第六章:Shiro的Realms——深入浅出学Shiro细粒度权限开发框架

Realms概述

概述

  Realm 是一个能够访问应用程序特定的安全数据(如用户、角色及权限)的组件。

  Realm 通常和数据源是一对一的对应关系,如关系数据库,LDAP 目录,文件系统,或其他类似资源。Realm 实质上就是一个特定安全的DAO。

  因为这些数据源大多通常存储身份验证数据(如密码的凭证)以及授权数据(如角色或权限),每个Realm能够执行身份验证和授权操作。

关于Realm的配置

  这个在前面讲过了,这个就不去赘述了

理解Realms的认证实现

前面学到过,Shiro的认证过程最终会交由Realm执行,这时会调用Realm的getAuthenticationInfo(token)方法。

  该方法通常会在org.apache.shiro.realm.AuthenticatingRealm中实现,当然,这个方法中会调用到具体realm实现的方法。

该方法主要执行以下操作:

1、检查提交的进行认证的令牌信息

2、根据令牌信息从数据源(通常为数据库)中获取用户信息

3、对用户信息进行匹配验证。

4、验证通过将返回一个封装了用户信息的AuthenticationInfo实例。

5、验证失败则抛出AuthenticationException异常信息。

  这是对所有Realm getAuthenticationInfo 实现的最高级别的工作流。

  验证通过后,就返回一个非空的AuthenticationInfo 实例来代表来自于该数据源的Subject 帐户信息。

Shiro默认的Realms的认证实现

所有Shiro 立即可用的Realm 的实现默认使用SimpleCredentialsMatcher。SimpleCredentialsMatcher 执行一个普通的直接相等性的检查,也就是在存储的帐户credentials 与在AuthenticationToken 所提交的之间的检查。

使用Hashing Credentials

  如果要使用Hashing Credentials,那么需要在配置中告诉验证器,使用相应的匹配器,这个在前面示例过。

  但是前面直接使用的Sha256Matcher,已经不推荐使用了,现在推荐使用统一的HashedCredentialsMatcher,然后配置具体的算法名称,这些名称按照Java Security Framework里面的标准名称来配置。常见的名称有:

  MD5、AES 、DES 、SHA-1、SHA-256、SHA-384、SHA-512……很多

  具体可以参见:http://docs.oracle.com/javase/6/docs/technotes/guides/security/StandardNames.html

新的实现配置示例:

[main]

sha256Matcher = org.apache.shiro.authc.credential.HashedCredentialsMatcher

sha256Matcher.hashAlgorithmName = SHA-256

sha256Matcher.storedCredentialsHexEncoded=false

iniRealm.credentialsMatcher = $sha256Matcher

myRealm1=cn.javass.hello.MyRealm

myRealm1.credentialsMatcher = $sha256Matcher

authenticator = org.apache.shiro.authc.pam.ModularRealmAuthenticator

authcStrategy = org.apache.shiro.authc.pam.AllSuccessfulStrategy

authenticator.authenticationStrategy = $authcStrategy

authenticator.realms=$myRealm1,iniRealm

securityManager.authenticator = $authenticator

[users]

javass =NVsbv8lnJc3Oj0onCP2jEKgObRMxWuxOXu0qdf6AMs4=,role1

[roles]

role1 = p1,p2

  当然,别忘了在MyRealm中,创建SimpleAuthenticationInfo时传的密码就应该是加密后的字符串了

你还可以在密码加密的时候,加点salt,使密码更安全。这种方式目前默认的iniRealm没有支持,只能是在自己扩展的Realm里面使用

新的配置文件示例:

[main]

sha256Matcher = org.apache.shiro.authc.credential.HashedCredentialsMatcher

sha256Matcher.hashAlgorithmName = SHA-256

sha256Matcher.storedCredentialsHexEncoded=false

sha256Matcher.hashIterations = 10

myRealm1=cn.javass.hello.MyRealm

myRealm1.credentialsMatcher = $sha256Matcher

authenticator = org.apache.shiro.authc.pam.ModularRealmAuthenticator

authenticator.realms=$myRealm1

securityManager.authenticator = $authenticator

[users]

javass =kExd2f52W1M/wXidIRjOfMDj76DVo6e2md+7Rn4ubmY=,role1

[roles]

role1 = p1,p2

获得加盐后的密码字符串

String ss = new Sha256Hash("cc","javass",10).toBase64();

在自定义的realm中,返回的SimpleAuthenticationInfo需要修改一下,要加入salt的信息,当然,密码也需要是加密后的字符串,修改为:

SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(

  username,

  "kExd2f52W1M/wXidIRjOfMDj76DVo6e2md+7Rn4ubmY=" .toCharArray(),

  ByteSource.Util.bytes("javass".getBytes()),

  getName()

);

要保证你的Realm 实现必须返回一个SaltedAuthenticationInfo 实例而不是一个普

通的AuthenticationInfo 实例。

使用默认的JdbcRealm

这个需要在数据库中建立相应的表

然后配置相应的数据库连接,然后才能使用,这里以spring中的bean定义来说明一下,示例如下:

<bean id="myRealm" class="org.apache.shiro.realm.jdbc.JdbcRealm">

  <property name="dataSource" ref="dataSource" />

  <property name="authenticationQuery"

  value="select u.pwd from tbl_user u where u.uuid = ?" />

  <property name="userRolesQuery"

  value="select r.uuid from tbl_user_role ur left join tbl_role r on ur.roleUuid = r.uuid where ur.userUuid = ? " />

  <property name="permissionsQuery"

  value="select p.uuid from tbl_role r left join tbl_role_permission rp on r.uuid = rp.roleUuid left join tbl_permission p on rp.permissionUuid = p.uuid where r.uuid = ? " />

  <property name="permissionsLookupEnabled" value="true" />

  <property name="saltStyle" value="NO_SALT" />

</bean>

自定义Realm

自定义Reald非常简单,通常是继承AuthorizingRealm 抽象类,这个类实现了常用的authentication 及authorization 工作流来节省你的时间和精力。

然后覆盖doGetAuthenticationInfo,在这个方法里面实现获取用户信息

基本的示例如下:

protected AuthenticationInfo doGetAuthenticationInfo(

  AuthenticationToken token) throws AuthenticationException {

  //token中储存着输入的用户名和密码

  UsernamePasswordToken upToken = (UsernamePasswordToken)token;

  String username = upToken.getUsername();

  //通常是根据用户名去数据库中查询相应信息,这里就省略了

  //当然这里也可以对用户名和密码进行校验

  SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, password .toCharArray(),getName());

  return info;

}

然后覆盖doGetAuthorizationInfo,在这个方法里面实现获取用户权限的信息

基本的示例如下:

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

  String userName = (String) getAvailablePrincipal(principals);

  //通过用户名去获得用户的所有资源,并把资源存入info中

  //当然这里通常会操作数据库去获取

  SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

  Set<String> s = new HashSet<String>();

  s.add("p1");

  s.add("p2");

  info.setStringPermissions(s);

  Set<String> r = new HashSet<String>();

  r.add("r1");

  r.add("r2");

  info.setRoles(r);

  return info;

}

在spring的配置文件中使用

在Spring的配置文件中,配置的内容和ini文件是一样,只不过转换成xml的风格,用bean的方式来配置

基本的示例如下:

<bean id="sha256Matcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">

  <property name="hashAlgorithmName" value="SHA-256"></property>

  <property name="storedCredentialsHexEncoded" value="false"></property>

  <property name="hashIterations" value="10"></property>

</bean>

<bean id="myRealm2" class="cn.javass.hello.MyRealm">

  <property name="credentialsMatcher" ref="sha256Matcher"></property>

</bean>

而且,由于把我们的Realm配置成bean了,自然就可以使用依赖注入等功能了。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏JavaEdge

Shiro 实战(四) - 过滤器机制1 简介2 过滤器链

NameableFilter给Filter起个名字,如果没有设置默认就是FilterName 当我们组装拦截器链时会根据这个名字找到相应的拦截器实例

28910
来自专栏Java3y

从零开始写项目第二篇【登陆注册、聊天、收藏夹模块】

登陆模块目标 我要将其弄成类似的登陆,功能是要比较完善的。 ? 本来我是想做一步写一步的,但是发现这样文章就会太乱,因为要改的地方太多了。前面写过的,后边就被修...

1.2K80
来自专栏李家的小酒馆

安全框架Shiro入门

Shiro简介 Apache Shiro是Java的一个安全框架,官网为shiro.apache.org,主要场景为控制登陆,判断用户是否有访问某个功能的权限等...

34500
来自专栏咸鱼不闲

不能解析EL表达式解决方案

错误代码:The identifier [static] is not a valid Java identifier as required by secti...

12740
来自专栏不想当开发的产品不是好测试

testng-result中文乱码问题

背景 执行完用例查看报告,发现testng-result.xml文件中关于中文的都是乱码 解决方法 eclipse已设置了utf-8去编译,所以直接运行run ...

22680
来自专栏海天一树

Python Selenium爬取百度百科旅游景点的基本信息

在与python文件同级的目录下创建scenic_spots_5A_namelist.txt,内容为

12920
来自专栏GuZhenYin

[.NET跨平台]Jexus独立版本的便利与过程中的一些坑

本文环境与前言 之前写过一篇相关的文章:在.NET Core之前,实现.Net跨平台之Mono+CentOS+Jexus初体验 当时的部署还是比较繁琐的,而且需...

40250
来自专栏我有一个梦想

设计模式学习笔记-命令模式

1. 概述   将一个请求封装为一个对象(即我们创建的Command对象),从而使你可用不同的请求对客户进行参数化; 对请求排队或记录请求日志,以及支持可撤销的...

207100
来自专栏开源优测

RFC821 简单邮件传输协议(SMTP)

16030
来自专栏静默虚空的博客

JAVA 设计模式 命令模式

用途 命令模式 (Command) 将一个请求封装为一个对象,从而使你可以用不同的请求对客户进行参数化; 对请求排队或请求日志,以及支持可撤销的操作。 命令模...

21860

扫码关注云+社区

领取腾讯云代金券