转自: http://blog.csdn.net/xiangwanpeng/article/details/54802509

(使用特定的realm实现特定的验证)

假设现在有这样一种需求:存在两张表user和admin,分别记录普通用户和管理员的信息。并且现在要实现普通用户和管理员的分开登录,即需要两个Realm——UserRealm和AdminRealm,分别处理普通用户和管理员的验证功能。 
  但是正常情况下,当定义了两个Realm,无论是普通用户登录,还是管理员登录,都会由这两个Realm共同处理。这是因为,当配置了多个Realm时,我们通常使用的认证器是shiro自带的org.apache.shiro.authc.pam.ModularRealmAuthenticator,其中决定使用的Realm的是doAuthenticate()方法,源代码如下:

protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {

        assertRealmsConfigured();

        Collection<Realm> realms = getRealms();

        if (realms.size() == 1) {

            return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);

        } else {

            return doMultiRealmAuthentication(realms, authenticationToken);

        }

    }

  这段代码的意思是:当只有一个Realm时,就使用这个Realm,当配置了多个Realm时,会使用所有配置的Realm。 
  现在,为了实现需求,我会创建一个org.apache.shiro.authc.pam.ModularRealmAuthenticator的子类,并重写doAuthenticate()方法,让特定的Realm完成特定的功能。如何区分呢?我会同时创建一个org.apache.shiro.authc.UsernamePasswordToken的子类,在其中添加一个字段loginType,用来标识登录的类型,即是普通用户登录,还是管理员登录。具体步骤如下: 
   
  第一步:创建枚举类LoginType用以记录登录的类型:

//登录类型

//普通用户登录,管理员登录

public enum LoginType {

    USER("User"),  ADMIN("Admin");

    private String type;

    private LoginType(String type) {

        this.type = type;

    }

    @Override

    public String toString() {

        return this.type.toString();

    }

}

  第二步:新建org.apache.shiro.authc.UsernamePasswordToken的子类CustomizedToken:

import org.apache.shiro.authc.UsernamePasswordToken;

public class CustomizedToken extends UsernamePasswordToken {

    //登录类型,判断是普通用户登录,教师登录还是管理员登录

    private String loginType;

    public CustomizedToken(final String username, final String password,String loginType) {

        super(username,password);

        this.loginType = loginType;

    }

    public String getLoginType() {

        return loginType;

    }

    public void setLoginType(String loginType) {

        this.loginType = loginType;

    }

}

  第三步:新建org.apache.shiro.authc.pam.ModularRealmAuthenticator的子类CustomizedModularRealmAuthenticator:

import java.util.ArrayList;

import java.util.Collection;

import org.apache.shiro.authc.AuthenticationException;

import org.apache.shiro.authc.AuthenticationInfo;

import org.apache.shiro.authc.AuthenticationToken;

import org.apache.shiro.authc.pam.ModularRealmAuthenticator;

import org.apache.shiro.realm.Realm;

/**

 * @author Alan_Xiang

 * 自定义Authenticator

 * 注意,当需要分别定义处理普通用户和管理员验证的Realm时,对应Realm的全类名应该包含字符串“User”,或者“Admin”。

 * 并且,他们不能相互包含,例如,处理普通用户验证的Realm的全类名中不应该包含字符串"Admin"。

 */

public class CustomizedModularRealmAuthenticator extends ModularRealmAuthenticator {

    @Override

    protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken)

            throws AuthenticationException {

        // 判断getRealms()是否返回为空

        assertRealmsConfigured();

        // 强制转换回自定义的CustomizedToken

        CustomizedToken customizedToken = (CustomizedToken) authenticationToken;

        // 登录类型

        String loginType = customizedToken.getLoginType();

        // 所有Realm

        Collection<Realm> realms = getRealms();

        // 登录类型对应的所有Realm

        Collection<Realm> typeRealms = new ArrayList<>();

        for (Realm realm : realms) {

            if (realm.getName().contains(loginType))

                typeRealms.add(realm);

        }

        // 判断是单Realm还是多Realm

        if (typeRealms.size() == 1)

            return doSingleRealmAuthentication(typeRealms.iterator().next(), customizedToken);

        else

            return doMultiRealmAuthentication(typeRealms, customizedToken);

    }

}

第四步:创建分别处理普通用户登录和管理员登录的Realm:

UserRealm:

import javax.annotation.Resource;

import org.apache.shiro.authc.AuthenticationException;

import org.apache.shiro.authc.AuthenticationInfo;

import org.apache.shiro.authc.AuthenticationToken;

import org.apache.shiro.authc.SimpleAuthenticationInfo;

import org.apache.shiro.authc.UnknownAccountException;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.subject.PrincipalCollection;

import org.apache.shiro.util.ByteSource;

import com.ang.elearning.po.User;

import com.ang.elearning.service.IUserService;

public class UserRealm extends AuthorizingRealm {

    @Resource

    IUserService userService;

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        return null;

    }

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        User user = null;

        // 1. 把AuthenticationToken转换为CustomizedToken

        CustomizedToken customizedToken = (CustomizedToken) token;

        // 2. 从CustomizedToken中获取email

        String email = customizedToken.getUsername();

        // 3. 若用户不存在,抛出UnknownAccountException异常

        user = userService.getUserByEmail(email);

        if (user == null)

            throw new UnknownAccountException("用户不存在!");

        // 4.

        // 根据用户的情况,来构建AuthenticationInfo对象并返回,通常使用的实现类为SimpleAuthenticationInfo

        // 以下信息从数据库中获取

        // (1)principal:认证的实体信息,可以是email,也可以是数据表对应的用户的实体类对象

        Object principal = email;

        // (2)credentials:密码

        Object credentials = user.getPassword();

        // (3)realmName:当前realm对象的name,调用父类的getName()方法即可

        String realmName = getName();

        // (4)盐值:取用户信息中唯一的字段来生成盐值,避免由于两个用户原始密码相同,加密后的密码也相同

        ByteSource credentialsSalt = ByteSource.Util.bytes(email);

        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt,

                realmName);

        return info;

    }

}

AdminRealm:

import javax.annotation.Resource;

import org.apache.shiro.authc.AuthenticationException;

import org.apache.shiro.authc.AuthenticationInfo;

import org.apache.shiro.authc.AuthenticationToken;

import org.apache.shiro.authc.SimpleAuthenticationInfo;

import org.apache.shiro.authc.UnknownAccountException;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.subject.PrincipalCollection;

import org.apache.shiro.util.ByteSource;

import com.ang.elearning.po.Admin;

import com.ang.elearning.service.IAdminService;

public class AdminRealm extends AuthorizingRealm {

    @Resource

    private IAdminService adminService;

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        // TODO Auto-generated method stub

        return null;

    }

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        Admin admin = null;

        // 1. 把AuthenticationToken转换为CustomizedToken

        CustomizedToken customizedToken = (CustomizedToken) token;

        // 2. 从CustomizedToken中获取username

        String username = customizedToken.getUsername();

        // 3. 若用户不存在,抛出UnknownAccountException异常

        admin = adminService.getAdminByUsername(username);

        if (admin == null)

            throw new UnknownAccountException("用户不存在!");

        // 4.

        // 根据用户的情况,来构建AuthenticationInfo对象并返回,通常使用的实现类为SimpleAuthenticationInfo

        // 以下信息从数据库中获取

        // (1)principal:认证的实体信息,可以是username,也可以是数据表对应的用户的实体类对象

        Object principal = username;

        // (2)credentials:密码

        Object credentials = admin.getPassword();

        // (3)realmName:当前realm对象的name,调用父类的getName()方法即可

        String realmName = getName();

        // (4)盐值:取用户信息中唯一的字段来生成盐值,避免由于两个用户原始密码相同,加密后的密码也相同

        ByteSource credentialsSalt = ByteSource.Util.bytes(username);

        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt,

                realmName);

        return info;

    }

}

  第五步:在spring配置文件中指定使用自定义的认证器:(其他配置略)

 <!-- 配置SecurityManager -->

    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

        <property name="cacheManager" ref="cacheManager" />

        <property name="authenticator" ref="authenticator"></property>

        <!-- 可以配置多个Realm,其实会把realms属性赋值给ModularRealmAuthenticator的realms属性 -->

        <property name="realms">

            <list>

                <ref bean="userRealm" />

                <ref bean="adminRealm"/>

            </list>

        </property>

    </bean>

  <!-- 配置使用自定义认证器,可以实现多Realm认证,并且可以指定特定Realm处理特定类型的验证 -->

    <bean id="authenticator" class="com.ang.elearning.shiro.CustomizedModularRealmAuthenticator">

        <!-- 配置认证策略,只要有一个Realm认证成功即可,并且返回所有认证成功信息 -->

        <property name="authenticationStrategy">

            <bean class="org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy"></bean>

        </property>

    </bean>

    <!-- 配置Realm -->

    <bean id="userRealm" class="com.ang.elearning.shiro.UserRealm">

        <!-- 配置密码匹配器 -->

        <property name="credentialsMatcher">

            <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">

                <!-- 加密算法为MD5 -->

                <property name="hashAlgorithmName" value="MD5"></property>

                <!-- 加密次数 -->

                <property name="hashIterations" value="1024"></property>

            </bean>

        </property>

    </bean>

    <bean id="adminRealm" class="com.ang.elearning.shiro.AdminRealm">

        <!-- 配置密码匹配器 -->

        <property name="credentialsMatcher">

            <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">

                <!-- 加密算法为MD5 -->

                <property name="hashAlgorithmName" value="MD5"></property>

                <!-- 加密次数 -->

                <property name="hashIterations" value="1024"></property>

            </bean>

        </property>

    </bean>

第六步:配置控制器: 
   
 

 UserController:

@Controller

@RequestMapping("/user")

public class UserController {

    private static final String USER_LOGIN_TYPE = LoginType.USER.toString();

    @Resource

    private IUserService userService;

    @RequestMapping(value = "login", method = RequestMethod.POST)

    public String login(@RequestParam("email") String email, @RequestParam("password") String password) {

        Subject currentUser = SecurityUtils.getSubject();

        if (!currentUser.isAuthenticated()) {

            CustomizedToken customizedToken = new CustomizedToken(email, password, USER_LOGIN_TYPE);

            customizedToken.setRememberMe(false);

            try {

                currentUser.login(customizedToken);

                return "user/index";

            } catch (IncorrectCredentialsException ice) {

                System.out.println("邮箱/密码不匹配!");

            } catch (LockedAccountException lae) {

                System.out.println("账户已被冻结!");

            } catch (AuthenticationException ae) {

                System.out.println(ae.getMessage());

            }

        }

        return "redirect:/login.jsp";

    }

}

  AdminController:

@Controller

@RequestMapping("/admin")

public class AdminController {

    private static final String ADMIN_LOGIN_TYPE = LoginType.ADMIN.toString();

    @RequestMapping(value="/login",method=RequestMethod.POST)

    public String login(@RequestParam("username") String username,@RequestParam("password") String password){

        Subject currentUser = SecurityUtils.getSubject();

        if(!currentUser.isAuthenticated()){

            CustomizedToken customizedToken = new CustomizedToken(username, password, ADMIN_LOGIN_TYPE);

            customizedToken.setRememberMe(false);

            try {

                currentUser.login(customizedToken);

                return "admin/index";

            } catch (IncorrectCredentialsException ice) {

                System.out.println("用户名/密码不匹配!");

            } catch (LockedAccountException lae) {

                System.out.println("账户已被冻结!");

            } catch (AuthenticationException ae) {

                System.out.println(ae.getMessage());

            }

        }

        return "redirect:/login.jsp";

    }

}

测试页面:login.jsp

<body>

    <form action="${pageContext.request.contextPath }/user/login"

        method="POST">

        邮箱:<input type="text" name="email">

        <br><br>

        密码:<input type="password" name="password">

        <br><br>

        <input type="submit" value="用户登录">

    </form>

    <br>

    <br>

    <form action="${pageContext.request.contextPath }/admin/login"

        method="POST">

        用户名:<input type="text" name="username">

        <br><br>

        密 码:<input type="password" name="password">

        <br><br>

        <input type="submit" value="管理员登录">

    </form>

</body>

  这就实现了UserRealm用以处理普通用户的登录验证,AdminRealm用以处理管理员的登录验证。 
  如果还需要添加其他类型,例如,需要添加一个教师登录模块,只需要再新建一个TeacherRealm,并且在枚举类loginType中添加教师的信息,再完成其他类似的配置即可。

2018-01-03 17:4910楼

demo : https://github.com/xiangwanpeng/e_learning

shiro多realm验证之——shiro实现不同身份使用不同Realm进行验证(转)的更多相关文章

  1. Web登录验证之 Shiro

    1.需要用到的shiro相关包 <!-- shiro begin --> <dependency> <groupId>org.apache.shiro</gr ...

  2. Apache Shiro系列四,概述 —— Shiro的架构

    Shiro的设计目标就是让应用程序的安全管理更简单.更直观.     软件系统一般是基于用户故事来做设计.也就是我们会基于一个客户如何与这个软件系统交互来设计用户界面和服务接口.比如,你可能会说:“如 ...

  3. Apache Shiro系列教程之三:Shiro的结构

    Shiro的设计目标是简化应用的安全管理工作.软件通常是以用户为基础设计的.也就是说,我们经常是根据用户是怎样和我们的软件交互的来设计相关的用户接口.比如,你可能会说"如果是已经登录的用户与 ...

  4. Shiro学习(一)——Shiro简介

    Apache Shiro是Java的一个安全框架.目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大 ...

  5. Apache Shiro 快速入门教程,shiro 基础教程

    第一部分 什么是Apache Shiro     1.什么是 apache shiro :   Apache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理 ...

  6. 【跟着开涛学Shiro】(一)Shiro简介

    声明:本部分内容均转自于张老师的博客,因为本人很喜欢他的博客,所以一直在学习,转载仅是记录和分享,若也有喜欢的人的话,可以去他的博客首页看:http://jinnianshilongnian.itey ...

  7. Shiro(一):shiro架构和组件介绍

    简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份认证.授权.加密和会话管理.使用Shiro的易于理解的API,可以快速.轻松地获得任何应用程序,从最小的移动应用程序到最大的网 ...

  8. 【shiro】2.spring整合shiro,注解控制shiro用户/角色/权限And/OR,没有权限跳转到固定页面

    这几天粗浅的把shiro整合到spring中,并且注解控制shiro用户/角色/权限And/OR 步骤: 1.首先maven搭建web项目 2.创建数据库 user/role/authority 其中 ...

  9. Shrio00 Shiro角色授权、Shiro权限授权、开启Shiro缓存

    1 需求01 用户进行过认证登录后,某些接口是有权限限制的:如何实现只有相应权限的用户才可以调用相应接口 2 修改shiro配置类  ShiroConfiguration package cn.xia ...

  10. shiro系列一、认识shiro

    Apache Shiro是Java的一个安全框架.目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大 ...

随机推荐

  1. MyBatis---缓存策略cache的使用

    一般在查询时使用 使用步骤 1.配置config.xml,开启缓存 <setting name=”cacheEnabled” value=”true” /> 2.在Mapper文件头指定使 ...

  2. P1418 选点问题(黑白染色)

    P1418 选点问题 题目描述 给出n个点,m条边,每个点能控制与其相连的所有的边,要求选出一些点,使得这些点能控制所有的边,并且点数最少.同时,任意一条边不能被两个点控制 输入输出格式 输入格式: ...

  3. Activiti入门 -- 轻松解读数据库

    相关文章: <史上最权威的Activiti框架学习指南> <Activiti入门 --环境搭建和核心API简介> 在Activiti中,相对前身JBPM基础上又额外多了5张,框 ...

  4. 【APUE】Chapter8 Process Control

    这章的内容比较多.按照小节序号来组织笔记的结构:再结合函数的示例带代码标注出来需要注意的地方. 下面的内容只是个人看书时思考内容的总结,并不能代替看书(毕竟APUE是一本大多数人公认的UNIX圣经). ...

  5. docker部署思路

    1.docker安装2.拉取centos镜像或者Ubuntu镜像 看你用哪个3.使用镜像,run出来一个容器A4.进入容器A,安装uwsgi,把Django部署在下面5.在启动脚本中配置开机自启动脚本 ...

  6. 孤荷凌寒自学python第十九天python函数嵌套与将函数作为返回对象及闭包与递归

    孤荷凌寒自学python第十九天python函数嵌套与将函数作为返回对象及闭包与递归 (完整学习过程屏幕记录视频地址在文末,手写笔记在文末) Python函数非常的灵活,今天学习了python函数的以 ...

  7. c++ object model

    对一个结构体进行不断的封装后可以形成一个c++类,为此需要添加很多函数成员之类的代码,为此显示c++比c语言显得庞大并且迟缓,但是事实并不是这些 c++在布局和时间上的额外承担主要是由virtual引 ...

  8. poj1273 网络流入门题 dinic算法解决,可作模板使用

    Drainage Ditches Time Limit: 1000MS   Memory Limit: 10000K Total Submissions: 62078   Accepted: 2384 ...

  9. 《R语言实战》读书笔记 第七章--基本统计分析

    在导入数据并且将数据进行组织和初步可视化以后,需要对数据进行分布探索和两两关系分析等.主要内容有描述性统计分析.频数表和列联表.相关系数和协方差.t检验.非参数统计. 7.1描述性统计分析 7.1.1 ...

  10. CI的多级目录的功能

    https://segmentfault.com/q/1010000008317555?_ea=1621531