在上一篇介绍SecurityManager的初始化过程中,也有realm的粗略介绍。 
realm的概念在安全领域随处可见: 
各种中间件的realm、spring security的realm、shiro的realm。。。如下: 
tomcat的realm: http://tomcat.apache.org/tomcat-7.0-doc/realm-howto.html 
weblogic的realm:http://edocs.weblogicfans.net/wls/docs92/secintro/realm_chap.html 
spring security的realm http://www.oschina.net/translate/spring-security-basic-authentication?lang=eng 
tomcat官网对realm的定义是这样的:

A Realm is a "database" of usernames and passwords that identify valid users of a web application (or set of web applications), plus an enumeration of the list of roles associated with each valid user. You can think of roles as similar to groups in Unix-like operating systems, because access to specific web application resources is granted to all users possessing a particular role (rather than enumerating the list of associated usernames). A particular user can have any number of roles associated with their username.

我个人理解realm相当于管理账号密码、角色、权限的仓库。有异议的,欢迎一起讨论。 
原谅我的啰嗦,先进入正题。 
Shiro的realm类图如下:

由图可见,Realm主要还是认证、授权服务,并提供cache支持。 
shiro提供了几种realm可供项目选择,一般项目中比较常用的应该是JdbcRealm,运行测试用例一般使用IniRealm。 
开涛在讲解身份验证的章节中演示了两种realm的方式(ini、jdbc) 
http://jinnianshilongnian.iteye.com/blog/2019547 
一、Ini方式的realm:

从图中可看出,shiro对于通过文本方式定义账号、权限提供了Ini、Properties两种方式。SimpleAccountRealm类的users、roles集合分别用来保存账号、权限信息。 
还记得在前一篇介绍SecurityManager初始化中,关于realm的创建了么?

没错,就是这里。根据ini配置中的users、roles段落来解析成IniRealm的对象实例。 
下面,简单跟踪一下代码吧:

//IniRealm构造函数会调用此方法完成解析操作

  private void processDefinitions(Ini ini) {

    if (CollectionUtils.isEmpty(ini)) {

      log.warn("{} defined, but the ini instance is null or empty.", getClass().getSimpleName());

      return;

    }

    Ini.Section rolesSection = ini.getSection(ROLES_SECTION_NAME);

    if (!CollectionUtils.isEmpty(rolesSection)) {

      log.debug("Discovered the [{}] section.  Processing...", ROLES_SECTION_NAME);

      //解析roles段落交给父类完成

      processRoleDefinitions(rolesSection);

    }

    Ini.Section usersSection = ini.getSection(USERS_SECTION_NAME);

    if (!CollectionUtils.isEmpty(usersSection)) {

      log.debug("Discovered the [{}] section.  Processing...", USERS_SECTION_NAME);

      //解析users段落交给父类完成

      processUserDefinitions(usersSection);

    } else {

      ......

    }

  }

niRealm的父类TextConfigurationRealm根据子类的users、roles配置完成解析操作

//解析roles,并构造SimpleRole对象

  protected void processRoleDefinitions(Map<String, String> roleDefs) {

    if (roleDefs == null || roleDefs.isEmpty()) {

      return;

    }

    for (String rolename : roleDefs.keySet()) {

      String value = roleDefs.get(rolename);

      SimpleRole role = getRole(rolename);

      if (role == null) {

        role = new SimpleRole(rolename);

        add(role);

      }

      Set<Permission> permissions = PermissionUtils.resolveDelimitedPermissions(value, getPermissionResolver());

      role.setPermissions(permissions);

    }

  }
//解析roles,并构造SimpleRole对象

  protected void processRoleDefinitions(Map<String, String> roleDefs) {

    if (roleDefs == null || roleDefs.isEmpty()) {

      return;

    }

    for (String rolename : roleDefs.keySet()) {

      String value = roleDefs.get(rolename);

      SimpleRole role = getRole(rolename);

      if (role == null) {

        role = new SimpleRole(rolename);

        add(role);

      }

      Set<Permission> permissions = PermissionUtils.resolveDelimitedPermissions(value, getPermissionResolver());

      role.setPermissions(permissions);

    }

  }
//解析users,并构造SimpleAccount对象

  protected void processUserDefinitions(Map<String, String> userDefs) {

    if (userDefs == null || userDefs.isEmpty()) {

      return;

    }

    for (String username : userDefs.keySet()) {

      String value = userDefs.get(username);

      String[] passwordAndRolesArray = StringUtils.split(value);

      String password = passwordAndRolesArray[];

      SimpleAccount account = getUser(username);

      if (account == null) {

        account = new SimpleAccount(username, password, getName());

        add(account);

      }

      account.setCredentials(password);

      if (passwordAndRolesArray.length > ) {

        for (int i = ; i < passwordAndRolesArray.length; i++) {

          String rolename = passwordAndRolesArray[i];

          account.addRole(rolename);

          SimpleRole role = getRole(rolename);

          if (role != null) {

            account.addObjectPermissions(role.getPermissions());

          }

        }

      } else {

        account.setRoles(null);

      }

    }

  }

二、Jdbc方式的realm:

jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm

dataSource=com.alibaba.druid.pool.DruidDataSource

dataSource.driverClassName=com.mysql.jdbc.Driver

dataSource.url=jdbc:mysql://localhost:3306/shiro

dataSource.username=root

dataSource.password=root

jdbcRealm.dataSource=$dataSource

securityManager.realms=$jdbcRealm

由于shiro支持在ini中配置依赖注入,那么JdbcRealm中的sql信息也是可配置的。

jdbcRealm.authenticationQuery=用户查询

jdbcRealm.userRolesQuery=角色查询

jdbcRealm.permissionsQuery=权限查询

当然,如果不习惯这种方式,可以直接自定义Realm,并继承自AuthorizingRealm或者JdbcRealm都可以。 
JdbcRealm通过查询数据库的认证实体、角色、权限,构造的对象分别是:SimpleAuthenticationInfo、SimpleAuthorizationInfo。 
实际上,IniRealm方式构造的SimpleAccount、SimpleRole与JdbcRealm方式构造的SimpleAuthenticationInfo、SimpleAuthorizationInfo一一对应,且都实现认证接口AuthenticationInfo、授权接口AuthorizationInfo。关于更详细的讲解放在后面的认证、授权部分。 
三、RealmFactory: 
Shiro不仅支持Realm类型,还支持RealmFactory类型,在初始化的时候,如果配置中存在RealmFactory实现类,则直接调用其Collection<Realm> getRealms()方法。 
该方式在多个realm的情况下很实用。 
四、与Spring Security的比较: 
Spring Security的Realm仅仅是用在basic认证方式。 
Shiro的realm与Spring Security的UserDetailsService非常相似。但是命名确非常迷糊,下面进一步分析: 
先看UserDetailsService接口定义:

//根据用户名称获取UserDetails

public interface UserDetailsService {

    UserDetails loadUserByUsername(String username)

        throws UsernameNotFoundException, DataAccessException;

}

UserDetails接口定义:

public interface UserDetails extends Serializable {

  //获取授权的集合

  Collection<GrantedAuthority> getAuthorities();

  String getPassword();

  String getUsername();

  boolean isAccountNonExpired();

  boolean isAccountNonLocked();

  boolean isCredentialsNonExpired();

  boolean isEnabled();

}

由此可看出,Spring Security的UserDetailsService获取的UserDetails已经拥有了授权信息。只是从接口命名中无法得知。 
而Shiro的realm是把职责分解了,层次更清晰些。 
后续在分析shiro的过程中,会增加与SpringSecurity的比较。

Shiro源码分析-初始化-Realm的更多相关文章

  1. Shiro源码分析之SecurityManager对象获取

    目录 SecurityManager获取过程 1.SecurityManager接口介绍 2.SecurityManager实例化时序图 3.源码分析 4.总结 @   上篇文章Shiro源码分析之获 ...

  2. Shiro 源码分析

    http://my.oschina.net/huangyong/blog/215153 Shiro 是一个非常优秀的开源项目,源码非常值得学习与研究. 我想尝试做一次 不一样 的源码分析:源码分析不再 ...

  3. Shiro源码分析

    1.入口类:AbstractAuthenticator 用户输入的登录信息经过其authenticate方法: public final AuthenticationInfo authenticate ...

  4. linux调度器源码分析 - 初始化(二)

    本文为原创,转载请注明:http://www.cnblogs.com/tolimit/ 引言 上期文章linux调度器源码分析 - 概述(一)已经把调度器相关的数据结构介绍了一遍,本篇着重通过代码说明 ...

  5. Linux 内核调度器源码分析 - 初始化

    导语 上篇系列文 混部之殇-论云原生资源隔离技术之CPU隔离(一) 介绍了云原生混部场景中CPU资源隔离核心技术:内核调度器,本系列文章<Linux内核调度器源码分析>将从源码的角度剖析内 ...

  6. linux中断源码分析 - 初始化(二)

    本文为原创,转载请注明:http://www.cnblogs.com/tolimit/ 本篇文章主要讲述源码中是如何对中断进行一系列的初始化的. 回顾 在上一篇概述中,介绍了几个对于中断来说非常重要的 ...

  7. struts2源码分析-初始化流程

    这一篇文章主要是记录struts.xml的初始化,还原struts2.xml的初始化流程.源码依据struts2-2.3.16.3版本. struts2初始化入口,位于web.xml中: <fi ...

  8. Shiro源码分析之Subject和SecurityManager

    Subject 毫无疑问,Subject是Shiro最重要的一个概念. “Subject”只是一个安全术语,意味着应用程序用户的特定于安全性的“视图”.Shiro Subject实例代表单个应用程序用 ...

  9. wifidog源码分析 - 初始化阶段

    Wifidog是一个linux下开源的认证网关软件,它主要用于配合认证服务器实现无线路由器的认证放行功能. wifidog是一个后台的服务程序,可以通过wdctrl命令对wifidog主程序进行控制. ...

随机推荐

  1. ural 1155. Troubleduons

    1155. Troubleduons Time limit: 0.5 secondMemory limit: 64 MB Archangel of the Science is reporting:“ ...

  2. HDU 5044 (树链剖分+树状数组+点/边改查)

    题目链接: http://acm.hdu.edu.cn/showproblem.php?pid=5044 题目大意:修改链上点,修改链上的边.查询所有点,查询所有边. 解题思路: 2014上海网赛的变 ...

  3. TYVJ P1046 Blast Label:dp

    描述 设有字符串X,我们称在X的头尾及中间插入任意多个空格后构成的新字符串为X的扩展串,如字符串X为“abcbcd”,则字符串“abcb□cd”,“□a□bcbcd□”和“abcb□cd□”都是X的扩 ...

  4. C# DateTime 日期加1天 减一天 加一月 减一月 等方法(转)

    //今天 DateTime.Now.Date.ToShortDateString(); //昨天,就是今天的日期减一 DateTime.Now.AddDays(-1).ToShortDateStrin ...

  5. 【转】Android APK的数字签名的作用和意义

    1. 什么是数字签名? 数字签名就是为你的程序打上一种标记,来作为你自己的标识,当别人看到签名的时候会知道它是与你相关的     2. 为什么要数字签名? 最简单直接的回答: 系统要求的.  Andr ...

  6. 李洪强-C语言9-C语言的数据,变量和常量

    一.数据 图片文字等都是数据,在计算机中以0和1存储. (一)分类 数据分为静态数据和动态数据. ①. 静态数据:一些永久性的的数据,一般存储在硬盘中,只要硬盘没坏数据都是存在的.一般以文件的形式存储 ...

  7. MLUtils.loadLibSVMFile

    import org.apache.spark.mllib.util.MLUtils// Load and parse the data file. val data = MLUtils.loadLi ...

  8. java ---运算符

    运算符简单来划分可以分为五大类:分别是算术运算符.关系运算符.逻辑运算符.三元运算符和赋值运算符.下面来分别介绍一下这几类运算符: 一.算术运算符 包含+  -  *  /  %  ++  --,这几 ...

  9. C3P0连接池问题,APPARENT DEADLOCK!!! Creating emergency..... [问题点数:20分,结帖人lovekong]

    采用c3p0连接池,每次调试程序,第一次访问时(Tomcat服务器重启后再访问)都会出现以下错误,然后连接库需要很长时间,最终是可以连上的,之后再访问就没问题了,请高手们会诊一下,希望能帮小弟解决此问 ...

  10. Tree Context Menu

    Right click on a node to display context menu.   My Documents Photos Program Files Intel Java Micros ...