Apache Shiro 使用手册(四) Realm 实现
程序员文章站
2022-06-01 08:04:52
在认证、授权内部实现机制中都有提到,最终处理都将交给real进行处理。因为在shiro中,最终是通过realm来获取应用程序中的用户、角色及权限信息的。通常情况下,在rea...
在认证、授权内部实现机制中都有提到,最终处理都将交给real进行处理。因为在shiro中,最终是通过realm来获取应用程序中的用户、角色及权限信息的。通常情况下,在realm中会直接从我们的数据源中获取shiro需要的验证信息。可以说,realm是专用于安全框架的dao.
一、认证实现
正如前文所提到的,shiro的认证过程最终会交由realm执行,这时会调用realm的getauthenticationinfo(token)方法。
该方法主要执行以下操作:
1、检查提交的进行认证的令牌信息
2、根据令牌信息从数据源(通常为数据库)中获取用户信息
3、对用户信息进行匹配验证。
4、验证通过将返回一个封装了用户信息的authenticationinfo实例。
5、验证失败则抛出authenticationexception异常信息。
而在我们的应用程序中要做的就是自定义一个realm类,继承authorizingrealm抽象类,重载dogetauthenticationinfo (),重写获取用户信息的方法。
复制代码 代码如下:
protected authenticationinfo dogetauthenticationinfo(authenticationtoken authctoken) throws authenticationexception {
usernamepasswordtoken token = (usernamepasswordtoken) authctoken;
user user = accountmanager.finduserbyusername(token.getusername());
if (user != null) {
return new simpleauthenticationinfo(user.getusername(), user.getpassword(), getname());
} else {
return null;
}
}
二、授权实现
而授权实现则与认证实现非常相似,在我们自定义的realm中,重载dogetauthorizationinfo()方法,重写获取用户权限的方法即可。
复制代码 代码如下:
protected authorizationinfo dogetauthorizationinfo(principalcollection principals) {
string username = (string) principals.fromrealm(getname()).iterator().next();
user user = accountmanager.finduserbyusername(username);
if (user != null) {
simpleauthorizationinfo info = new simpleauthorizationinfo();
for (group group : user.getgrouplist()) {
info.addstringpermissions(group.getpermissionlist());
}
return info;
} else {
return null;
}
}
推荐阅读
-
关于Apache shiro实现一个账户同一时刻只有一个人登录(shiro 单点登录)
-
Apache Shiro 使用手册(五) Shiro 配置说明
-
Spring boot 入门(四):集成 Shiro 实现登陆认证和权限管理
-
Apache Shiro 使用手册(二) Shiro 认证
-
Apache Shiro 使用手册(一) Shiro架构介绍
-
Apache Shiro 使用手册(三) Shiro授权
-
关于Apache shiro实现一个账户同一时刻只有一个人登录(shiro 单点登录)
-
Apache Shiro 使用手册(五) Shiro 配置说明
-
Apache Shiro 使用手册(四) Realm 实现
-
Apache Shiro 使用手册(一) Shiro架构介绍