shiro web中自定义Realm

Apache Shiro是一个强大的Java安全框架，它为应用程序提供了身份验证（Authentication）、授权（Authorization）以及会话管理（Session Management）等功能。在Shiro中， Realm是核心组件之一，它是Shiro与应用程序特定的安全数据源之间的桥梁，比如数据库、LDAP目录或者其他任何包含用户信息的地方。 在Web应用中，自定义Realm是为了适配具体的应用场景，因为Shiro的默认Realm并不能满足所有需求。自定义Realm可以让我们更好地控制认证和授权的过程，以满足业务逻辑。以下将详细介绍如何在Shiro中创建自定义Realm。 1. **创建自定义Realm类** 自定义Realm需要继承Shiro的`AuthorizingRealm`类，因为我们需要实现认证和授权功能。`AuthorizingRealm`已经为我们提供了一些基本的骨架方法，如`doGetAuthenticationInfo`用于认证，`doGetAuthorizationInfo`用于授权。 ```java public class CustomRealm extends AuthorizingRealm { // 自定义认证逻辑 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 这里根据token获取用户信息，例如从数据库中查询 // ... // 创建并返回AuthenticationInfo对象 return new SimpleAuthenticationInfo(user, user.getPassword(), getName()); } // 自定义授权逻辑 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 这里根据principals（通常包含用户名）获取用户的权限信息 // ... // 创建并返回AuthorizationInfo对象 return new SimpleAuthorizationInfo(roles, permissions, getName()); } } ``` 2. **配置Shiro** 在Web应用的配置文件（如`shiro.ini`或Spring XML配置）中，我们需要注册刚刚创建的自定义Realm，并设置为默认的认证和授权 Realm。 ```ini [main] customRealm = com.example.CustomRealm securityManager.realms = $customRealm ``` 或 ```xml <bean id="customRealm" class="com.example.CustomRealm"/> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realms"> <list> <ref bean="customRealm"/> </list> </property> </bean> ``` 3. **整合Web应用** 如果是Spring MVC应用，还需要在`web.xml`中配置Shiro过滤器。 ```xml <filter> <filter-name>shiroFilter</filter-name> <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> <dispatcher>REQUEST</dispatcher> <dispatcher>FORWARD</dispatcher> <dispatcher>ERROR</dispatcher> </filter-mapping> ``` 4. **测试与调试** 创建一个简单的登录界面，提交表单数据到Shiro的登录URL（默认为`/j_spring_security_check`），然后Shiro会处理登录请求，并通过自定义Realm进行认证。 在自定义Realm的开发过程中，可能会遇到各种问题，如认证失败、权限不足等，这时需要对`doGetAuthenticationInfo`和`doGetAuthorizationInfo`的方法进行调试，确保正确地从数据源获取并返回信息。 自定义Realm是Shiro框架中的关键部分，它允许开发者根据具体的应用场景进行扩展，以实现更精细的身份验证和授权策略。通过理解并实践自定义Realm的创建过程，我们可以更好地利用Shiro来保护我们的Web应用。