前言

前面的两篇博客使用了INI的形式完成了用户的认证授权操作.我曾经多次在博客中提到过INI文件形式进行认证授权只适用于用户较少的情况下,但是,当用户较多的情况下,我们可能需要数据库来管理,这时候,我们就需要自定义Realm了. 接下来,我们来看一下如何使用自定义的Realm实现认证授权操作.

自定义Realm的继承与创建

前面我们说到我们要自定义Realm,首先我们需要先确定我们定义的Realm类中所需要的功能都需要什么,我们需要缓存功能,认证功能,授权功能,三大功能 .我们首先看一下INiRealm的继承图,从中选出最适合的继承父类,如下图所示.

• 首先我们创建出一个类继承于AuthorizingRealm,代码如下所示.

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

public class MyRealm extends AuthorizingRealm {


}

创建好的类我们会发现他处于报错状态,如下图所示.

这是因为继承于AuthorizingRealm的子类必须要实现认证方法和授权方法.我们用Alt +Enter快速创建这两个方法.

其中 doGetAuthenticationInfo为认证方法,doGetAuthorizationInfo为授权方法.代码如下所示.

public class MyRealm extends AuthorizingRealm {

    @Override
    public String getName() {
        return "MyRealm";
    }

    //授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    //认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        return null;
    }
}

自定义Realm的连接使用

上一个模块我们已经把我们自定义的Realm创建出来了,在编写具体的认证授权逻辑代码之前,我们要先把我们Realm注入到我们的工程中,这里有两种方式.一种是INI文件注入,例外一种就是传统的代码注入Bean.下面我们分别来看一下我们使用这两种方式.

首先,我们看一下如何使用INI文件的形式注入我们自定义的Realm.这时候我们可能就需要用到INI文件中的[main]模块了,具体INI文件的配置可以看我前面的SpringBoot:集成Shiro之INI配置篇.

First

我们新建一个INI文件.取名叫shiro-realm.ini.(不做任何设置的话,项目加载的是在resources目录下或者是resources/META-INF目录下的shiro.ini文件,这里因为我要做一个整体的Demo,所以就写两个INI文件作为区分了.) 结构如下图所示.

 
接下来,我们就配置我们的INI文件[main]模块的内容,这里我们只需要使用Shiro的自定义Realm功能,所以代码如下所示.

[main]
#定义Realm
myRealm = com.dong.shiro.MyRealm
#配置Realm
securityManager.realms = $myRealm

然后我们接下来就需要和SpringBoot:集成Shiro之INI认证篇中的配置过程一样,通过INI初始化我们的SecurityManager对象.其他代码一致即可.

        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-realm.ini");

整体代码如下所示.

        //初始化SecurityManager对象 使用INI文件进行自定义Realm的设置
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-realm.ini");

        //通过SecurityManager工厂对象,获取SecurityManager实例对象.
        SecurityManager securityManager =  factory.getInstance();

        // 把 securityManager 实例 绑定到 SecurityUtils
        SecurityUtils.setSecurityManager(securityManager);

        //组建Subject主体.
        Subject subject = SecurityUtils.getSubject();

        //创建 token 令牌
        UsernamePasswordToken token = new UsernamePasswordToken(userName,passWord);

        //用户登录操作.
        try{
            subject.login(token);
            resultMap.put("code","200");
            resultMap.put("msg","用户登录成功");
        }catch (AuthenticationException e){
            //登录失败原因 1 用户不存在 2 用户密码不正确
            resultMap.put("code","-1");
            resultMap.put("msg","用户登录失败");
        }

Second

第二种方式,则是使用代码的形式注入自定义的Realm,相比于第一种而言,较为麻烦一下,虽然我编写的项目中使用的是代码注入的形式.但是不得不说第一种形式很是方便简单.大家酌情区分使用这两种情况.废话不多说,我们看下代码注入的形式是如何实现的.

首先我们需要创建一个Shiro的配置类ShiroConfiguration .代码如下所示(代码是由我从项目中直接拷贝而来,可能会多很多的import).当然了,我们需要确定这个配置类能被启动类加载到.

import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;

@Configuration
public class ShiroConfiguration {

}

然后我们需要配置核心安全事务管理器和配置自定义的权限登录器两大模块,代码如下所示.

    //配置核心安全事务管理器
    @Bean(name="securityManager")
    public DefaultWebSecurityManager securityManager(@Qualifier("myShiroRealm") MyShiroRealm myShiroRealm) {
        DefaultWebSecurityManager manager=new DefaultWebSecurityManager();
        manager.setRealm(myShiroRealm);
        return manager;
    }
    //配置自定义的权限登录器
    @Bean(name="myShiroRealm")
    public MyRealm authRealm() {
        MyRealm myShiroRealm=new MyRealm();
        return myShiroRealm;
    }

这样我们就完成了自定义Realm类的配置.整体代码如下所示.

@Configuration
public class ShiroConfiguration {
    //配置核心安全事务管理器
    @Bean(name="securityManager")
    public DefaultWebSecurityManager securityManager(@Qualifier("myShiroRealm") MyShiroRealm myShiroRealm) {
        DefaultWebSecurityManager manager=new DefaultWebSecurityManager();
        manager.setRealm(myShiroRealm);
        return manager;
    }
    //配置自定义的权限登录器
    @Bean(name="myShiroRealm")
    public MyRealm authRealm() {
        MyRealm myShiroRealm=new MyRealm();
        return myShiroRealm;
    }
}

看完这个模块大家是不是觉得第一种形式更加的简洁方便呢?

自定义Realm的认证逻辑

通过上面的两种方式,我们已经可以把我们自定义的Realm注入到Bean中了,下面我们就看一下,如何使用自定义Realm连接数据库完成认证过程.

我们前面说过,认证过程是在doGetAuthenticationInfo方法中实现的,我们看到有个AuthenticationToken类型的参数,我们就可以通过这个参数进行用户名称的获取.如下所示.

        //通过token获取用户账号
        String userName = (String)authenticationToken.getPrincipal();

当我们得到了用户名称,我们就可以通过用户名称查询数据库.那么就会出现用户存在和不存在,密码正确和不正确四种情况.模拟查询数据库代码如下所示.

       //模拟查询数据库(假数据)
        String password = null;
        if (userName.equals("admin")){
            password = "admin";
        }else {
            return null;
        }

那么我们查询出password该怎么使用呢?我们看到doGetAuthenticationInfo方法返回值是实现AuthenticationInfo接口的类型,如果返回为null值,则表示用户不存在,而密码的正确与否需要进一步的判断.

接下来,我们需要使用SimpleAuthenticationInfo(实现了AuthenticationInfo接口)这个类组装返回值,它的构造方法需要三个值,分别是账号,密码,以及当前Realm的名称. 所以,代码如下所示.

        //模拟查询数据库(假数据)
        String password = null;
        if (userName.equals("admin")){
            password = "admin";
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(userName, password, getName());
            return simpleAuthenticationInfo;

        }else {
            return null;
        }

这时候,我们重新编写一下UserLoginController,验证当账号为admin,密码为admin时是否能够通过.接口方法如下所示.

   @RequestMapping(value = "/realmLogin",method = RequestMethod.POST)
    public Map<String,Object> userLoginWithRealmAction (@RequestParam(value = "userName") String userName,
                                               @RequestParam(value = "password") String password){

        Map<String,Object> resultMap = myShiro.userLoginActionWithMyRealm(userName,password);

        return resultMap;

    }

使用PostMan验证截图如下所示.

验证成功

验证失败

自定义Realm的授权逻辑

上一个模块我们已经实现数据库用户通过自定义Realm进行了登录认证.那么,我们该如何对已经登录的用户进行授权操作呢?这时候,我们需要对自定义Realm中的doGetAuthorizationInfo方法进行编写了.

和认证过程中返回值一样,假设返回为null,则没有任何权限和角色设置.我们看到doGetAuthorizationInfo方法有个principalCollection参数,principalCollection参数是用户的验证信息的封装参数.所以我们需要通过这个参数拿到用户账号信息,代码如下所示.

        String userName = (String) principalCollection.getPrimaryPrincipal();

紧接着我们就去查询数据库的用户角色和权限,假设admin用户拥有superAdmin角色和add权限.那么,我们该如何操作呢,代码如下所示.

        String userName = (String) principalCollection.getPrimaryPrincipal();

        if (userName.equals("admin")){

            List<String> permissions=new ArrayList<>();
            List<String> roles =new ArrayList<>();
            permissions.add("add");
            roles.add("superAdmin");

        }else {

            return null;

        }

然后我们如同上一个模块一样组装返回数据,这里我们需要使用到实现AuthorizationInfo接口的SimpleAuthorizationInfo,然后我们把组装的角色List和权限List添加到SimpleAuthorizationInfo中去,完成返回数据的组装.所以doGetAuthorizationInfo的整体代码如下所示.

    //授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        String userName = (String) principalCollection.getPrimaryPrincipal();

        if (userName.equals("admin")){

            List<String> permissions=new ArrayList<>();
            List<String> roles =new ArrayList<>();
            permissions.add("add");
            roles.add("superAdmin");
            //组装返回数据
            SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
            simpleAuthorizationInfo.addRoles(roles);
            simpleAuthorizationInfo.addStringPermissions(permissions);
            return simpleAuthorizationInfo;
        }else {
            return null;
        }
    }

接下来,我们继续编写MyShiro这个类的代码.原始代码如下所示.

import org.apache.commons.collections.ArrayStack;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.springframework.stereotype.Component;

import java.sql.Array;
import java.util.*;


@Component
public class MyShiro {
    public Map<String,Object> userLoginActionWithMyRealm (String userName,String passWord){

        Map<String,Object> resultMap = new HashMap<>();

        //初始化SecurityManager对象 使用INI文件进行自定义Realm的设置
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-realm.ini");

        //通过SecurityManager工厂对象,获取SecurityManager实例对象.
        SecurityManager securityManager =  factory.getInstance();

        // 把 securityManager 实例 绑定到 SecurityUtils
        SecurityUtils.setSecurityManager(securityManager);

        //组建Subject主体.
        Subject subject = SecurityUtils.getSubject();

        //创建 token 令牌
        UsernamePasswordToken token = new UsernamePasswordToken(userName,passWord);

        //用户登录操作.
        try{
            subject.login(token);
            resultMap.put("code","200");
            resultMap.put("msg","用户登录成功");

        }catch (AuthenticationException e){
            //登录失败原因 1 用户不存在 2 用户密码不正确
            resultMap.put("code","-1");
            resultMap.put("msg","用户登录失败");
        }
        return resultMap;

    }
}

我们在用户登录模块(如下图位置.)来验证用户是否具有相应的权限和角色.

验证代码类似SpringBoot:集成Shiro之INI授权篇中的验证过程,这里就不过多啰嗦,代码如下所示.

        //用户登录操作.
        try{
            subject.login(token);
            resultMap.put("code","200");
            resultMap.put("msg","用户登录成功");

            if (subject.isPermitted("add")){
                resultMap.put("PermittedMsg","用户拥有add权限");
            }else {
                resultMap.put("PermittedMsg","用户未拥有add权限");
            }
            if (subject.hasRole("superAdmin")){
                resultMap.put("roleMsg","用户拥有superAdmin角色");
            }else {
                resultMap.put("roleMsg","用户未拥有superAdmin角色");
            }

        }catch (AuthenticationException e){
            //登录失败原因 1 用户不存在 2 用户密码不正确
            resultMap.put("code","-1");
            resultMap.put("msg","用户登录失败");
        }

我们修改下认证过程,让root用户通过认证,但是没有角色和权限.MyRealm中doGetAuthenticationInfo中代码如下所示.

    //认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        //通过token获取用户账号
        String userName = (String)authenticationToken.getPrincipal();

        //模拟查询数据库(假数据)
        String password = null;
        if (userName.equals("admin") || userName.equals("root")){
            password = "admin";
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(userName, password, getName());
            return simpleAuthenticationInfo;
        }else {
            return null;
        }

    }

这时候,我们使用PostMan验证我们的代码实现是否可行.验证截图如下所示,证明其可行.

验证admin用户拥有权限和角色

验证root用户没有权限和角色

结语

自定义Realm的实现已经可以实现数据库用户的认证授权了,下一篇博客我们将看一下如何使用Shiro的拦截器相关内容,让Shiro的认证授权发挥出真正的功能,如果有任何问题,欢迎在评论区留言,我们一起探讨.欢迎继续关注骚栋,谢谢!

Demo传送门