转自: http://blog.csdn.net/xiangwanpeng/article/details/54802509

(使用特定的realm实现特定的验证)

假设现在有这样一种需求:存在两张表user和admin,分别记录普通用户和管理员的信息。并且现在要实现普通用户和管理员的分开登录,即需要两个Realm——UserRealm和AdminRealm,分别处理普通用户和管理员的验证功能。 
  但是正常情况下,当定义了两个Realm,无论是普通用户登录,还是管理员登录,都会由这两个Realm共同处理。这是因为,当配置了多个Realm时,我们通常使用的认证器是shiro自带的org.apache.shiro.authc.pam.ModularRealmAuthenticator,其中决定使用的Realm的是doAuthenticate()方法,源代码如下:

protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {

        assertRealmsConfigured();

        Collection<Realm> realms = getRealms();

        if (realms.size() == 1) {

            return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);

        } else {

            return doMultiRealmAuthentication(realms, authenticationToken);

        }

    }

  这段代码的意思是:当只有一个Realm时,就使用这个Realm,当配置了多个Realm时,会使用所有配置的Realm。 
  现在,为了实现需求,我会创建一个org.apache.shiro.authc.pam.ModularRealmAuthenticator的子类,并重写doAuthenticate()方法,让特定的Realm完成特定的功能。如何区分呢?我会同时创建一个org.apache.shiro.authc.UsernamePasswordToken的子类,在其中添加一个字段loginType,用来标识登录的类型,即是普通用户登录,还是管理员登录。具体步骤如下: 
   
  第一步:创建枚举类LoginType用以记录登录的类型:

//登录类型

//普通用户登录,管理员登录

public enum LoginType {

    USER("User"),  ADMIN("Admin");

    private String type;

    private LoginType(String type) {

        this.type = type;

    }

    @Override

    public String toString() {

        return this.type.toString();

    }

}

  第二步:新建org.apache.shiro.authc.UsernamePasswordToken的子类CustomizedToken:

import org.apache.shiro.authc.UsernamePasswordToken;

public class CustomizedToken extends UsernamePasswordToken {

    //登录类型,判断是普通用户登录,教师登录还是管理员登录

    private String loginType;

    public CustomizedToken(final String username, final String password,String loginType) {

        super(username,password);

        this.loginType = loginType;

    }

    public String getLoginType() {

        return loginType;

    }

    public void setLoginType(String loginType) {

        this.loginType = loginType;

    }

}

  第三步:新建org.apache.shiro.authc.pam.ModularRealmAuthenticator的子类CustomizedModularRealmAuthenticator:

import java.util.ArrayList;

import java.util.Collection;

import org.apache.shiro.authc.AuthenticationException;

import org.apache.shiro.authc.AuthenticationInfo;

import org.apache.shiro.authc.AuthenticationToken;

import org.apache.shiro.authc.pam.ModularRealmAuthenticator;

import org.apache.shiro.realm.Realm;

/**

 * @author Alan_Xiang

 * 自定义Authenticator

 * 注意,当需要分别定义处理普通用户和管理员验证的Realm时,对应Realm的全类名应该包含字符串“User”,或者“Admin”。

 * 并且,他们不能相互包含,例如,处理普通用户验证的Realm的全类名中不应该包含字符串"Admin"。

 */

public class CustomizedModularRealmAuthenticator extends ModularRealmAuthenticator {

    @Override

    protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken)

            throws AuthenticationException {

        // 判断getRealms()是否返回为空

        assertRealmsConfigured();

        // 强制转换回自定义的CustomizedToken

        CustomizedToken customizedToken = (CustomizedToken) authenticationToken;

        // 登录类型

        String loginType = customizedToken.getLoginType();

        // 所有Realm

        Collection<Realm> realms = getRealms();

        // 登录类型对应的所有Realm

        Collection<Realm> typeRealms = new ArrayList<>();

        for (Realm realm : realms) {

            if (realm.getName().contains(loginType))

                typeRealms.add(realm);

        }

        // 判断是单Realm还是多Realm

        if (typeRealms.size() == 1)

            return doSingleRealmAuthentication(typeRealms.iterator().next(), customizedToken);

        else

            return doMultiRealmAuthentication(typeRealms, customizedToken);

    }

}

第四步:创建分别处理普通用户登录和管理员登录的Realm:

UserRealm:

import javax.annotation.Resource;

import org.apache.shiro.authc.AuthenticationException;

import org.apache.shiro.authc.AuthenticationInfo;

import org.apache.shiro.authc.AuthenticationToken;

import org.apache.shiro.authc.SimpleAuthenticationInfo;

import org.apache.shiro.authc.UnknownAccountException;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.subject.PrincipalCollection;

import org.apache.shiro.util.ByteSource;

import com.ang.elearning.po.User;

import com.ang.elearning.service.IUserService;

public class UserRealm extends AuthorizingRealm {

    @Resource

    IUserService userService;

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        return null;

    }

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        User user = null;

        // 1. 把AuthenticationToken转换为CustomizedToken

        CustomizedToken customizedToken = (CustomizedToken) token;

        // 2. 从CustomizedToken中获取email

        String email = customizedToken.getUsername();

        // 3. 若用户不存在,抛出UnknownAccountException异常

        user = userService.getUserByEmail(email);

        if (user == null)

            throw new UnknownAccountException("用户不存在!");

        // 4.

        // 根据用户的情况,来构建AuthenticationInfo对象并返回,通常使用的实现类为SimpleAuthenticationInfo

        // 以下信息从数据库中获取

        // (1)principal:认证的实体信息,可以是email,也可以是数据表对应的用户的实体类对象

        Object principal = email;

        // (2)credentials:密码

        Object credentials = user.getPassword();

        // (3)realmName:当前realm对象的name,调用父类的getName()方法即可

        String realmName = getName();

        // (4)盐值:取用户信息中唯一的字段来生成盐值,避免由于两个用户原始密码相同,加密后的密码也相同

        ByteSource credentialsSalt = ByteSource.Util.bytes(email);

        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt,

                realmName);

        return info;

    }

}

AdminRealm:

import javax.annotation.Resource;

import org.apache.shiro.authc.AuthenticationException;

import org.apache.shiro.authc.AuthenticationInfo;

import org.apache.shiro.authc.AuthenticationToken;

import org.apache.shiro.authc.SimpleAuthenticationInfo;

import org.apache.shiro.authc.UnknownAccountException;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.subject.PrincipalCollection;

import org.apache.shiro.util.ByteSource;

import com.ang.elearning.po.Admin;

import com.ang.elearning.service.IAdminService;

public class AdminRealm extends AuthorizingRealm {

    @Resource

    private IAdminService adminService;

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        // TODO Auto-generated method stub

        return null;

    }

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        Admin admin = null;

        // 1. 把AuthenticationToken转换为CustomizedToken

        CustomizedToken customizedToken = (CustomizedToken) token;

        // 2. 从CustomizedToken中获取username

        String username = customizedToken.getUsername();

        // 3. 若用户不存在,抛出UnknownAccountException异常

        admin = adminService.getAdminByUsername(username);

        if (admin == null)

            throw new UnknownAccountException("用户不存在!");

        // 4.

        // 根据用户的情况,来构建AuthenticationInfo对象并返回,通常使用的实现类为SimpleAuthenticationInfo

        // 以下信息从数据库中获取

        // (1)principal:认证的实体信息,可以是username,也可以是数据表对应的用户的实体类对象

        Object principal = username;

        // (2)credentials:密码

        Object credentials = admin.getPassword();

        // (3)realmName:当前realm对象的name,调用父类的getName()方法即可

        String realmName = getName();

        // (4)盐值:取用户信息中唯一的字段来生成盐值,避免由于两个用户原始密码相同,加密后的密码也相同

        ByteSource credentialsSalt = ByteSource.Util.bytes(username);

        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt,

                realmName);

        return info;

    }

}

  第五步:在spring配置文件中指定使用自定义的认证器:(其他配置略)

 <!-- 配置SecurityManager -->

    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

        <property name="cacheManager" ref="cacheManager" />

        <property name="authenticator" ref="authenticator"></property>

        <!-- 可以配置多个Realm,其实会把realms属性赋值给ModularRealmAuthenticator的realms属性 -->

        <property name="realms">

            <list>

                <ref bean="userRealm" />

                <ref bean="adminRealm"/>

            </list>

        </property>

    </bean>

  <!-- 配置使用自定义认证器,可以实现多Realm认证,并且可以指定特定Realm处理特定类型的验证 -->

    <bean id="authenticator" class="com.ang.elearning.shiro.CustomizedModularRealmAuthenticator">

        <!-- 配置认证策略,只要有一个Realm认证成功即可,并且返回所有认证成功信息 -->

        <property name="authenticationStrategy">

            <bean class="org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy"></bean>

        </property>

    </bean>

    <!-- 配置Realm -->

    <bean id="userRealm" class="com.ang.elearning.shiro.UserRealm">

        <!-- 配置密码匹配器 -->

        <property name="credentialsMatcher">

            <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">

                <!-- 加密算法为MD5 -->

                <property name="hashAlgorithmName" value="MD5"></property>

                <!-- 加密次数 -->

                <property name="hashIterations" value="1024"></property>

            </bean>

        </property>

    </bean>

    <bean id="adminRealm" class="com.ang.elearning.shiro.AdminRealm">

        <!-- 配置密码匹配器 -->

        <property name="credentialsMatcher">

            <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">

                <!-- 加密算法为MD5 -->

                <property name="hashAlgorithmName" value="MD5"></property>

                <!-- 加密次数 -->

                <property name="hashIterations" value="1024"></property>

            </bean>

        </property>

    </bean>

第六步:配置控制器: 
   
 

 UserController:

@Controller

@RequestMapping("/user")

public class UserController {

    private static final String USER_LOGIN_TYPE = LoginType.USER.toString();

    @Resource

    private IUserService userService;

    @RequestMapping(value = "login", method = RequestMethod.POST)

    public String login(@RequestParam("email") String email, @RequestParam("password") String password) {

        Subject currentUser = SecurityUtils.getSubject();

        if (!currentUser.isAuthenticated()) {

            CustomizedToken customizedToken = new CustomizedToken(email, password, USER_LOGIN_TYPE);

            customizedToken.setRememberMe(false);

            try {

                currentUser.login(customizedToken);

                return "user/index";

            } catch (IncorrectCredentialsException ice) {

                System.out.println("邮箱/密码不匹配!");

            } catch (LockedAccountException lae) {

                System.out.println("账户已被冻结!");

            } catch (AuthenticationException ae) {

                System.out.println(ae.getMessage());

            }

        }

        return "redirect:/login.jsp";

    }

}

  AdminController:

@Controller

@RequestMapping("/admin")

public class AdminController {

    private static final String ADMIN_LOGIN_TYPE = LoginType.ADMIN.toString();

    @RequestMapping(value="/login",method=RequestMethod.POST)

    public String login(@RequestParam("username") String username,@RequestParam("password") String password){

        Subject currentUser = SecurityUtils.getSubject();

        if(!currentUser.isAuthenticated()){

            CustomizedToken customizedToken = new CustomizedToken(username, password, ADMIN_LOGIN_TYPE);

            customizedToken.setRememberMe(false);

            try {

                currentUser.login(customizedToken);

                return "admin/index";

            } catch (IncorrectCredentialsException ice) {

                System.out.println("用户名/密码不匹配!");

            } catch (LockedAccountException lae) {

                System.out.println("账户已被冻结!");

            } catch (AuthenticationException ae) {

                System.out.println(ae.getMessage());

            }

        }

        return "redirect:/login.jsp";

    }

}

测试页面:login.jsp

<body>

    <form action="${pageContext.request.contextPath }/user/login"

        method="POST">

        邮箱:<input type="text" name="email">

        <br><br>

        密码:<input type="password" name="password">

        <br><br>

        <input type="submit" value="用户登录">

    </form>

    <br>

    <br>

    <form action="${pageContext.request.contextPath }/admin/login"

        method="POST">

        用户名:<input type="text" name="username">

        <br><br>

        密 码:<input type="password" name="password">

        <br><br>

        <input type="submit" value="管理员登录">

    </form>

</body>

  这就实现了UserRealm用以处理普通用户的登录验证,AdminRealm用以处理管理员的登录验证。 
  如果还需要添加其他类型,例如,需要添加一个教师登录模块,只需要再新建一个TeacherRealm,并且在枚举类loginType中添加教师的信息,再完成其他类似的配置即可。

2018-01-03 17:4910楼

demo : https://github.com/xiangwanpeng/e_learning

shiro多realm验证之——shiro实现不同身份使用不同Realm进行验证(转)的更多相关文章

  1. Web登录验证之 Shiro

    1.需要用到的shiro相关包 <!-- shiro begin --> <dependency> <groupId>org.apache.shiro</gr ...

  2. Apache Shiro系列四,概述 —— Shiro的架构

    Shiro的设计目标就是让应用程序的安全管理更简单.更直观.     软件系统一般是基于用户故事来做设计.也就是我们会基于一个客户如何与这个软件系统交互来设计用户界面和服务接口.比如,你可能会说:“如 ...

  3. Apache Shiro系列教程之三:Shiro的结构

    Shiro的设计目标是简化应用的安全管理工作.软件通常是以用户为基础设计的.也就是说,我们经常是根据用户是怎样和我们的软件交互的来设计相关的用户接口.比如,你可能会说"如果是已经登录的用户与 ...

  4. Shiro学习(一)——Shiro简介

    Apache Shiro是Java的一个安全框架.目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大 ...

  5. Apache Shiro 快速入门教程,shiro 基础教程

    第一部分 什么是Apache Shiro     1.什么是 apache shiro :   Apache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理 ...

  6. 【跟着开涛学Shiro】(一)Shiro简介

    声明:本部分内容均转自于张老师的博客,因为本人很喜欢他的博客,所以一直在学习,转载仅是记录和分享,若也有喜欢的人的话,可以去他的博客首页看:http://jinnianshilongnian.itey ...

  7. Shiro(一):shiro架构和组件介绍

    简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份认证.授权.加密和会话管理.使用Shiro的易于理解的API,可以快速.轻松地获得任何应用程序,从最小的移动应用程序到最大的网 ...

  8. 【shiro】2.spring整合shiro,注解控制shiro用户/角色/权限And/OR,没有权限跳转到固定页面

    这几天粗浅的把shiro整合到spring中,并且注解控制shiro用户/角色/权限And/OR 步骤: 1.首先maven搭建web项目 2.创建数据库 user/role/authority 其中 ...

  9. Shrio00 Shiro角色授权、Shiro权限授权、开启Shiro缓存

    1 需求01 用户进行过认证登录后,某些接口是有权限限制的:如何实现只有相应权限的用户才可以调用相应接口 2 修改shiro配置类  ShiroConfiguration package cn.xia ...

  10. shiro系列一、认识shiro

    Apache Shiro是Java的一个安全框架.目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大 ...

随机推荐

  1. python基础之面向对象编程介绍、类和对象

    面向对象变成介绍 面向过程编程 核心是过程(流水线式思维),过程即解决问题的步骤,面向过程的设计就好比精心设计好一条流水线,考虑周全什么时候处理什么东西.主要应用在一旦完成很少修改的地方,如linux ...

  2. 17,saltstack高效运维

      salt介绍 saltstack是由thomas Hatch于2011年创建的一个开源项目,设计初衷是为了实现一个快速的远程执行系统. salt强大吗 系统管理员日常会进行大量的重复性操作,例如安 ...

  3. 使用Autofac实现依赖注入注入

    依赖注入是什么意思? 依赖倒置 在软件设计原则中,有一种重要的思想叫做依赖倒置.它的核心思想是:不能让高层组件依赖底层组件,而且,不管高层组件和底层组件,两者都应依赖于抽象.那么,这个原则和我们上面的 ...

  4. 图解java面试

    图解Java面试题:基本语法 2017-02-07 14:34 出处:清屏网 人气:178 评论(0)   内容大纲.png &和&&的区别 &和&&的 ...

  5. 如何将现有的项目添加到远程的git库里面!

    我们经常都会遇到这样的场景,就是将本地的一个项目同步到网上远程的git库里面.最近也遇到这样的问题,发现网上很少人讲到这个问题,但是这个问题是很多程序员遇到的版本库管理的最早的拦路虎. 我的远程是ht ...

  6. maven中scope标签作用

    scope 是用来限制 dependency 的作用范围的,影响 maven 项目在各个生命周期时导入的 package 的状态,主要管理依赖的部署. scope 的作用范围: (1)compile: ...

  7. .gitignore 中文文件夹无效

    有个文件夹名如:测试 在.gitignore中添加  /测试/   但运行命令git status后发现还是被追踪到了 一番搜索后终于发现.gitignore文件编码是GBK的,重新将文件保存成utf ...

  8. 用Jenkins自动化搭建测试环境

    1-1 课程介绍 2-1 Jenkins安装 2-2 Jenkins插件 2-3 Jenkins基础设置 3-1 Linux系统准备 3-2 安装Java环境 3-3 安装并配置Git 3-4 安装并 ...

  9. 孤荷凌寒自学python第十七天初识Python的函数

    孤荷凌寒自学python第十七天初识Python的函数 (完整学习过程屏幕记录视频地址在文末,手写笔记在文末) 函数是能够完成指定运算并返回运算结果的代码块.是结构化编程重要的结构. 我首先发现pyt ...

  10. CSU-2110 Keeping Cool

    题目链接 http://acm.csu.edu.cn:20080/csuoj/problemset/problem?pid=2110 题目 Description Kevin has just got ...