转自: http://blog.csdn.net/xiangwanpeng/article/details/54802509

(使用特定的realm实现特定的验证)

假设现在有这样一种需求:存在两张表user和admin,分别记录普通用户和管理员的信息。并且现在要实现普通用户和管理员的分开登录,即需要两个Realm——UserRealm和AdminRealm,分别处理普通用户和管理员的验证功能。 
  但是正常情况下,当定义了两个Realm,无论是普通用户登录,还是管理员登录,都会由这两个Realm共同处理。这是因为,当配置了多个Realm时,我们通常使用的认证器是shiro自带的org.apache.shiro.authc.pam.ModularRealmAuthenticator,其中决定使用的Realm的是doAuthenticate()方法,源代码如下:

protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken) throws AuthenticationException {

        assertRealmsConfigured();

        Collection<Realm> realms = getRealms();

        if (realms.size() == 1) {

            return doSingleRealmAuthentication(realms.iterator().next(), authenticationToken);

        } else {

            return doMultiRealmAuthentication(realms, authenticationToken);

        }

    }

  这段代码的意思是:当只有一个Realm时,就使用这个Realm,当配置了多个Realm时,会使用所有配置的Realm。 
  现在,为了实现需求,我会创建一个org.apache.shiro.authc.pam.ModularRealmAuthenticator的子类,并重写doAuthenticate()方法,让特定的Realm完成特定的功能。如何区分呢?我会同时创建一个org.apache.shiro.authc.UsernamePasswordToken的子类,在其中添加一个字段loginType,用来标识登录的类型,即是普通用户登录,还是管理员登录。具体步骤如下: 
   
  第一步:创建枚举类LoginType用以记录登录的类型:

//登录类型

//普通用户登录,管理员登录

public enum LoginType {

    USER("User"),  ADMIN("Admin");

    private String type;

    private LoginType(String type) {

        this.type = type;

    }

    @Override

    public String toString() {

        return this.type.toString();

    }

}

  第二步:新建org.apache.shiro.authc.UsernamePasswordToken的子类CustomizedToken:

import org.apache.shiro.authc.UsernamePasswordToken;

public class CustomizedToken extends UsernamePasswordToken {

    //登录类型,判断是普通用户登录,教师登录还是管理员登录

    private String loginType;

    public CustomizedToken(final String username, final String password,String loginType) {

        super(username,password);

        this.loginType = loginType;

    }

    public String getLoginType() {

        return loginType;

    }

    public void setLoginType(String loginType) {

        this.loginType = loginType;

    }

}

  第三步:新建org.apache.shiro.authc.pam.ModularRealmAuthenticator的子类CustomizedModularRealmAuthenticator:

import java.util.ArrayList;

import java.util.Collection;

import org.apache.shiro.authc.AuthenticationException;

import org.apache.shiro.authc.AuthenticationInfo;

import org.apache.shiro.authc.AuthenticationToken;

import org.apache.shiro.authc.pam.ModularRealmAuthenticator;

import org.apache.shiro.realm.Realm;

/**

 * @author Alan_Xiang

 * 自定义Authenticator

 * 注意,当需要分别定义处理普通用户和管理员验证的Realm时,对应Realm的全类名应该包含字符串“User”,或者“Admin”。

 * 并且,他们不能相互包含,例如,处理普通用户验证的Realm的全类名中不应该包含字符串"Admin"。

 */

public class CustomizedModularRealmAuthenticator extends ModularRealmAuthenticator {

    @Override

    protected AuthenticationInfo doAuthenticate(AuthenticationToken authenticationToken)

            throws AuthenticationException {

        // 判断getRealms()是否返回为空

        assertRealmsConfigured();

        // 强制转换回自定义的CustomizedToken

        CustomizedToken customizedToken = (CustomizedToken) authenticationToken;

        // 登录类型

        String loginType = customizedToken.getLoginType();

        // 所有Realm

        Collection<Realm> realms = getRealms();

        // 登录类型对应的所有Realm

        Collection<Realm> typeRealms = new ArrayList<>();

        for (Realm realm : realms) {

            if (realm.getName().contains(loginType))

                typeRealms.add(realm);

        }

        // 判断是单Realm还是多Realm

        if (typeRealms.size() == 1)

            return doSingleRealmAuthentication(typeRealms.iterator().next(), customizedToken);

        else

            return doMultiRealmAuthentication(typeRealms, customizedToken);

    }

}

第四步:创建分别处理普通用户登录和管理员登录的Realm:

UserRealm:

import javax.annotation.Resource;

import org.apache.shiro.authc.AuthenticationException;

import org.apache.shiro.authc.AuthenticationInfo;

import org.apache.shiro.authc.AuthenticationToken;

import org.apache.shiro.authc.SimpleAuthenticationInfo;

import org.apache.shiro.authc.UnknownAccountException;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.subject.PrincipalCollection;

import org.apache.shiro.util.ByteSource;

import com.ang.elearning.po.User;

import com.ang.elearning.service.IUserService;

public class UserRealm extends AuthorizingRealm {

    @Resource

    IUserService userService;

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        return null;

    }

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        User user = null;

        // 1. 把AuthenticationToken转换为CustomizedToken

        CustomizedToken customizedToken = (CustomizedToken) token;

        // 2. 从CustomizedToken中获取email

        String email = customizedToken.getUsername();

        // 3. 若用户不存在,抛出UnknownAccountException异常

        user = userService.getUserByEmail(email);

        if (user == null)

            throw new UnknownAccountException("用户不存在!");

        // 4.

        // 根据用户的情况,来构建AuthenticationInfo对象并返回,通常使用的实现类为SimpleAuthenticationInfo

        // 以下信息从数据库中获取

        // (1)principal:认证的实体信息,可以是email,也可以是数据表对应的用户的实体类对象

        Object principal = email;

        // (2)credentials:密码

        Object credentials = user.getPassword();

        // (3)realmName:当前realm对象的name,调用父类的getName()方法即可

        String realmName = getName();

        // (4)盐值:取用户信息中唯一的字段来生成盐值,避免由于两个用户原始密码相同,加密后的密码也相同

        ByteSource credentialsSalt = ByteSource.Util.bytes(email);

        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt,

                realmName);

        return info;

    }

}

AdminRealm:

import javax.annotation.Resource;

import org.apache.shiro.authc.AuthenticationException;

import org.apache.shiro.authc.AuthenticationInfo;

import org.apache.shiro.authc.AuthenticationToken;

import org.apache.shiro.authc.SimpleAuthenticationInfo;

import org.apache.shiro.authc.UnknownAccountException;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.subject.PrincipalCollection;

import org.apache.shiro.util.ByteSource;

import com.ang.elearning.po.Admin;

import com.ang.elearning.service.IAdminService;

public class AdminRealm extends AuthorizingRealm {

    @Resource

    private IAdminService adminService;

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        // TODO Auto-generated method stub

        return null;

    }

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        Admin admin = null;

        // 1. 把AuthenticationToken转换为CustomizedToken

        CustomizedToken customizedToken = (CustomizedToken) token;

        // 2. 从CustomizedToken中获取username

        String username = customizedToken.getUsername();

        // 3. 若用户不存在,抛出UnknownAccountException异常

        admin = adminService.getAdminByUsername(username);

        if (admin == null)

            throw new UnknownAccountException("用户不存在!");

        // 4.

        // 根据用户的情况,来构建AuthenticationInfo对象并返回,通常使用的实现类为SimpleAuthenticationInfo

        // 以下信息从数据库中获取

        // (1)principal:认证的实体信息,可以是username,也可以是数据表对应的用户的实体类对象

        Object principal = username;

        // (2)credentials:密码

        Object credentials = admin.getPassword();

        // (3)realmName:当前realm对象的name,调用父类的getName()方法即可

        String realmName = getName();

        // (4)盐值:取用户信息中唯一的字段来生成盐值,避免由于两个用户原始密码相同,加密后的密码也相同

        ByteSource credentialsSalt = ByteSource.Util.bytes(username);

        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt,

                realmName);

        return info;

    }

}

  第五步:在spring配置文件中指定使用自定义的认证器:(其他配置略)

 <!-- 配置SecurityManager -->

    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">

        <property name="cacheManager" ref="cacheManager" />

        <property name="authenticator" ref="authenticator"></property>

        <!-- 可以配置多个Realm,其实会把realms属性赋值给ModularRealmAuthenticator的realms属性 -->

        <property name="realms">

            <list>

                <ref bean="userRealm" />

                <ref bean="adminRealm"/>

            </list>

        </property>

    </bean>

  <!-- 配置使用自定义认证器,可以实现多Realm认证,并且可以指定特定Realm处理特定类型的验证 -->

    <bean id="authenticator" class="com.ang.elearning.shiro.CustomizedModularRealmAuthenticator">

        <!-- 配置认证策略,只要有一个Realm认证成功即可,并且返回所有认证成功信息 -->

        <property name="authenticationStrategy">

            <bean class="org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy"></bean>

        </property>

    </bean>

    <!-- 配置Realm -->

    <bean id="userRealm" class="com.ang.elearning.shiro.UserRealm">

        <!-- 配置密码匹配器 -->

        <property name="credentialsMatcher">

            <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">

                <!-- 加密算法为MD5 -->

                <property name="hashAlgorithmName" value="MD5"></property>

                <!-- 加密次数 -->

                <property name="hashIterations" value="1024"></property>

            </bean>

        </property>

    </bean>

    <bean id="adminRealm" class="com.ang.elearning.shiro.AdminRealm">

        <!-- 配置密码匹配器 -->

        <property name="credentialsMatcher">

            <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">

                <!-- 加密算法为MD5 -->

                <property name="hashAlgorithmName" value="MD5"></property>

                <!-- 加密次数 -->

                <property name="hashIterations" value="1024"></property>

            </bean>

        </property>

    </bean>

第六步:配置控制器: 
   
 

 UserController:

@Controller

@RequestMapping("/user")

public class UserController {

    private static final String USER_LOGIN_TYPE = LoginType.USER.toString();

    @Resource

    private IUserService userService;

    @RequestMapping(value = "login", method = RequestMethod.POST)

    public String login(@RequestParam("email") String email, @RequestParam("password") String password) {

        Subject currentUser = SecurityUtils.getSubject();

        if (!currentUser.isAuthenticated()) {

            CustomizedToken customizedToken = new CustomizedToken(email, password, USER_LOGIN_TYPE);

            customizedToken.setRememberMe(false);

            try {

                currentUser.login(customizedToken);

                return "user/index";

            } catch (IncorrectCredentialsException ice) {

                System.out.println("邮箱/密码不匹配!");

            } catch (LockedAccountException lae) {

                System.out.println("账户已被冻结!");

            } catch (AuthenticationException ae) {

                System.out.println(ae.getMessage());

            }

        }

        return "redirect:/login.jsp";

    }

}

  AdminController:

@Controller

@RequestMapping("/admin")

public class AdminController {

    private static final String ADMIN_LOGIN_TYPE = LoginType.ADMIN.toString();

    @RequestMapping(value="/login",method=RequestMethod.POST)

    public String login(@RequestParam("username") String username,@RequestParam("password") String password){

        Subject currentUser = SecurityUtils.getSubject();

        if(!currentUser.isAuthenticated()){

            CustomizedToken customizedToken = new CustomizedToken(username, password, ADMIN_LOGIN_TYPE);

            customizedToken.setRememberMe(false);

            try {

                currentUser.login(customizedToken);

                return "admin/index";

            } catch (IncorrectCredentialsException ice) {

                System.out.println("用户名/密码不匹配!");

            } catch (LockedAccountException lae) {

                System.out.println("账户已被冻结!");

            } catch (AuthenticationException ae) {

                System.out.println(ae.getMessage());

            }

        }

        return "redirect:/login.jsp";

    }

}

测试页面:login.jsp

<body>

    <form action="${pageContext.request.contextPath }/user/login"

        method="POST">

        邮箱:<input type="text" name="email">

        <br><br>

        密码:<input type="password" name="password">

        <br><br>

        <input type="submit" value="用户登录">

    </form>

    <br>

    <br>

    <form action="${pageContext.request.contextPath }/admin/login"

        method="POST">

        用户名:<input type="text" name="username">

        <br><br>

        密 码:<input type="password" name="password">

        <br><br>

        <input type="submit" value="管理员登录">

    </form>

</body>

  这就实现了UserRealm用以处理普通用户的登录验证,AdminRealm用以处理管理员的登录验证。 
  如果还需要添加其他类型,例如,需要添加一个教师登录模块,只需要再新建一个TeacherRealm,并且在枚举类loginType中添加教师的信息,再完成其他类似的配置即可。

2018-01-03 17:4910楼

demo : https://github.com/xiangwanpeng/e_learning

shiro多realm验证之——shiro实现不同身份使用不同Realm进行验证(转)的更多相关文章

  1. Web登录验证之 Shiro

    1.需要用到的shiro相关包 <!-- shiro begin --> <dependency> <groupId>org.apache.shiro</gr ...

  2. Apache Shiro系列四,概述 —— Shiro的架构

    Shiro的设计目标就是让应用程序的安全管理更简单.更直观.     软件系统一般是基于用户故事来做设计.也就是我们会基于一个客户如何与这个软件系统交互来设计用户界面和服务接口.比如,你可能会说:“如 ...

  3. Apache Shiro系列教程之三:Shiro的结构

    Shiro的设计目标是简化应用的安全管理工作.软件通常是以用户为基础设计的.也就是说,我们经常是根据用户是怎样和我们的软件交互的来设计相关的用户接口.比如,你可能会说"如果是已经登录的用户与 ...

  4. Shiro学习(一)——Shiro简介

    Apache Shiro是Java的一个安全框架.目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大 ...

  5. Apache Shiro 快速入门教程,shiro 基础教程

    第一部分 什么是Apache Shiro     1.什么是 apache shiro :   Apache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理 ...

  6. 【跟着开涛学Shiro】(一)Shiro简介

    声明:本部分内容均转自于张老师的博客,因为本人很喜欢他的博客,所以一直在学习,转载仅是记录和分享,若也有喜欢的人的话,可以去他的博客首页看:http://jinnianshilongnian.itey ...

  7. Shiro(一):shiro架构和组件介绍

    简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份认证.授权.加密和会话管理.使用Shiro的易于理解的API,可以快速.轻松地获得任何应用程序,从最小的移动应用程序到最大的网 ...

  8. 【shiro】2.spring整合shiro,注解控制shiro用户/角色/权限And/OR,没有权限跳转到固定页面

    这几天粗浅的把shiro整合到spring中,并且注解控制shiro用户/角色/权限And/OR 步骤: 1.首先maven搭建web项目 2.创建数据库 user/role/authority 其中 ...

  9. Shrio00 Shiro角色授权、Shiro权限授权、开启Shiro缓存

    1 需求01 用户进行过认证登录后,某些接口是有权限限制的:如何实现只有相应权限的用户才可以调用相应接口 2 修改shiro配置类  ShiroConfiguration package cn.xia ...

  10. shiro系列一、认识shiro

    Apache Shiro是Java的一个安全框架.目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大 ...

随机推荐

  1. 【UE4】二十四、UE4内部版本引擎和官方版本引擎版本保持兼容的方法

    内部使用的引擎和官方正式发布的引擎版本号不一致,这种情况会导致一些插件由于版本不一致无法使用,有其是在没有插件源码的情况下.解决方法为 修改Engine\Source\Runtime\Launch\R ...

  2. J.U.C 系列之Atomic原子类

    一 什么是原子类? 所谓原子类必然是具有原子性的类,原子性操作--原子操作,百度百科中给的定义如下 "原子操作(atomic operation)是不需要synchronized" ...

  3. DOM事件里封装方法eventUtil

    var eventUtil={ //添加句柄 addHandler:function (element,type,handler) { //element相当于btn2,type此时用的是click类 ...

  4. 部署微软Nano Server的好处是什么?

    虚拟化对数据中心效率和硬件利用率产生了戏剧性的影响,但是接下来有关系统整合的主要责任落 在了操作系统的重量上.虚拟机通常运行企业级操作系统,比如Windows Server,但是Windows Ser ...

  5. QA 、 QC & QM软件测试入门专业名词解释 -- 灌水走起

    灌水正式开始: 说明:我的农田,我灌水 一.QA . QC & QM: 1.QM QM 是quanlity management,中文名称是品质管理 2.QA QA是英文quality ass ...

  6. Centos7中查看IP地址命令ifconfig无法识别如何处理

    问题描述: 在虚拟机中已安装好Centos7系统,查看IP地址使用命令ifconfig时,提示找不到此命令,使用ip addr命令则可查询当前系统的IP地址(如图1.2): 图1 图2 解决问题步骤: ...

  7. JavaScript里面之dom操作

    1.dom之选择元素 <!DOCTYPE html> <html lang="en"> <head> <meta charset=&quo ...

  8. VS调试时不捕捉Exception

    在方法上添加 [DebuggerHidden] 这样,发生错误的时候,VS就不会捕捉到这个错误,否则,会在错误的地方中断. [DebuggerHidden] public void DeleteAll ...

  9. 多线程 线程池 ExecutorService

    package org.zln.thread; import java.util.Date; import java.util.concurrent.ExecutorService; import j ...

  10. P2857 [USACO06FEB]稳定奶牛分配Steady Cow Assignment

    题目描述 Farmer John's N (1 <= N <= 1000) cows each reside in one of B (1 <= B <= 20) barns ...