permissions = getPermissionsByUserName(userName);
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        simpleAuthorizationInfo.setStringPermissions(permissions);
        simpleAuthorizationInfo.setRoles(roles);
        return simpleAuthorizationInfo;
    }

    /**
     *模拟数据库或缓存中查询角色的权限
     * @param userName
     * @return
     */
    private Set<String> getPermissionsByUserName(String userName) {
        Set<String> sets = new HashSet<String>();
        sets.add("user:delete");
        sets.add("user:add");
        return sets;
    }

    /**
     *模拟数据库或缓存中查询角色
     * @param userName
     * @return
     */
    private Set<String> getRolesByUserName(String userName) {
        Set<String> sets = new HashSet<String>();
        sets.add("admin");
        sets.add("user");
        return sets;
    }

    //做认证
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)
            throws AuthenticationException {
        // 1.从主体传过来的认证信息中,获得用户名
        String userName = (String) authenticationToken.getPrincipal();
        //2.通过用户名到数据库中获取凭证
        String password = getPasswordByUserName(userName);
        if(password==null){
            return null;
        }
        //创建返回对象
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo
                ("xxs", password, "customRealm");//用户名,密码,realm名称
        return authenticationInfo;
    }

    /**
     * 模拟数据库或缓存中查询凭证
     * @param userName
     * @return
     */
    private String getPasswordByUserName(String userName) {
        return userMap.get(userName);
    }
}

2.新建测试类

package cn.xxs.test;

import cn.imooc.shiro.realm.CustomRealm;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;
import org.junit.Test;

/**
 * @Author xxs
 * @Date 2020/4/8 10:49
 */
public class CustomRealmTest {
    @Test
    public void  testAuthentication(){
        CustomRealm customRealm = new CustomRealm();
        //1.构建SecurityManager环境,SecurityManager提供安全服务
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        defaultSecurityManager.setRealm(customRealm);
        //2.主题提交认证请求
        SecurityUtils.setSecurityManager(defaultSecurityManager);//设置SecurityManager环境
        Subject subject = SecurityUtils.getSubject();//获得主体
        UsernamePasswordToken token = new UsernamePasswordToken("xxs","123");//认证数据
        subject.login(token);//提交认证
        System.out.println("isAuthenticated:"+subject.isAuthenticated());//看是否认证 true/false
        subject.checkRole("admin");//检查角色
        subject.checkPermission("user:add");//检查权限

    }
}

测试过程:

1.验证用户信息

正确用户信息验证

错误用户信息验证

2.检查角色和权限

正确角色及权限验证

错误角色验证

错误权限验证

 

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

【安装部署】Apache SeaTunnel 和 Web快速安装详解

版本說明 由於作者目前接觸當前最新版本爲2.3.4 但是官方提供的web版本未1.0.0,不兼容2.3.4,因此這裏仍然使用2.3.3版本。 可以自定義兼容處理,官方提供了文檔:https://mp.weixin.qq.com/s/Al1V

原創 2024-04-16 12:22:36

maven项目指定mvn版本打包

指定版本項目路徑配置:.mvn/wrapper maven-wrapper.properties distributionUrl=https://repo.maven.apache.org/maven2/org/apache/maven/

原創 2024-04-15 23:27:08

低代码集成Java系列:高效构建自定义插件

前言 隨着軟件開發的快速發展和需求的不斷增長,開發人員面臨着更多的壓力和挑戰。傳統的開發方法需要花費大量的時間和精力,而低代碼開發平臺的出現爲開發人員提供了一種更加高效、快速的開發方式。今天小編就以構建命令插件爲例,展示如何使用Java語言

原創 2024-04-15 10:22:44

spring-boot-maven-plugin的jar包拉不下来

參考地址: https://developer.aliyun.com/mvn/guide   spring-boot-maven-plugin不在central倉庫,而是在grail-core倉庫中,需要把<mirrorOf>central

原創 2024-04-13 23:30:37

jar包冲突组建设计书

. 背景 實際開發過程中,使用maven管理jar給我們開發帶來了很多便利,不需要自己一個一個的jar包下載了,只需要配置個pom配置文件就可以了,寫上對應座標和倉庫地址就可以了。但是jar衝突沒問題沒有解決,有衝突的jar包maven不

原創 2024-04-08 23:16:36

代码手术刀—自定义你的代码重构工具

Tech 01   前言 在今年的敏捷團隊建設中,我通過Suite執行器實現了一鍵自動化單元測試。Juint除了Suite執行器還有哪些執行器呢?由此我

京東雲開發者 2024-04-07 11:15:29

运维人少,如何批量管理上百个微服务、上千条流水线?

作者:周靜 隨着微服務和雲原生技術的發展,一個業務系統往往由多個微服務應用組成,多個業務方向涉及幾十上百應用。每個應用研發過程又劃分爲測試、預發、生產多條流水線,也即成百上千條流水線。而一個企業下通常只有 1~2 個運維或架構師負責這些應用

原創 2024-03-21 21:13:40

基于免费算法SDK和SpringBoot框架,实战完整人脸识别系统

人工智能時代的到來,相信大家已耳濡目染,虹軟免費,離線開放的人臉識別 SDK,正推動着全行業進入刷臉時代。爲了方便開發者接入,虹軟提供了多種語言,多種平臺的人臉識別SDK的支持,使用場景廣泛。產品主要功能有:人臉檢測、追蹤、特徵提取、特徵比

glen_xu 2024-03-19 02:32:55

CVE-2023-49442 利用分析

1. 漏洞介紹 JEECG(J2EE Code Generation)是開源的代碼生成平臺,目前官方已停止維護。JEECG 4.0及之前版本中,由於/api接口鑑權時未過濾路徑遍歷,攻擊者可構造包含 ../的url繞過鑑權。攻擊者可構造惡

原創 2024-03-12 11:20:14

「干货盘点」IntelliJ IDEA离线开发使用要点(二)

IntelliJ IDEA是java編程語言開發的集成環境。IntelliJ在業界被公認爲最好的Java開發工具,尤其在智能代碼助手、代碼自動提示、重構、JavaEE支持、各類版本工具(git、svn等)、JUnit、CVS整合、代碼分析、

原創 2024-03-11 12:33:18

Springboot配置加密jasypt

一、前言 1、jasypt使用手冊 ulisesbocchio/jasypt-spring-boot: Jasypt integration for Spring boot (github.com) 2、springboot使用,只需要引入

原創 2024-03-08 00:22:08

Java agent技术的注入利用与避坑点

什麼是Java agent技術? Java代理(Java agent)是一種Java技術,它允許開發人員在運行時以某種方式修改或增強Java應用程序的行爲。Java代理通過在Java虛擬機(JVM)啓動時以"代理"(agent)的形式加載

原創 2024-03-06 23:50:31

如何在 Java 中以编程的方式将 CSV 转为 Excel XLSX 文件

前言 Microsoft Excel的XLSX格式以及基於文本的CSV(逗號分隔值)格式,是數據交換中常見的文件格式。應用程序通過實現對這些格式的讀寫支持,可以顯著提升性能。在本文中,小編將爲大家介紹如何藉助葡萄城公司地Java API組件

原創 2024-03-04 22:53:30

一文详解应用安全防护ESAPI

本文分享自華爲雲社區《應用安全防護ESAPI》,作者: Uncle_Tom。 1. ESAPI 簡介 OWASP Enterprise Security API (ESAPI)是一個免費、開源的web應用程序安全控制庫,使程序員更容易編寫

原創 2024-02-04 10:57:56

使用阿里云性能测试工具 JMeter 场景压测 RocketMQ 最佳实践

需求背景 新業務上線前,我們通常需要對系統的不同中間件進行壓測,找到當前配置下中間件承受流量的上限,從而確定上游鏈路的限流規則,保護系統不因突發流量而崩潰。阿里雲 PTS 的 JMeter 壓測可以支持用戶上傳自定義的 JMeter 腳本

原創 2023-11-15 02:08:30