Shiro Realm的关联对象

在Shiro 自定义Realm这篇文章中,涉及大量的代码。限于篇幅,我将和Realm关联的一些对象单独作为一张来学习。

本文源代码下载链接:http://pan.baidu.com/s/1eSCCt7k 密码:czvl

AuthenticationToken

AuthenticationToken

AuthenticationToken用于收集用户提交的身份(如用户名)及凭据(如密码):

public interface AuthenticationToken extends Serializable {  
    Object getPrincipal(); //身份  
    Object getCredentials(); //凭据  
} 

扩展接口RememberMeAuthenticationToken:提供了“boolean isRememberMe()”现“记住我”的功能;
扩展接口是HostAuthenticationToken:提供了“String getHost()”方法用于获取用户“主机”的功能。
Shiro提供了一个直接拿来用的UsernamePasswordToken,用于实现用户名/密码Token组,另外其实现了RememberMeAuthenticationToken和HostAuthenticationToken,可以实现记住我及主机验证的支持。

AuthenticationInfo

AuthenticationInfo 类关系图

AuthenticationInfo有两个作用:

  1. 如果Realm是AuthenticatingRealm子类,则提供给AuthenticatingRealm内部使用的CredentialsMatcher进行凭据验证;(如果没有继承它需要在自己的Realm中自己实现验证);
  2. 提供给SecurityManager来创建Subject(提供身份信息);

MergableAuthenticationInfo用于提供在多Realm时合并AuthenticationInfo的功能,主要合并Principal、如果是其他的如credentialsSalt,会用后边的信息覆盖前边的。
比如HashedCredentialsMatcher,在验证时会判断AuthenticationInfo是否是SaltedAuthenticationInfo子类,来获取盐信息。
Account相当于我们之前的User,SimpleAccount是其一个实现;在IniRealm、PropertiesRealm这种静态创建帐号信息的场景中使用,这些Realm直接继承了SimpleAccountRealm,而SimpleAccountRealm提供了相关的API来动态维护SimpleAccount;即可以通过这些API来动态增删改查SimpleAccount;动态增删改查角色/权限信息。及如果您的帐号不是特别多,可以使用这种方式。
其他情况一般返回SimpleAuthenticationInfo即可。

PrincipalCollection

PrincipalCollection

因为我们可以在Shiro中同时配置多个Realm,所以呢身份信息可能就有多个;因此其提供了PrincipalCollection用于聚合这些身份信息:

public interface PrincipalCollection extends Iterable, Serializable {  
    Object getPrimaryPrincipal(); //得到主要的身份  
    <T> T oneByType(Class<T> type); //根据身份类型获取第一个  
    <T> Collection<T> byType(Class<T> type); //根据身份类型获取一组  
    List asList(); //转换为List  
    Set asSet(); //转换为Set  
    Collection fromRealm(String realmName); //根据Realm名字获取  
    Set<String> getRealmNames(); //获取所有身份验证通过的Realm名字  
    boolean isEmpty(); //判断是否为空  
}  

因为PrincipalCollection聚合了多个,此处最需要注意的是getPrimaryPrincipal,如果只有一个Principal那么直接返回即可,如果有多个Principal,则返回第一个(因为内部使用Map存储,所以可以认为是返回任意一个);oneByType / byType根据凭据的类型返回相应的Principal;fromRealm根据Realm名字(每个Principal都与一个Realm关联)获取相应的Principal。

MutablePrincipalCollection是一个可变的PrincipalCollection接口,即提供了如下可变方法:

public interface MutablePrincipalCollection extends PrincipalCollection {  
    void add(Object principal, String realmName); //添加Realm-Principal的关联  
    void addAll(Collection principals, String realmName); //添加一组Realm-Principal的关联  
    void addAll(PrincipalCollection principals);//添加PrincipalCollection  
    void clear();//清空  
} 

目前Shiro只提供了一个实现SimplePrincipalCollection,还记得之前的AuthenticationStrategy实现嘛,用于在多Realm时判断是否满足条件的,在大多数实现中(继承了AbstractAuthenticationStrategy)afterAttempt方法会进行AuthenticationInfo(实现了MergableAuthenticationInfo)的merge,比如SimpleAuthenticationInfo会合并多个Principal为一个PrincipalCollection。

对于PrincipalMap是Shiro 1.2中的一个实验品,暂时无用。接下来通过示例来看看PrincipalCollection。

新建一个com.xttblog.shiro5.realm.MyRealm1

public class MyRealm1 implements Realm {  
    @Override  
    public String getName() {  
        return "a"; //realm name 为 “a”  
    }  
    //省略supports方法,具体请见源码  
    @Override  
    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {  
        return new SimpleAuthenticationInfo(  
                "zhang", //身份 字符串类型  
                "123",   //凭据  
                getName() //Realm Name  
        );  
    }  
}  

com.xttblog.shiro5.realm.MyRealm2和com.xttblog.shiro5.realm.MyRealm1完全一样,只是Realm名字为b。com.xttblog.shiro5.realm.MyRealm3代码如下:

public class MyRealm3 implements Realm {  
    @Override  
    public String getName() {  
        return "c"; //realm name 为 “c”  
    }  
    //省略supports方法,具体请见源码  
    @Override  
    public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {  
        User user = new User("zhang", "123");  
        return new SimpleAuthenticationInfo(  
                user, //身份 User类型  
                "123",   //凭据  
                getName() //Realm Name  
        );  
    }  
} 

和MyRealm1同名,但返回的Principal是User类型。配置文件shiro-multirealm.ini内容如下:

[main]
realm1=com.xttblog.shiro5.realm.MyRealm1
realm2=com.xttblog.shiro5.realm.MyRealm2
realm3=com.xttblog.shiro5.realm.MyRealm3
securityManager.realms=$realm1,$realm2,$realm3

测试用例代码见com.xttblog.shiro5.realm.PrincialCollectionTest

AuthorizationInfo

AuthorizationInfo

AuthorizationInfo用于聚合授权信息的:

public interface AuthorizationInfo extends Serializable {  
    Collection<String> getRoles(); //获取角色字符串信息  
    Collection<String> getStringPermissions(); //获取权限字符串信息  
    Collection<Permission> getObjectPermissions(); //获取Permission对象信息  
} 

当我们使用AuthorizingRealm时,如果身份验证成功,在进行授权时就通过doGetAuthorizationInfo方法获取角色/权限信息用于授权验证。
Shiro提供了一个实现SimpleAuthorizationInfo,大多数时候使用这个即可。

Subject

shiro Subject

Subject是Shiro的核心对象,基本所有身份验证、授权都是通过Subject完成。

它有以下作用:

  1. 身份信息获取

    Object getPrincipal(); //Primary Principal  
    PrincipalCollection getPrincipals(); // PrincipalCollection 
  2. 身份验证

    void login(AuthenticationToken token) throws AuthenticationException;  
    boolean isAuthenticated();  
    boolean isRemembered(); 

    通过login登录,如果登录失败将抛出相应的AuthenticationException,如果登录成功调用isAuthenticated就会返回true,即已经通过身份验证;如果isRemembered返回true,表示是通过记住我功能登录的而不是调用login方法登录的。isAuthenticated/isRemembered是互斥的,即如果其中一个返回true,另一个返回false。

  3. 角色授权验证

    boolean hasRole(String roleIdentifier);  
    boolean[] hasRoles(List<String> roleIdentifiers);  
    boolean hasAllRoles(Collection<String> roleIdentifiers);  
    void checkRole(String roleIdentifier) throws AuthorizationException;  
    void checkRoles(Collection<String> roleIdentifiers) throws AuthorizationException;  
    void checkRoles(String... roleIdentifiers) throws AuthorizationException;

    hasRole*进行角色验证,验证后返回true/false;而checkRole*验证失败时抛出AuthorizationException异常。

  4. 权限授权验证

    boolean isPermitted(String permission);  
    boolean isPermitted(Permission permission);  
    boolean[] isPermitted(String... permissions);  
    boolean[] isPermitted(List<Permission> permissions);  
    boolean isPermittedAll(String... permissions);  
    boolean isPermittedAll(Collection<Permission> permissions);  
    void checkPermission(String permission) throws AuthorizationException;  
    void checkPermission(Permission permission) throws AuthorizationException;  
    void checkPermissions(String... permissions) throws AuthorizationException;  
    void checkPermissions(Collection<Permission> permissions) throws AuthorizationException; 

    isPermitted*进行权限验证,验证后返回true/false;而checkPermission*验证失败时抛出AuthorizationException。

  5. 会话

    Session getSession(); //相当于getSession(true)  
    Session getSession(boolean create); 

    类似于Web中的会话。如果登录成功就相当于建立了会话,接着可以使用getSession获取;如果create=false如果没有会话将返回null,而create=true如果没有会话会强制创建一个。

  6. 退出

    void logout();
  7. RunAs

    void runAs(PrincipalCollection principals) throws NullPointerException, IllegalStateException;
    boolean isRunAs();
    PrincipalCollection getPreviousPrincipals();
    PrincipalCollection releaseRunAs();

    RunAs即实现“允许A假设为B身份进行访问”;通过调用subject.runAs(b)进行访问;接着调用subject.getPrincipals将获取到B的身份;此时调用isRunAs将返回true;而a的身份需要通过subject. getPreviousPrincipals获取;如果不需要RunAs了调用subject. releaseRunAs即可。

  8. 多线程

    <V> V execute(Callable<V> callable) throws ExecutionException;
    void execute(Runnable runnable);
    <V> Callable<V> associateWith(Callable<V> callable);
    Runnable associateWith(Runnable runnable);

    实现线程之间的Subject传播,因为Subject是线程绑定的;因此在多线程执行中需要传播到相应的线程才能获取到相应的Subject。最简单的办法就是通过execute(runnable/callable实例)直接调用;或者通过associateWith(runnable/callable实例)得到一个包装后的实例;它们都是通过:1、把当前线程的Subject绑定过去;2、在线程执行结束后自动释放。

Subject自己不会实现相应的身份验证/授权逻辑,而是通过DelegatingSubject委托给SecurityManager实现;及可以理解为Subject是一个面门。

对于Subject的构建一般没必要我们去创建;一般通过SecurityUtils.getSubject()获取:

public static Subject getSubject() {  
    Subject subject = ThreadContext.getSubject();  
    if (subject == null) {  
        subject = (new Subject.Builder()).buildSubject();  
        ThreadContext.bind(subject);  
    }  
    return subject;  
}  

即首先查看当前线程是否绑定了Subject,如果没有通过Subject.Builder构建一个然后绑定到现场返回。如果想自定义创建,可以通过:

new Subject.Builder().principals(身份).authenticated(true/false).buildSubject()

这种可以创建相应的Subject实例了,然后自己绑定到线程即可。在new Builder()时如果没有传入SecurityManager,自动调用SecurityUtils.getSecurityManager获取;也可以自己传入一个实例。

对于Subject我们一般这么使用:

  1. 身份验证(login)
  2. 授权(hasRole*/isPermitted*或checkRole*/checkPermission*)
  3. 将相应的数据存储到会话(Session)
  4. 切换身份(RunAs)/多线程身份传播
  5. 退出

而我们必须的功能就是1、2、5。到目前为止我们就可以使用Shiro进行应用程序的安全控制了,但是还是缺少如对Web验证、Java方法验证等的一些简化实现。  

本文源代码下载链接:http://pan.baidu.com/s/1eSCCt7k 密码:czvl

Shiro Realm的关联对象

: » Shiro Realm的关联对象

原创文章,作者:jamestackk,如若转载,请注明出处:https://blog.ytso.com/tech/java/251549.html

(0)
上一篇 2022年5月3日 05:00
下一篇 2022年5月3日 05:05

相关推荐

发表回复

登录后才能评论