转自: http://blog.csdn.net/xiangwanpeng/article/details/54802509

(使用特定的realm实现特定的验证)

假设现在有这样一种需求:存在两张表user和admin,分别记录普通用户和管理员的信息。并且现在要实现普通用户和管理员的分开登录,即需要两个Realm——UserRealm和AdminRealm,分别处理普通用户和管理员的验证功能。 
  但是正常情况下,当定义了两个Realm,无论是普通用户登录,还是管理员登录,都会由这两个Realm共同处理。这是因为,当配置了多个Realm时,我们通常使用的认证器是shiro自带的org.apache.shiro.authc.pam.ModularRealmAuthenticator,其中决定使用的Realm的是doAuthenticate()方法,源代码如下:

protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {

        assertRealmsConfigured();

        Collection<Realm> realms = getRealms();

        if (realms.size() == 1) {

            return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);

        } else {

            return doMultiRealmAuthentication(realms, authenticationToken);

        }

    }

  这段代码的意思是:当只有一个Realm时,就使用这个Realm,当配置了多个Realm时,会使用所有配置的Realm。 
  现在,为了实现需求,我会创建一个org.apache.shiro.authc.pam.ModularRealmAuthenticator的子类,并重写doAuthenticate()方法,让特定的Realm完成特定的功能。如何区分呢?我会同时创建一个org.apache.shiro.authc.UsernamePasswordToken的子类,在其中添加一个字段loginType,用来标识登录的类型,即是普通用户登录,还是管理员登录。具体步骤如下: 
   
  第一步:创建枚举类LoginType用以记录登录的类型:

//登录类型

//普通用户登录,管理员登录

public enum LoginType {

    USER("User"),  ADMIN("Admin");

    private String type;

    private LoginType(String type) {

        this.type = type;

    }

    @Override

    public String toString() {

        return this.type.toString();

    }

}

  第二步:新建org.apache.shiro.authc.UsernamePasswordToken的子类CustomizedToken:

import org.apache.shiro.authc.UsernamePasswordToken;

public class CustomizedToken extends UsernamePasswordToken {

    //登录类型,判断是普通用户登录,教师登录还是管理员登录

    private String loginType;

    public CustomizedToken(final String username, final String password,String loginType) {

        super(username,password);

        this.loginType = loginType;

    }

    public String getLoginType() {

        return loginType;

    }

    public void setLoginType(String loginType) {

        this.loginType = loginType;

    }

}

  第三步:新建org.apache.shiro.authc.pam.ModularRealmAuthenticator的子类CustomizedModularRealmAuthenticator:

import java.util.ArrayList;

import java.util.Collection;

import org.apache.shiro.authc.AuthenticationException;

import org.apache.shiro.authc.AuthenticationInfo;

import org.apache.shiro.authc.AuthenticationToken;

import org.apache.shiro.authc.pam.ModularRealmAuthenticator;

import org.apache.shiro.realm.Realm;

/**

 * @author Alan_Xiang

 * 自定义Authenticator

 * 注意,当需要分别定义处理普通用户和管理员验证的Realm时,对应Realm的全类名应该包含字符串“User”,或者“Admin”。

 * 并且,他们不能相互包含,例如,处理普通用户验证的Realm的全类名中不应该包含字符串"Admin"。

 */

public class CustomizedModularRealmAuthenticator extends ModularRealmAuthenticator {

    @Override

    protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken)

            throws AuthenticationException {

        // 判断getRealms()是否返回为空

        assertRealmsConfigured();

        // 强制转换回自定义的CustomizedToken

        CustomizedToken customizedToken = (CustomizedToken) authenticationToken;

        // 登录类型

        String loginType = customizedToken.getLoginType();

        // 所有Realm

        Collection<Realm> realms = getRealms();

        // 登录类型对应的所有Realm

        Collection<Realm> typeRealms = new ArrayList<>();

        for (Realm realm : realms) {

            if (realm.getName().contains(loginType))

                typeRealms.add(realm);

        }

        // 判断是单Realm还是多Realm

        if (typeRealms.size() == 1)

            return doSingleRealmAuthentication(typeRealms.iterator().next(), customizedToken);

        else

            return doMultiRealmAuthentication(typeRealms, customizedToken);

    }

}

第四步:创建分别处理普通用户登录和管理员登录的Realm:

UserRealm:

import javax.annotation.Resource;

import org.apache.shiro.authc.AuthenticationException;

import org.apache.shiro.authc.AuthenticationInfo;

import org.apache.shiro.authc.AuthenticationToken;

import org.apache.shiro.authc.SimpleAuthenticationInfo;

import org.apache.shiro.authc.UnknownAccountException;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.subject.PrincipalCollection;

import org.apache.shiro.util.ByteSource;

import com.ang.elearning.po.User;

import com.ang.elearning.service.IUserService;

public class UserRealm extends AuthorizingRealm {

    @Resource

    IUserService userService;

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        return null;

    }

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        User user = null;

        // 1. 把AuthenticationToken转换为CustomizedToken

        CustomizedToken customizedToken = (CustomizedToken) token;

        // 2. 从CustomizedToken中获取email

        String email = customizedToken.getUsername();

        // 3. 若用户不存在,抛出UnknownAccountException异常

        user = userService.getUserByEmail(email);

        if (user == null)

            throw new UnknownAccountException("用户不存在!");

        // 4.

        // 根据用户的情况,来构建AuthenticationInfo对象并返回,通常使用的实现类为SimpleAuthenticationInfo

        // 以下信息从数据库中获取

        // (1)principal:认证的实体信息,可以是email,也可以是数据表对应的用户的实体类对象

        Object principal = email;

        // (2)credentials:密码

        Object credentials = user.getPassword();

        // (3)realmName:当前realm对象的name,调用父类的getName()方法即可

        String realmName = getName();

        // (4)盐值:取用户信息中唯一的字段来生成盐值,避免由于两个用户原始密码相同,加密后的密码也相同

        ByteSource credentialsSalt = ByteSource.Util.bytes(email);

        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt,

                realmName);

        return info;

    }

}

AdminRealm:

import javax.annotation.Resource;

import org.apache.shiro.authc.AuthenticationException;

import org.apache.shiro.authc.AuthenticationInfo;

import org.apache.shiro.authc.AuthenticationToken;

import org.apache.shiro.authc.SimpleAuthenticationInfo;

import org.apache.shiro.authc.UnknownAccountException;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.subject.PrincipalCollection;

import org.apache.shiro.util.ByteSource;

import com.ang.elearning.po.Admin;

import com.ang.elearning.service.IAdminService;

public class AdminRealm extends AuthorizingRealm {

    @Resource

    private IAdminService adminService;

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        // TODO Auto-generated method stub

        return null;

    }

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        Admin admin = null;

        // 1. 把AuthenticationToken转换为CustomizedToken

        CustomizedToken customizedToken = (CustomizedToken) token;

        // 2. 从CustomizedToken中获取username

        String username = customizedToken.getUsername();

        // 3. 若用户不存在,抛出UnknownAccountException异常

        admin = adminService.getAdminByUsername(username);

        if (admin == null)

            throw new UnknownAccountException("用户不存在!");

        // 4.

        // 根据用户的情况,来构建AuthenticationInfo对象并返回,通常使用的实现类为SimpleAuthenticationInfo

        // 以下信息从数据库中获取

        // (1)principal:认证的实体信息,可以是username,也可以是数据表对应的用户的实体类对象

        Object principal = username;

        // (2)credentials:密码

        Object credentials = admin.getPassword();

        // (3)realmName:当前realm对象的name,调用父类的getName()方法即可

        String realmName = getName();

        // (4)盐值:取用户信息中唯一的字段来生成盐值,避免由于两个用户原始密码相同,加密后的密码也相同

        ByteSource credentialsSalt = ByteSource.Util.bytes(username);

        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt,

                realmName);

        return info;

    }

}

  第五步:在spring配置文件中指定使用自定义的认证器:(其他配置略)

 <!-- 配置SecurityManager -->

    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

        <property name="cacheManager" ref="cacheManager" />

        <property name="authenticator" ref="authenticator"></property>

        <!-- 可以配置多个Realm,其实会把realms属性赋值给ModularRealmAuthenticator的realms属性 -->

        <property name="realms">

            <list>

                <ref bean="userRealm" />

                <ref bean="adminRealm"/>

            </list>

        </property>

    </bean>

  <!-- 配置使用自定义认证器,可以实现多Realm认证,并且可以指定特定Realm处理特定类型的验证 -->

    <bean id="authenticator" class="com.ang.elearning.shiro.CustomizedModularRealmAuthenticator">

        <!-- 配置认证策略,只要有一个Realm认证成功即可,并且返回所有认证成功信息 -->

        <property name="authenticationStrategy">

            <bean class="org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy"></bean>

        </property>

    </bean>

    <!-- 配置Realm -->

    <bean id="userRealm" class="com.ang.elearning.shiro.UserRealm">

        <!-- 配置密码匹配器 -->

        <property name="credentialsMatcher">

            <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">

                <!-- 加密算法为MD5 -->

                <property name="hashAlgorithmName" value="MD5"></property>

                <!-- 加密次数 -->

                <property name="hashIterations" value="1024"></property>

            </bean>

        </property>

    </bean>

    <bean id="adminRealm" class="com.ang.elearning.shiro.AdminRealm">

        <!-- 配置密码匹配器 -->

        <property name="credentialsMatcher">

            <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">

                <!-- 加密算法为MD5 -->

                <property name="hashAlgorithmName" value="MD5"></property>

                <!-- 加密次数 -->

                <property name="hashIterations" value="1024"></property>

            </bean>

        </property>

    </bean>

第六步:配置控制器: 
   
 

 UserController:

@Controller

@RequestMapping("/user")

public class UserController {

    private static final String USER_LOGIN_TYPE = LoginType.USER.toString();

    @Resource

    private IUserService userService;

    @RequestMapping(value = "login", method = RequestMethod.POST)

    public String login(@RequestParam("email") String email, @RequestParam("password") String password) {

        Subject currentUser = SecurityUtils.getSubject();

        if (!currentUser.isAuthenticated()) {

            CustomizedToken customizedToken = new CustomizedToken(email, password, USER_LOGIN_TYPE);

            customizedToken.setRememberMe(false);

            try {

                currentUser.login(customizedToken);

                return "user/index";

            } catch (IncorrectCredentialsException ice) {

                System.out.println("邮箱/密码不匹配!");

            } catch (LockedAccountException lae) {

                System.out.println("账户已被冻结!");

            } catch (AuthenticationException ae) {

                System.out.println(ae.getMessage());

            }

        }

        return "redirect:/login.jsp";

    }

}

  AdminController:

@Controller

@RequestMapping("/admin")

public class AdminController {

    private static final String ADMIN_LOGIN_TYPE = LoginType.ADMIN.toString();

    @RequestMapping(value="/login",method=RequestMethod.POST)

    public String login(@RequestParam("username") String username,@RequestParam("password") String password){

        Subject currentUser = SecurityUtils.getSubject();

        if(!currentUser.isAuthenticated()){

            CustomizedToken customizedToken = new CustomizedToken(username, password, ADMIN_LOGIN_TYPE);

            customizedToken.setRememberMe(false);

            try {

                currentUser.login(customizedToken);

                return "admin/index";

            } catch (IncorrectCredentialsException ice) {

                System.out.println("用户名/密码不匹配!");

            } catch (LockedAccountException lae) {

                System.out.println("账户已被冻结!");

            } catch (AuthenticationException ae) {

                System.out.println(ae.getMessage());

            }

        }

        return "redirect:/login.jsp";

    }

}

测试页面:login.jsp

<body>

    <form action="${pageContext.request.contextPath }/user/login"

        method="POST">

        邮箱:<input type="text" name="email">

        <br><br>

        密码:<input type="password" name="password">

        <br><br>

        <input type="submit" value="用户登录">

    </form>

    <br>

    <br>

    <form action="${pageContext.request.contextPath }/admin/login"

        method="POST">

        用户名:<input type="text" name="username">

        <br><br>

        密 码:<input type="password" name="password">

        <br><br>

        <input type="submit" value="管理员登录">

    </form>

</body>

  这就实现了UserRealm用以处理普通用户的登录验证,AdminRealm用以处理管理员的登录验证。 
  如果还需要添加其他类型,例如,需要添加一个教师登录模块,只需要再新建一个TeacherRealm,并且在枚举类loginType中添加教师的信息,再完成其他类似的配置即可。

2018-01-03 17:4910楼

demo : https://github.com/xiangwanpeng/e_learning

shiro多realm验证之——shiro实现不同身份使用不同Realm进行验证(转)的更多相关文章

  1. Web登录验证之 Shiro

    1.需要用到的shiro相关包 <!-- shiro begin --> <dependency> <groupId>org.apache.shiro</gr ...

  2. Apache Shiro系列四,概述 —— Shiro的架构

    Shiro的设计目标就是让应用程序的安全管理更简单.更直观.     软件系统一般是基于用户故事来做设计.也就是我们会基于一个客户如何与这个软件系统交互来设计用户界面和服务接口.比如,你可能会说:“如 ...

  3. Apache Shiro系列教程之三:Shiro的结构

    Shiro的设计目标是简化应用的安全管理工作.软件通常是以用户为基础设计的.也就是说,我们经常是根据用户是怎样和我们的软件交互的来设计相关的用户接口.比如,你可能会说"如果是已经登录的用户与 ...

  4. Shiro学习(一)——Shiro简介

    Apache Shiro是Java的一个安全框架.目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大 ...

  5. Apache Shiro 快速入门教程,shiro 基础教程

    第一部分 什么是Apache Shiro     1.什么是 apache shiro :   Apache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理 ...

  6. 【跟着开涛学Shiro】(一)Shiro简介

    声明:本部分内容均转自于张老师的博客,因为本人很喜欢他的博客,所以一直在学习,转载仅是记录和分享,若也有喜欢的人的话,可以去他的博客首页看:http://jinnianshilongnian.itey ...

  7. Shiro(一):shiro架构和组件介绍

    简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份认证.授权.加密和会话管理.使用Shiro的易于理解的API,可以快速.轻松地获得任何应用程序,从最小的移动应用程序到最大的网 ...

  8. 【shiro】2.spring整合shiro,注解控制shiro用户/角色/权限And/OR,没有权限跳转到固定页面

    这几天粗浅的把shiro整合到spring中,并且注解控制shiro用户/角色/权限And/OR 步骤: 1.首先maven搭建web项目 2.创建数据库 user/role/authority 其中 ...

  9. Shrio00 Shiro角色授权、Shiro权限授权、开启Shiro缓存

    1 需求01 用户进行过认证登录后,某些接口是有权限限制的:如何实现只有相应权限的用户才可以调用相应接口 2 修改shiro配置类  ShiroConfiguration package cn.xia ...

  10. shiro系列一、认识shiro

    Apache Shiro是Java的一个安全框架.目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大 ...

随机推荐

  1. Wind Of Change

    Wind of change until the end  变革的风一直吹直至最后 You will see that I will be your friend 你会看见我成为你的朋友 If you ...

  2. [原]sencha touch之表单二(注册页面)

    接着上一篇的登陆页面,来一个最简单的注册页面,几乎包含了常用的field Ext.application({ id:'itKingApp', launch:function(){ var formPa ...

  3. Altium Designer 快捷键使用整理

    Altium Designer 快捷键 一.原理图部分 1.原理图元件自动编号 原理图中快捷键 T+A 2.原理图与PCB交互设计查找 原理图中选中一个元件跳转到PCB中相应的位置T+S 3.原理图中 ...

  4. java跨服务器请求url获得数据

    在项目中,有时需要通过请求远程服务器上的url获取数据(前提是程序所在服务器可以和url服务器ping成功), 用java在后台发送请求时,用到了java.net.URL, java.net.URLC ...

  5. JQuery方法总结

    JQuery方法总结 Dom: Attribute:(属性) $("p").addClass(css中定义的样式类型); 给某个元素添加样式 $("img"). ...

  6. C#中接口与抽象类的区别

    接口与抽象类是面试中经常会考到的点,容易混淆.首先了解下两者的概念: 一.抽象类:      抽象类是特殊的类,只是不能被实例化:除此以外,具有类的其他特性:重要的是抽象类可以包括抽象方法,这是普通类 ...

  7. 《Cracking the Coding Interview》——第1章:数组和字符串——题目2

    2014-03-18 01:30 题目:反转一个char *型的C/C++字符串. 解法:一头一尾俩iterator,向中间靠拢并且交换字符. 代码: // 1.2 Implement a funct ...

  8. 测试基础面试题 + SQL 面试题(选择题有部分答案,难度:低)

    测试基础面试题 + SQL 面试题(选择题有部分答案,难度:低) 答案: .A .C .C .A .A .D

  9. python 学习分享-socket编程

    socket的英文原义是“孔”或“插座”.作为BSD UNIX的进程通信机制,取后一种意思. 通常也称作"套接字",用于描述IP地址和端口,是一个通信链的句柄,可以用来实现不同虚拟 ...

  10. install.cloudinit.qga.bat

    @echo off title Auto Install color 1F ::CloudBase-Init echo. msiexec /i \\192.168.122.47\cloudbase\C ...