Realm翻译作域,Shiro框架从中获取安全数据(如用户、角色、权限)。当SecurityManager验证用户身份或者授予权限时,需要从Realm中获取数据信息进行验证,可以将Realm看作Shiro框架的数据访问层。因此,Realm往往也是我们实现安全功能时最需要自定义和扩展的位置。

Realm的基础介绍

一个典型的Realm的接口如下:

String getName(); //返回一个唯一的Realm名字
boolean supports(AuthenticationToken token); //判断此Realm是否支持此Token
AuthenticationInfo getAuthenticationInfo(AuthenticationToken token)
 throws AuthenticationException;  //根据Token获取认证信息

在一个应用程序中,可以存在一个Realm或者多个Realm。一个典型的Realm实现如下:

public class MyRealm1 implements Realm {
    @Override
    public String getName() {
        return "myrealm1";
    }
    @Override
    public boolean supports(AuthenticationToken token) {
        //仅支持UsernamePasswordToken类型的Token
        return token instanceof UsernamePasswordToken; 
    }
    @Override
    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = (String)token.getPrincipal();  //得到用户名
        String password = new String((char[])token.getCredentials()); //得到密码
        if(!"zhang".equals(username)) {
            throw new UnknownAccountException(); //如果用户名错误
        }
        if(!"123".equals(password)) {
            throw new IncorrectCredentialsException(); //如果密码错误
        }
        //如果身份认证验证成功,返回一个AuthenticationInfo实现;
        return new SimpleAuthenticationInfo(username, password, getName());
    }
}

在ini配置文件(shiro-realm.ini)中,我们通过$name来引入自定义的Realm。配置文件如下:

# shiro-realm.ini
#声明一个realm
myRealm1=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm1
myRealm2=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm2
#指定securityManager的realms实现
securityManager.realms=$myRealm1,$myRealm2

如果存在多个Realm只需要将配置文件改为:

# shiro-realm.ini

#声明一个realm
myRealm1=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm1
myRealm2=com.github.zhangkaitao.shiro.chapter2.realm.MyRealm2
#指定securityManager的realms实现
securityManager.realms=$myRealm1,$myRealm2

SecurityManager会按照Realms指定的顺序进行身份认证。此处我们显式指定了Realm的顺序为“$myRealm1,$myRealm2”。如果删除此配置,SecurityManager将按照Realm声明的顺序进行验证。未在配置中进行声明的Realm将会被忽略。如删除配置文件中的myRealm1, 那么SecurityManager将只通过myRealm2进行身份验证。

Shiro框架中的Realm实现

Shiro框架中提供了一些默认的Realm实现,如下图:

Shiro框架中的Realm实现

一般我们扩展Realm时需要继承AuthorizingRealm(授权),其继承了AuthenticatingRealm(身份验证),也间接继承了CachingRealm(缓存实现),可以为我们提供身份认证和授权所需的全部功能。基于AuthorizingRealm,Shiro提供了几个默认实现:

org.apache.shiro.realm.text.IniRealm:[users] 部分指定用户名 / 密码及其角色;[roles] 部分指定角色即权限信息;

org.apache.shiro.realm.text.PropertiesRealm: user.username=password,role1,role2 指定用户名 / 密码及其角色;role.role1=permission1,permission2 指定角色及权限信息;

org.apache.shiro.realm.jdbc.JdbcRealm:通过 sql 查询相应的信息,如 “select password from users where username = ?” 获取用户密码,“select password, password_salt from users where username = ?” 获取用户密码及盐;“select role_name from user_roles where username = ?” 获取用户角色;“select permission from roles_permissions where role_name = ?” 获取角色对应的权限信息;也可以调用相应的 api 进行自定义 sql;JdbcRealm需要建users、user_roles、role_permissions三张表,并添加相应数据,其配置文件(shiro-jdbc-realm.ini)的格式如下:

  1. 变量名 = 全限定类名会自动创建一个类实例
  2. 变量名. 属性 = 值 自动调用相应的 setter 方法进行赋值
  3. $ 变量名 引用之前的一个对象实例

例如:

# shiro-jdbc-realm.ini
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
dataSource=com.alibaba.druid.pool.DruidDataSource
dataSource.driverClassName=com.mysql.jdbc.Driver
dataSource.url=jdbc:mysql://localhost:3306/shiro
dataSource.username=root

# dataSource.password=
jdbcRealm.dataSource=$dataSource
securityManager.realms=$jdbcRealm;

Realm的自定义和扩展

s