写在前面 在上一篇文章<shiro认证流程源码分析--练气初期>当中,我们简单分析了一下shiro的认证流程.不难发现,如果我们需要使用其他数据源的信息完成认证操作,我们需要自定义Realm继承AuthorizingRealm类,并实现两个方法,分别对应授权和认证. 在这一篇文章当中,我们将介绍如何自定义Realm对象,完成认证信息数据源的切换. 自定义Reaml /**自定义Realm对象 * @author 赖柄沣 bingfengdev@aliyun.com * @version 1.0…

一.概述 Shirom默认使用自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,而大部分情况下需要从系统数据库中读取用户信息,所以需要实现自定义Realm,Realm接口如下: 由此可以分析: ①CachingRealm:负责缓存处理 ②AuthenticationRealm:负责认证 ③AuthorizingRealm:负责授权 通常情况下,自定义的Realm继承AuthorizingRealm即可实现认证与授权 二.自定义Realm实现认证 1.新建module,添加…

一.自定义Realm授权 前提:认证通过,查看Realm接口的继承关系结构图如下,要想通过自定义的Realm实现授权,只需继承AuthorizingRealm并重写方法即可 二.实现过程 1.新建module,添加如下pom依赖 <properties> <shiro.version>1.4.1</shiro.version> <loggingg.version>1.2</loggingg.version> </properties>…

一.Shiro.ini文件 1.文件说明 ①ini(InitializationFile)初始文件:Window系统文件扩展名 ②Shiro使用时可以连接数据库,也可以不连接数据库(可以使用shiro.ini配置静态数据) 2.shiro文件组成部分 ①[main]:定义全局变量(内置securityManager对象) ②[users]定义用户名和密码 ③[roles]定义角色 ④[urls]定义哪些内置的urls生效,在web应用时使用 二.Shiro实现认证+Shiro.ini 1.认证过…

写在前面 在上一篇文章<Shiro入门学习---使用自定义Realm完成认证|练气中期>当中,我们学会了使用自定义Realm实现shiro数据源的切换,我们可以切换成从关系数据库如MySQL中读取用户认证信息进行认证,亦可从非关系型数据库例如mongodb中读取用户认证信息进行认证.这是一个伟大的进度,这使得我们可以使用shiro来提升我们应用程序的安全度了, 那么,请大家思考一个问题,我们的应用程序真的安全了吗? 我把咱么上一篇文章当中的认证方法代码摘抄在下面给大家看看 /**认证 * @a…

一.Shiro授权 前提:需要认证通过才会有授权一说 1.授权过程 2.相关方法说明 ①subject.hasRole("role1"):判断是否有该角色 ②subject.hasRoles(List):分别判断该角色是否具有该List的每个内容 ③subject.hasAllRoles(Collection):返回boolean,要求参数中所有角色都需要具有 ④subject.isPermitted(""):判断是否有该权限 二.shiro.ini实现授权 1.新…

一.概述 1.Shiro是什么? Apache Shiro是java 的一个安全框架,主要提供:认证.授权.加密.会话管理.与Web集成.缓存等功能,其不依赖于Spring即可使用: Spring Security(Oauth2)也是一个开源的权限框架,但其依赖于Spring运行,功能相对强大:而Shiro相对独立,不依赖于Spring,使用简单.灵活,所以我选择Shiro学习.哈哈~ 2.Shiro基本功能 ①Authentication(音标: [ɔːˌθentɪˈkeɪʃn] ) 身份认证…

一.散列算法概述 散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据,常见的散列算法如MD5.SHA等,一般进行散列时最好提供一个salt(“盐”),什么意思?举个栗子:加密密码“admin”,产生的散列值是21232f297a57a5a743894a0e4a801fc3,可以到一些md5解密网站(注:并不是真正解密,而是通过穷举法不断尝试)很容易通过散列值得到密码(admin),即如果直接对密码进行散列相对来说破解更容易,此时我们加入一些只有系统知道的干扰数据,…

写在前面 经过前面的学习,我们了解了shiro中的认证流程,并且学会了如何通过自定义Realm实现应用程序的用户认证.在这篇文章当中,我们将学习shiro中的授权流程. 授权概述 这里的授权指的是授予某一系统的某一用户访问受保护资源的权限,分为查询.修改.插入和删除几类.没有相关权限的用户将无法访问受保护资源,具有权限的用户只能在自己权限范围内操作受保护资源. 关键对象 主体(Subject) 即指定的某一用户,这里的用户可以是浏览器.APP和第三方应用程序等. 资源(Resource) 这里的…

1. 自定义Realm基础 步骤: 创建一个类 ,继承AuthorizingRealm->AuthenticatingRealm->CachingRealm->Realm 重写授权方法 doGetAuthorizationInfo 重写认证方法 doGetAuthenticationInfo 方法: 当用户登陆的时候会调用 doGetAuthenticationInfo 进行权限校验的时候会调用: doGetAuthorizationInfo 对象介绍 UsernamePasswordT…