一、自定义Realm授权

  前提:认证通过,查看Realm接口的继承关系结构图如下,要想通过自定义的Realm实现授权,只需继承AuthorizingRealm并重写方法即可

二、实现过程

1、新建module,添加如下pom依赖

<properties>

        <shiro.version>1.4.1</shiro.version>

        <loggingg.version>1.2</loggingg.version>

    </properties>

    <dependencies>

        <dependency>

            <groupId>org.apache.shiro</groupId>

            <artifactId>shiro-core</artifactId>

            <version>${shiro.version}</version>

        </dependency>

        <dependency>

            <groupId>commons-logging</groupId>

            <artifactId>commons-logging</artifactId>

            <version>${loggingg.version}</version>

        </dependency>

    </dependencies>

2、新建UserRealm类继承AuthorizingRealm,重写方法

public class UserRealm extends AuthorizingRealm {

    private UserService userService = new UserServiceImpl();

    private RoleService roleService = new RoleServiceImpl();

    private PermissionService permissionService = new PermissionServiceImpl();

    /**

     * 做认证

     *

     * @param token

     * @return

     * @throws AuthenticationException

     */

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

        String username = token.getPrincipal().toString();

        System.out.println("自定义Realm:" + username);

        User user = userService.queryUserByUserName(username);

        if (user != null) {

            List<String> roles = roleService.queryRoleByUserName(username);

            List<String> permissions = permissionService.queryPermissionByUserName(username);

            ActivityUser activityUser = new ActivityUser(user, roles, permissions);

            //参数1:可以传任意对象|参数2:数据库中的用户密码|参数3:当前类名

            SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(activityUser, user.getPwd(), this.getName());

            return info;

        } else {

            return null;

        }

    }

    //授权方法

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) {

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        System.out.println("doGetAuthorizationInfo被回调了");

        //

        Object primaryPrincipal = principal.getPrimaryPrincipal();

        System.out.println(primaryPrincipal);

        ActivityUser activityUser = (ActivityUser) principal.getPrimaryPrincipal();

        List<String> roles = activityUser.getRoles();

        if (roles != null && roles.size() > 0) {

            info.addRoles(roles);

        }

        List<String> permissins = activityUser.getPermissins();

        if (permissins!=null&&permissins.size()>0)

        {

            info.addStringPermissions(permissins);

        }

        //判断如果是超级管理员

        //info.addStringPermission("*:*");

        return info;

    }

3、test类测试方法

public class TestAuthorizationRealm

{

    public static void main(String[] args)

    {

        //1.模拟前台传递的用户名和密码

        String username = "zhangsan";

        String password = "123456";

        //2.创建安全管理器的工厂

        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");

        //3.通过安全管理器工厂获取安全管理器

        DefaultSecurityManager securityManager = (DefaultSecurityManager)factory.getInstance();

        //4.创建自定义的Realm

        UserRealm userRealm = new UserRealm();

        //5.设置自定义的Realm

        securityManager.setRealm(userRealm);

        //6.将安全管理器绑定到当前运行环境

        SecurityUtils.setSecurityManager(securityManager);

        //7.从当前环境中获取Subject主体

        Subject subject1 = SecurityUtils.getSubject();

        //8.调用主体的登录方法

        try

        {

            subject1.login(new UsernamePasswordToken(username,password));

            System.out.println("登录成功~");

//            Object principal = subject1.getPrincipal();

//            System.out.println(principal);

        } catch (IncorrectCredentialsException e) {

            System.out.println("密码不正确");

        }catch (UnknownAccountException e) {

            System.out.println("用户名不存在");

        }

        boolean role1 = subject1.hasRole("role1");

        boolean role2 = subject1.hasRole("role1");

        System.out.println(role1);

        boolean permitted = subject1.isPermitted("user:add");

        System.out.println(permitted);

    }

}

三、分析

1、在进行授权的时候,每进行一次授权都会进行一次回调自定义Realm的doGetAuthorizationInfo方法,验证如下:

①在授权方法内部打印日志

②test类做3次授权,查看控制台如下:

2、认证时候进行查库,查角色、权限,并封装对象,避免多次调用授权方法导致频繁查库导致性能下降

四、总结

1、每次进行授权时,就会调用授权方法(通过打印日志可以验证)

2、避免在授权回调方法中查库而导致性能下降

3、授权方法参数可以获取到认证方法中放入的第一个任意参数(图中有说明,当然也可以通过subject.getPrincipal()方法获取该参数),所以我采用封装的方式,实现多次调用授权方法时也是同一个对象,避免频繁查库

Shiro入门学习之自定义Realm实现授权(五)的更多相关文章

  1. Shiro入门学习之自定义Realm实现认证(四)

    一.概述 Shirom默认使用自带的IniRealm,IniRealm从ini配置文件中读取用户的信息,而大部分情况下需要从系统数据库中读取用户信息,所以需要实现自定义Realm,Realm接口如下: ...

  2. Shiro入门学习---使用自定义Realm完成认证|练气中期

    写在前面 在上一篇文章<shiro认证流程源码分析--练气初期>当中,我们简单分析了一下shiro的认证流程.不难发现,如果我们需要使用其他数据源的信息完成认证操作,我们需要自定义Real ...

  3. Shiro入门学习之shi.ini实现授权(三)

    一.Shiro授权 前提:需要认证通过才会有授权一说 1.授权过程 2.相关方法说明 ①subject.hasRole("role1"):判断是否有该角色 ②subject.has ...

  4. shiro入门学习--使用MD5和salt进行加密|练气后期

    写在前面 在上一篇文章<Shiro入门学习---使用自定义Realm完成认证|练气中期>当中,我们学会了使用自定义Realm实现shiro数据源的切换,我们可以切换成从关系数据库如MySQ ...

  5. Shiro入门学习与实战(一)

    一.概述 1.Shiro是什么? Apache Shiro是java 的一个安全框架,主要提供:认证.授权.加密.会话管理.与Web集成.缓存等功能,其不依赖于Spring即可使用: Spring S ...

  6. shiro学习笔记_0600_自定义realm实现授权

    博客shiro学习笔记_0400_自定义Realm实现身份认证 介绍了认证,这里介绍授权. 1,仅仅通过配置文件来指定权限不够灵活且不方便.在实际的应用中大多数情况下都是将用户信息,角色信息,权限信息 ...

  7. shiro入门学习--授权(Authorization)|筑基初期

    写在前面 经过前面的学习,我们了解了shiro中的认证流程,并且学会了如何通过自定义Realm实现应用程序的用户认证.在这篇文章当中,我们将学习shiro中的授权流程. 授权概述 这里的授权指的是授予 ...

  8. Shiro入门学习之散列算法与凭证配置(六)

    一.散列算法概述 散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据,常见的散列算法如MD5.SHA等,一般进行散列时最好提供一个salt(“盐”),什么意思?举个栗子 ...

  9. shiro框架学习-5-自定义Realm

    1. 自定义Realm基础 步骤: 创建一个类 ,继承AuthorizingRealm->AuthenticatingRealm->CachingRealm->Realm 重写授权方 ...

随机推荐

  1. 剑指offer 面试题52. 两个链表的第一个公共节点

    这题之前leetcode做过,权当复习 首先这题没说是否一定有公共节点,如果代码可能因为这一点造成死循环的,需要提前验证所给两个链表是否有公共节点. 方法1:对于每一个list1的节点,遍历list2 ...

  2. Python MonkeyRunner 连接设备总是返回连接成功问题

    device = mr.waitForConnection(1,deviceName) 当使用waitForConnection时,不管设备是否连接,device总是返回一个对象,所以没有办法通过 i ...

  3. c数据结构 -- 线性表之 复杂的链式存储结构

    复杂的链式存储结构 循环链表 定义:是一种头尾相接的链表(即表中最后一个结点的指针域指向头结点,整个链表形成一个环) 优点:从表中任一节点出发均可找到表中其他结点 注意:涉及遍历操作时,终止条件是判断 ...

  4. C++-POJ2352-Stars[数据结构][树状数组]

    /* 虽然题目没说,但是读入有以下特点 由于,输入是按照按照y递增,如果y相同则x递增的顺序给出的 所以,可以利用入读的时间进行降为处理 */ 于是我们就得到了一个一维的树状数组解法啦 值得一提:坐标 ...

  5. Java-POJ1008-Maya Calendar

    题意:两种纪年方法的转换 水题,根据题目翻译成代码就可以了 居然WA了一次,避坑,output要先输出数据组数,痛心疾首啊!本来可以一次AC的. package poj.ProblemSet; imp ...

  6. beego登录退出与检查登录过滤器

    // ShowLogin 登陆显示 func (c *UserController) ShowLogin() { username := c.Ctx.GetCookie("username& ...

  7. 寒假安卓app开发学习记录(7)

    今天学习了Intent的基本用法.Intent是什么?Intent在Android中的核心作用就是“跳转”(Android中的跳转机制),同时可以携带必要的信息,将Intent作为一个信息桥梁.最常用 ...

  8. selenium-JavaScript的处理

    JavaScript的处理 在自动化过程中,遇到js处理的元素,需要使用js语言对元素进行操作,例如,滑动到浏览器的底部或者顶部,时间控件的处理,元素可见不可见以及富文本的处理等,都需要js语言的支持 ...

  9. 每天进步一点点------创建Microblaze软核(二)

    第四步 进入Platform Studio操作界面通过向导创建软核后,进入到PlatformStudio——内核开发环境.Platform Studio主界面如下图. 在Ports项中,右键点击RS2 ...

  10. 结合sqlmap进行sql注入过程

    结合sqlmap进行sql注入:(-r后面是通过burp suite抓出来的请求包:-p后面是注入点,即该请求里携带的某个参数) Get请求的注入: ./sqlmap.py -r rss_test.t ...