Shiro--Realm

小灰灰 2023-07-12 14:48 38阅读 0赞

首发网址：[Shiro--Realm\_IT利刃出鞘的博客-CSDN博客][Shiro--Realm_IT_-CSDN]

# 简介 #

在认证、授权内部实现机制中都有提到，最终处理都将交给Real进行处理。因为在Shiro中，最终是通过Realm来获取应用程序中的用户、角色及权限信息的。通常情况下，在Realm中会直接从我们的数据源中获取Shiro需要的验证信息。可以说，Realm是专用于安全框架的DAO。

# **一、认证实现** #

正如前文所提到的，Shiro的认证过程最终会交由Realm执行，这时会调用Realm的getAuthenticationInfo(token)方法。  
该方法主要执行以下操作:  
1、检查提交的进行认证的令牌信息  
2、根据令牌信息从数据源(通常为数据库)中获取用户信息  
3、对用户信息进行匹配验证。  
4、验证通过将返回一个封装了用户信息的AuthenticationInfo实例。  
5、验证失败则抛出AuthenticationException异常信息。  
  
而在我们的应用程序中要做的就是自定义一个Realm类，继承AuthorizingRealm抽象类，重载doGetAuthenticationInfo ()，重写获取用户信息的方法。

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) 
                  throws AuthenticationException {   
            UsernamePasswordToken token = (UsernamePasswordToken) authcToken;   
            User user = accountManager.findUserByUserName(token.getUsername());   
            if (user != null) {   
                return new SimpleAuthenticationInfo(user.getUserName(), user.getPassword(), getName());   
            } else {   
                return null;   
            }   
    }

# **二、授权实现** #

而授权实现则与认证实现非常相似，在我们自定义的Realm中，重载doGetAuthorizationInfo()方法，重写获取用户权限的方法即可。

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {   
            String userName = (String) principals.fromRealm(getName()).iterator().next();   
            User user = accountManager.findUserByUserName(userName);   
            if (user != null) {   
                SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();   
                for (Group group : user.getGroupList()) {   
                    info.addStringPermissions(group.getPermissionList());   
                }   
                return info;   
            } else {   
                return null;   
            }   
    }

[Shiro--Realm_IT_-CSDN]: https://knife.blog.csdn.net/article/details/104751258