02.详细讲解Apache Shiro realm实战
站长
· 阅读数 56
简介:讲解shiro默认自带的realm和常见使用方法
-
realm作用:Shiro 从 Realm 获取安全数据
-
默认自带的realm:idae查看realm继承关系,有默认实现和自定义继承的realm
-
两个概念
- principal : 主体的标示,可以有多个,但是需要具有唯一性,常见的有用户名,手机号,邮箱等
- credential:凭证, 一般就是密码
- 所以一般我们说 principal + credential 就账号 + 密码
-
开发中,往往是自定义realm , 即集成 AuthorizingRealm!!!!!!
Realm 的继承和实现关系
快速上手之Shiro内置IniRealm实操和权限验证api
实战:从shiro.ini 文件中取到用户jack,然后判断这个用户的相关权限
注意⚠️:这种写法就是让我们了解一下shiro这个框架是干啥的,不用连接数据库,达到快速体验shiro这套安全框架的作用。在实际的开发中,肯定不会用到这种方式。
在resouces目录下创建shiro.ini 文件
shiro.ino
# 格式 name=password,role1,role2,..roleN
[users]
# user 'root' with password 'secret' and the 'admin' role,
jack = 456, user
# user 'guest' with the password 'guest' and the 'guest' role
lll = 123, root,admin
# 格式 role=permission1,permission2...permissionN 也可以用通配符
# 下面配置user的权限为所有video:find,video:buy,如果需要配置video全部操作crud 则 user = video:*
[roles]
user = video:find,video:buy
# 'admin' role has all permissions, indicated by the wildcard '*'
admin = *
测试类:QuickStartTest3.java
package com.lzh;
/**
* @Author:kaiyang.cui
* @Package:com.lzh
* @Project:lzh_shiro
* @name:QuickStartTest
* @Date:2023/3/27 下午2:05
* @Filename:QuickStartTest
* @Description:从shiro.ini 文件中取到用户jack,然后判断这个用户的相关权限
* @Version:1.0
*/
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;
public class QuickStartTest3 {
@Test
public void testAuthentication() {
// 创建SecurityManager工厂,通过配置文件ini创建
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
SecurityManager securityManager = factory.getInstance();
// 将securityManager设置到当前运行环境中
SecurityUtils.setSecurityManager(securityManager);
Subject subject = SecurityUtils.getSubject();
// 模拟用户输入的用户名和密码
UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("jack", "456");
subject.login(usernamePasswordToken);
// 获取验证结果 isAuthenticated() 是否授权,结果是boolen
System.out.println("认证结果:" + subject.isAuthenticated());
// 是否有对应的角色
System.out.println("是否有user角色:" + subject.hasRole("user"));
System.out.println("getPrincipal认证结果-实际上就是获取登录用户账号" + subject.getPrincipal());
System.out.println("检查是否有视频删除权限,如果有则不报错,没有就报错。不用担心");
try {
subject.checkPermission("video:delete");
} catch (Exception e) {
System.err.println("没有video:delete权限");
}
//isPermitted() 和 checkPermission() 方法的区别是,前者有返回值,后者没有
System.out.println("是否有视频购买权限:" + subject.isPermitted("video:buy"));
// 退出登录
subject.logout();
// 检查用户退出登录后的认证结果
System.out.println("认证结果:" + subject.isAuthenticated());
}
}
认证结果:true
是否有user角色:true
getPrincipal认证结果-实际上就是获取登录用户账号jack
检查是否有视频删除权限,如果有则不报错,没有就报错。不用担心
没有video:delete权限
是否有视频购买权限:true
认证结果:false
快速上手之Shiro内置JdbcRealm实操
开发中推荐使用这种方式
首先创建一个数据库,库名你们随便取,以下是创建表和插入一些基础数据的sql
这张表是一个用户对应多个角色,而且一个角色对应多个权限的。
/*
Navicat MySQL Data Transfer
Source Server : 阿里云华北root
Source Server Type : MySQL
Source Server Version : 80024
Source Host : 39.97.253.89:3306
Source Schema : class_shiro
Target Server Type : MySQL
Target Server Version : 80024
File Encoding : 65001
Date: 27/03/2023 16:38:39
*/
SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;
-- ----------------------------
-- Table structure for roles_permissions
-- ----------------------------
DROP TABLE IF EXISTS `roles_permissions`;
CREATE TABLE `roles_permissions` (
`id` bigint NOT NULL AUTO_INCREMENT,
`role_name` varchar(100) DEFAULT NULL,
`permission` varchar(100) DEFAULT NULL,
PRIMARY KEY (`id`),
UNIQUE KEY `idx_roles_permissions` (`role_name`,`permission`)
) ENGINE=InnoDB AUTO_INCREMENT=6 DEFAULT CHARSET=utf8mb3;
-- ----------------------------
-- Records of roles_permissions
-- ----------------------------
BEGIN;
INSERT INTO `roles_permissions` VALUES (4, 'admin', 'video:*');
INSERT INTO `roles_permissions` VALUES (3, 'role1', 'video:buy');
INSERT INTO `roles_permissions` VALUES (2, 'role1', 'video:find');
INSERT INTO `roles_permissions` VALUES (5, 'role2', '*');
INSERT INTO `roles_permissions` VALUES (1, 'root', '*');
COMMIT;
-- ----------------------------
-- Table structure for user_roles
-- ----------------------------
DROP TABLE IF EXISTS `user_roles`;
CREATE TABLE `user_roles` (
`id` bigint NOT NULL AUTO_INCREMENT,
`username` varchar(100) DEFAULT NULL,
`role_name` varchar(100) DEFAULT NULL,
PRIMARY KEY (`id`),
UNIQUE KEY `idx_user_roles` (`username`,`role_name`)
) ENGINE=InnoDB AUTO_INCREMENT=5 DEFAULT CHARSET=utf8mb3;
-- ----------------------------
-- Records of user_roles
-- ----------------------------
BEGIN;
INSERT INTO `user_roles` VALUES (1, 'jack', 'role1');
INSERT INTO `user_roles` VALUES (2, 'jack', 'role2');
INSERT INTO `user_roles` VALUES (4, 'lzh', 'admin');
INSERT INTO `user_roles` VALUES (3, 'lzh', 'root');
COMMIT;
-- ----------------------------
-- Table structure for users
-- ----------------------------
DROP TABLE IF EXISTS `users`;
CREATE TABLE `users` (
`id` bigint NOT NULL AUTO_INCREMENT,
`username` varchar(100) DEFAULT NULL,
`password` varchar(100) DEFAULT NULL,
`password_salt` varchar(100) DEFAULT NULL,
PRIMARY KEY (`id`),
UNIQUE KEY `idx_users_username` (`username`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8mb3;
-- ----------------------------
-- Records of users
-- ----------------------------
BEGIN;
INSERT INTO `users` VALUES (1, 'jack', '123', NULL);
INSERT INTO `users` VALUES (2, 'lzh', '456', NULL);
COMMIT;
SET FOREIGN_KEY_CHECKS = 1;
然后在resouces目录下创建jdbcrealm.ini文件: jdbcrealm.ini
#注意 文件格式必须为ini,编码为ANSI
#声明Realm,指定realm类型
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
#配置数据源
#dataSource=com.mchange.v2.c3p0.ComboPooledDataSource
dataSource=com.alibaba.druid.pool.DruidDataSource
# mysql-connector-java 5 用的驱动url是com.mysql.jdbc.Driver,mysql-connector-java6以后用的是com.mysql.cj.jdbc.Driver
dataSource.driverClassName=com.mysql.cj.jdbc.Driver
#避免安全警告
dataSource.url=jdbc:mysql://39.97.253.89:3306/class_shiro?characterEncoding=UTF-8&serverTimezone=UTC&useSSL=false
dataSource.username=你的账号
dataSource.password=你的密码
#指定数据源
jdbcRealm.dataSource=$dataSource
#开启查找权限, 默认是false,不会去查找角色对应的权限,坑!!!!!
jdbcRealm.permissionsLookupEnabled=true
#指定SecurityManager的Realms实现,设置realms,可以有多个,用逗号隔开
securityManager.realms=$jdbcRealm
这里有一个坑,虽然我们在创建SpringBoot项目的时候,我们写MySQL驱动怎么写都可以,但是这个文件中严格遵守以下规则 mysql-connector-java 5 用的驱动url是com.mysql.jdbc.Driver,mysql-connector-java6以后用的是com.mysql.cj.jdbc.Driver
JdbcRealm方式一:编写jdbcrealm.ini,通过jdbcrealm.ini帮助shiro模拟用户登录查询数据库获得权限信息
测通jdbcrealm.ini编写这个文件的代码:
package com.lzh;
/**
* @Author:kaiyang.cui
* @Package:com.lzh
* @Project:lzh_shiro
* @name:QuickStartTest
* @Date:2023/3/27 下午2:05
* @Filename:QuickStartTest
* @Description:从shiro.ini 文件中取到用户jack,然后判断这个用户的相关权限
* @Version:1.0
*/
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;
public class QuickStartTest4 {
@Test
public void testAuthentication() {
// 创建SecurityManager工厂,通过配置文件ini创建
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:jdbcrealm.ini");
SecurityManager securityManager = factory.getInstance();
// 将securityManager设置到当前运行环境中
SecurityUtils.setSecurityManager(securityManager);
Subject subject = SecurityUtils.getSubject();
// 模拟用户输入的用户名和密码
UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("jack", "123");
subject.login(usernamePasswordToken);
// 获取验证结果 isAuthenticated() 是否授权,结果是boolen
System.out.println("认证结果:" + subject.isAuthenticated());
// 是否有对应的角色
System.out.println("是否有user角色:" + subject.hasRole("admin"));
// 是否有对应的权限
System.out.println("是否有对应的权限:" + subject.isPermitted("video:delete"));
}
}
认证结果:true
是否有user角色:false
是否有对应的权限:false
在数据表中,我们发现 jack 用户有role1和role2角色,所以hasRole方法返回的是false,这样我们就已经打通了java代码、shiro.ini、MySQL数据库。给自己一个奖励吧。
写到这里我很好奇为什么一个jdbcrealm.ini配置文件加上几行代码,完全没有写SQL语句就可以查到某个用户的信息。
这里就必须要查看org.apache.shiro.realm.jdbc.JdbcRealm 的源码了,源码如下:
查看完源码后,我恍然大悟,因为JdbcRealm类已经定义好了查询语句!!!!!
等等,我还发现了,数据表 users、user_roles、roles_permissions 表,这就是为什么,我们在拿到别人做项目的时候,看到的表都全是一个名字,好像是约定好了一样!!!!!!! 那我之后定义数据表也要这样定义表名和表字段。
方式二:使用数据库连接池,shiro模拟用户登录查询数据库权限信息
package com.lzh;
/**
* @Author:kaiyang.cui
* @Package:com.lzh
* @Project:lzh_shiro
* @name:QuickStartTest
* @Date:2023/3/27 下午2:05
* @Filename:QuickStartTest
* @Description:方式二使用数据库连接池
* @Version:1.0
*/
import com.alibaba.druid.pool.DruidDataSource;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.jdbc.JdbcRealm;
import org.apache.shiro.subject.Subject;
import org.junit.Test;
public class QuickStartTest5 {
@Test
public void testAuthentication() {
DefaultSecurityManager securityManager = new DefaultSecurityManager();
DruidDataSource ds = new DruidDataSource();
ds.setDriverClassName("com.mysql.cj.jdbc.Driver");
ds.setUrl("jdbc:mysql://39.97.253.89:3306/class_shiro?characterEncoding=UTF-8&serverTimezone=UTC&useSSL=false");
ds.setUsername("你的账号");
ds.setPassword("你的密码");
JdbcRealm jdbcRealm = new JdbcRealm();
jdbcRealm.setPermissionsLookupEnabled(true);
jdbcRealm.setDataSource(ds);
securityManager.setRealm(jdbcRealm);
// 将securityManager设置到当前运行环境中
SecurityUtils.setSecurityManager(securityManager);
Subject subject = SecurityUtils.getSubject();
// 模拟用户输入的用户名和密码
UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken("jack", "123");
subject.login(usernamePasswordToken);
// 获取验证结果 isAuthenticated() 是否授权,结果是boolen
System.out.println("认证结果:" + subject.isAuthenticated());
// 是否有对应的角色
System.out.println("是否有user角色:" + subject.hasRole("admin"));
// 是否有对应的权限
System.out.println("是否有对应的权限:" + subject.isPermitted("video:delete"));
}
}
认证结果:true
是否有user角色:false
是否有对应的权限:false
总结:
在IniRealm中,我们把用户的信息具有的角色、权限放在shiro.ini 文件中,通过配合java代码,我们完成了获得了模拟用户登录的信息、角色和权限,但是谁会把用户的信息存在*.ini文件中呢????用户都是存储在数据库中的。
转载自:https://juejin.cn/post/7215163152907436088