第七讲 自定义Realm实现授权

1、仅仅通过配置文件来指定权限不够灵活,并且不方便,在实际的应用中大多数情况下都是将用户信息,角色信息,权限信息保存到了数据库中。所以需要从数据库中去获取相关的数据信息。可以使用shiro提供的JdbcRealm来实现,也可以自定义Realm来实现。使用JdbcRealm往往也不够灵活。所以在实际应用中大多数情况下都是自定义realm来实现。

2、自定义Realm需要继承AuthorizingRealm,代码如下:

 1 package com.sun123.realm;
 2 
 3 import java.util.ArrayList;
 4 import java.util.List;
 5 
 6 import org.apache.shiro.authc.AuthenticationException;
 7 import org.apache.shiro.authc.AuthenticationInfo;
 8 import org.apache.shiro.authc.AuthenticationToken;
 9 import org.apache.shiro.authc.SimpleAuthenticationInfo;
10 import org.apache.shiro.authz.AuthorizationInfo;
11 import org.apache.shiro.authz.SimpleAuthorizationInfo;
12 import org.apache.shiro.realm.AuthorizingRealm;
13 import org.apache.shiro.subject.PrincipalCollection;
14 
15 public class UserRealm extends AuthorizingRealm {
16 
17     /**
18      * 自定义realm的实现    该realm类提供了两个方法
19      * doGetAuthorizationInfo    获取认证信息
20      * doGetAuthenticationInfo    获取权限信息
21      */
22     @Override
23     public String getName() {
24         // 自定义
25         return "userRealm";
26     }
27 
28     // 完成身份认证,并且返回认证信息
29     // 如果身份认证失败,返回null
30     @Override
31     protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
32         // 获取用户输入的用户名
33         String username = (String) token.getPrincipal();// 获取身份信息
34         System.out.println("username:" + username);
35         // 根据用户名到数据库查询密码信息——模拟
36         // 假定从数据库获取的密码为1111
37         String pwd = "1111";
38         // 将从数据库中查询的信息封装到SimpleAuthenticationInfo中
39         SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, pwd, getName());
40         return info;
41     }
42 
43     // 授权的信息
44     @Override
45     protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {
46         String username = principal.getPrimaryPrincipal().toString();
47         System.out.println("授权————————————————————————");
48         System.out.println("username==========="+username);
49         //根据用户名到数据库查询该用户对应的信息——————模拟
50         List<String> permission = new ArrayList<String>();
51         permission.add("user:add");
52         permission.add("user:delete");
53         permission.add("user:update");
54         permission.add("user:find");
55         
56         SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
57         for (String perms : permission) {
58             info.addStringPermission(perms);
59         }
60         return info;
61     }
62 
63 }

shiro.ini

1 [main]
2 userRealm=com.sun123.realm.UserRealm
3 securityManager.realm=$userRealm
4 #在realm中给定了用户信息,该用户信息可以不用配置
5 [users]
6 zhangsan=1111

测试代码:

 1 package com.sun123.shiro;
 2 
 3 import org.apache.shiro.SecurityUtils;
 4 import org.apache.shiro.authc.IncorrectCredentialsException;
 5 import org.apache.shiro.authc.UnknownAccountException;
 6 import org.apache.shiro.authc.UsernamePasswordToken;
 7 import org.apache.shiro.config.IniSecurityManagerFactory;
 8 import org.apache.shiro.util.Factory;
 9 //java.lang中有SecurityManager的包,需要改成Apache的
10 import org.apache.shiro.mgt.SecurityManager;
11 import org.apache.shiro.subject.Subject;
12 
13 public class UserRealmDemo {
14 
15     public static void main(String[] args) {
16         // 1、创建SecurityManager工厂,读取相应的配置文件
17         Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
18         // 2、通过SecurityManager工厂获取SecurityManager的实例
19         SecurityManager securityManager = factory.getInstance();
20         // 3、将securityManager对象设置到运行环境中
21         SecurityUtils.setSecurityManager(securityManager);
22         // 4、通过SecurityUtils获取主体Subject
23         Subject subject = SecurityUtils.getSubject();
24         // 5、加入登录的用户名zhangsan和1111,这个地方的zhangsan和1111表示用户登录时输入的信息
25         // 而shiro.ini文件中的信息相当于数据库中存放的信息
26         // UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "111");
27         UsernamePasswordToken token = new UsernamePasswordToken("zhangsan", "1111");
28         try {
29             // 6、进行用户身份验证
30             subject.login(token);
31             // 7、通过subject来判断用户是否通过验证
32             if (subject.isAuthenticated()) {
33                 System.out.println("验证通过");
34             }
35         } catch (UnknownAccountException e) {// AuthenticationException为父异常 Ctrl+T看子异常
36             System.out.println("用户名/密码不正确");
37         } catch (IncorrectCredentialsException e) {// AuthenticationException为父异常 Ctrl+T看子异常
38             System.out.println("用户名或密码不正确");
39         }
40 
41         System.out.println(subject.isPermittedAll("user:add","user:delete"));
42     }
43 }

 

上一篇:android – 如何在Realm中设置唯一的主键?


下一篇:Hibernate 参数设置一览表