[Shiro]多Realm時截碴,指定登錄Realm
之前寫過多Realm登錄前后臺區(qū)分問題梳侨,實現(xiàn)了當(dāng)時的需求,可是再下一步的時候日丹,角色與權(quán)限校驗會失效走哺。為了滿足當(dāng)時的項目需求,又拓展了鑒權(quán)源哲虾,以及若干功能類丙躏。在本人看來齐帚,這種方式很Low,玷污了Shiro彼哼。
現(xiàn)在有一個較好的方式去實現(xiàn)前后臺的認證與鑒權(quán)对妄。通過自定義Token類來達到鑒別目的。
Token的介紹
Shiro使用Token作為認證的對象敢朱。 在Filter中攔截登錄信息創(chuàng)建Token調(diào)用登錄剪菱,或者我們自己在控制器中手動登錄。調(diào)用登錄拴签,會迭代配置的Realm進行驗證孝常。
Shiro的FormAuthenticationFilter創(chuàng)建Token
FormAuthenticationFilter中創(chuàng)建Token的方法
最終調(diào)用到它的父類AuthenticatingFilter
控制器里手動創(chuàng)建Token登錄
Realm的定義
Shiro在進行登錄驗證時候,會檢查Realm是否支持該Token蚓哩,如果不支持跳過當(dāng)前Realm构灸,繼續(xù)下一個Realm。
public Class getAuthenticationTokenClass() {
//支持的Token類的class
return authenticationTokenClass;
}
//是否支持該token
//Realm支持的類可以是token的子類或相同
public boolean supports(AuthenticationToken token) {
return token != null && getAuthenticationTokenClass().isAssignableFrom(token.getClass());
}
自定義Realm一般會繼承AuthorizingRealm來支持登錄的驗證岸梨。
我們可以重寫public Class getAuthenticationTokenClass()來支持我們的Token喜颁。
自定義Token
Shiro的UsernamePasswordToken源碼
public class UsernamePasswordToken implements HostAuthenticationToken, RememberMeAuthenticationToken {
private String username;
private char[] password;
private boolean rememberMe = false;
private String host;
public UsernamePasswordToken() {
}
public UsernamePasswordToken(final String username, final char[] password) {
this(username, password, false, null);
}
public UsernamePasswordToken(final String username, final String password, final String host) {
this(username, password != null ? password.toCharArray() : null, false, host);
}
public Object getPrincipal() {
return getUsername();
}
public Object getCredentials() {
return getPassword();
}
public String getHost() {
return host;
}
public void setHost(String host) {
this.host = host;
}
public boolean isRememberMe() {
return rememberMe;
}
public void setRememberMe(boolean rememberMe) {
this.rememberMe = rememberMe;
}
public void clear() {
this.username = null;
this.host = null;
this.rememberMe = false;
if (this.password != null) {
for (int i = 0; i < password.length; i++) {
this.password[i] = 0x00;
}
this.password = null;
}
}
}
UsernamePasswordToken實現(xiàn)了AuthenticationToken(認證)、HostAuthenticationToken(用戶ip)曹阔、RememberMeAuthenticationToken(記住我)接口半开。
AuthenticationToken
public interface AuthenticationToken extends Serializable {
/**
*獲取登陸用戶名
*/
Object getPrincipal();
/**
*獲取密碼
*/
Object getCredentials();
}
由于Realm檢查是否支持Token類的是允許支持驗證子類的,我們不能去繼承UsernamePasswordToken赃份,需要自己實現(xiàn)一個Token寂拆。直接拷貝代碼,修改類名就可以抓韩【烙溃或者根據(jù)你的業(yè)務(wù)需求,重寫一部分功能谒拴。
每一個自定義Realm對應(yīng)支持一種Token尝江。就可以使登錄驗證時不會重復(fù)調(diào)用Realm多次驗證和異常消息的覆蓋。
[示例代碼] https://git.oschina.net/yihyforever/shiro-realms.git
下一篇彪薛,Shiro的緩存及坑點
