Shiro【自定义Realm 、多Realm认证、多Realm认证策略、异常处理】(四)-全面详解（学习总结---从入门到深化）

以你之姓@ 2023-10-13 15:45 12阅读 0赞

## ![72ae00e64b2942cf9748b6589806e619.gif][] ##

![c7fb3619f47b415fa3d4f76d80561711.png][]

**目录**

Shiro认证\_自定义Realm

Shiro认证\_多Realm认证

Shiro认证\_多Realm认证策略

Shiro认证\_异常处理

--------------------

## Shiro认证\_自定义Realm ##

![7572e4d47b424bbdabb0f8ce5199719f.png][]

使用 JdbcRealm 认证时，数据库表名、字段名、认证逻辑都不能改变， 我们可以自定义Realm进行更灵活的认证。

> **1、准备数据表**
> 
>     CREATE TABLE `users`  (
>       `uid` int(11) NOT NULL AUTO_INCREMENT,
>       `username` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
>       `password` varchar(255) CHARACTER SET
>     utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
>       PRIMARY KEY (`uid`) USING BTREE
>     ) ENGINE = InnoDB CHARACTER SET = utf8
>     COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
>     INSERT INTO `users` VALUES (1, 'bizan','123');
> 
> **2、编写实体类**
> 
>     @Data
>     public class Users {
>         private Integer uid;
>         private String username;
>         private String password;
>     }
> 
> **3、编写mapper接口**
> 
>     public interface UsersMapper extends BaseMapper<Users> { }
> 
> **4、在启动类加载mapper接口**
> 
>     @SpringBootApplication
>     @MapperScan("com.tong.myshiro1.mapper")
>     public class Myshiro1Application {
>         public static void main(String[] args)
>        {
>           SpringApplication.run(Myshiro1Application.class, args);
>        }
>     }
> 
> **5、编写自定义Realm类**
> 
>     public class MyRealm extends
>     AuthorizingRealm {
>         @Autowired
>         private UserInfoMapper userInfoMapper;
>         // 自定义认证方法
>         @Override
>         protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
>             // 1.获取用户输入的用户名
>             UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
>             String username = token.getUsername();
>             // 2.根据用户名查询用户
>             QueryWrapper<Users> wrapper = new QueryWrapper<Users>().eq("username",username);
>             Users users = usersMapper.selectOne(wrapper);
>             // 3.将查询到的用户封装为认证信息
>             if (users == null) {
>                 throw new UnknownAccountException("账户不存在");
>            }
>             /**
>              * 参数1：用户
>              * 参数2：密码
>              * 参数3：Realm名
>              */
>             return new SimpleAuthenticationInfo(users,users.getPassword(),"myRealm");
>        }
>         // 自定义授权方法
>         @Override
>         protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
>             return null;
>        }
>     }
> 
> **6、将自定义Realm放入SecurityManager对象中**
> 
>     @Configuration
>     public class ShiroConfig {
>         // 自定义Realm
>         @Bean
>         public MyRealm myRealm(){
>             return new MyRealm();
>        }
>         
>         // SecurityManager对象
>         @Bean
>         public DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm myRealm){
>             DefaultWebSecurityManager defaultSecurityManager=new DefaultWebSecurityManager();
>             // 自定义Realm放入SecurityManager中
>            defaultSecurityManager.setRealm(myRealm);
>            return defaultSecurityManager;
>        }
>     }
> 
> **7、无需修改Service和Controller** 
> 
> **8、启动项目，访问登录页http://localhost/login，测试登录功能。**

#  #

## Shiro认证\_多Realm认证 ##

![555931abae6a49afa8869d422f8d5fce.png][]

>  **在实际开发中，我们的认证逻辑可能不止一种，例如：**
> 
> 1、系统支持用户名密码认证，也支持扫描二维码认证；
> 
> 2、在系统中有管理员和普通用户两张表，管理员和普通用户的认证逻辑是不一样的；
> 
> 3、用户数据量庞大，分别存在不同的数据库中，认证时需要连接多个数据源。

以上情况都需要配置多个Realm进行认证，我们以第二种情况举 例，讲解Shiro中多Realm认证的写法：

> **1、在数据库创建admin表**
> 
>     CREATE TABLE `admin`  (
>       `id` int(11) NOT NULL,
>       `name` varchar(255) CHARACTER SET utf8
>     COLLATE utf8_general_ci NULL DEFAULT NULL,
>       `password` varchar(255) CHARACTER SET
>     utf8 COLLATE utf8_general_ci NULL DEFAULT
>     NULL,
>       PRIMARY KEY (`id`) USING BTREE
>     ) ENGINE = InnoDB CHARACTER SET = utf8
>     COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
>     INSERT INTO `admin` VALUES (1, 'bizan','123');
>     INSERT INTO `admin` VALUES (2, 'xtzb','456');
> 
> **2、创建Admin实体类和AdminMapper接口**
> 
>     @Data
>     public class Admin {
>         private Integer id;
>         private String name;
>         private String password;
>     }
>     public interface AdminMapper extends BaseMapper<Admin> {}
> 
> **3、MyRealm 认证User用户， MyRealm2 认证Admin用户**
> 
>     public class MyRealm2 extends AuthorizingRealm {
>     @Autowired
>         private AdminMapper adminMapper;
>         // 自定义认证方法
>         @Override
>         protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
>             // 1.获取输入的管理员名
>             UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
>             String username = token.getUsername();
>             // 2.根据管理员名查询管理员
>             QueryWrapper<Admin> wrapper = new QueryWrapper<Admin>().eq("name",username);
>             Admin admin =adminMapper.selectOne(wrapper);
>             // 3.将查询到的管理员封装为认证信息
>             if (admin == null) {
>                 throw new UnknownAccountException("账户不存在");
>            }
>             /**
>              * 参数1：管理员
>              * 参数2：密码
>              * 参数3：Realm名
>              */
>             return new SimpleAuthenticationInfo(admin,
>                     admin.getPassword(),
>                     "myRealm2");
>        }
>         // 自定义授权方法
>         @Override
>         protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
>             return null;
>        }
>     }
> 
> **4、在SecurityManager中配置Realm**
> 
>     // Realm
>     @Bean
>     public MyRealm getMyRealm() {
>         return new MyRealm();
>     }
>     @Bean
>     public MyRealm2 getMyRealm2() {
>         return new MyRealm2();
>     }
>     // SecurityManager对象
>     @Bean
>     public DefaultWebSecurityManager
>     getDefaultWebSecurityManager(MyRealm realm, MyRealm2 realm2){
>         DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager();
>         // Realm放入SecurityManager中
>         List<Realm> realms = new ArrayList();
>         realms.add(realm);
>         realms.add(realm2);
>         defaultSecurityManager.setRealms(realms);
>         return defaultSecurityManager;
>     }
> 
> **5、使用 bizan：123 和 xtzb：456 测试认证效果**

#  #

## Shiro认证\_多Realm认证策略 ##

![750bbd4f89354f75b2cb9668c8ffe273.png][]

如果有多个Realm，怎样才能认证成功，这就是认证策略。认证策 略主要使用的是 **AuthenticationStrategy** 接口，这个接口有三个实现类：

![81d0bdbc71d44be386b0c0e7318e218f.png][]

// Realm管理者
    @Bean
    public ModularRealmAuthenticator modularRealmAuthenticator(){
        ModularRealmAuthenticator modularRealmAuthenticator = new ModularRealmAuthenticator();
        //设置认证策略
        modularRealmAuthenticator.setAuthenticationStrategy(new AtLeastOneSuccessfulStrategy());
        return modularRealmAuthenticator;
    }
    // SecurityManager对象
    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm realm,MyRealm2 realm2){
        DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager();
        // 设置Realm管理者（需要在设置Realm之前）
        defaultSecurityManager.setAuthenticator(modularRealmAuthenticator());
        List<Realm> realms = new ArrayList();
        realms.add(realm);
        realms.add(realm2);
        defaultSecurityManager.setRealms(realms);
        return defaultSecurityManager;
    }

在 **ModularRealmAuthenticator** 中的 **doMultiRealmAuthentication** 方法中添加断点可以 查看认证通过信息。

#  #

## Shiro认证\_异常处理 ##

![1836cb6585d94d64a15cc5bf30f0c639.png][]

当Shiro认证失败后，会抛出 **AuthorizationException** 异常。该异常的子类分 别代表不同的认证失败原因，我们可以通过捕捉它们确定认证失败原因。

> 1、**DisabledAccountException：**账户失效
> 
> 2、**ConcurrentAccessException：**竞争次数过多
> 
> 3、**ExcessiveAttemptsException：**尝试次数过多
> 
> 4、**UnknownAccountException：**用户名不正确
> 
> 5、**IncorrectCredentialsException：**凭证（密码）不正确
> 
> 6、**ExpiredCredentialsException：**凭证过期

我们一般在Controller中处理认证异常：

@RequestMapping("/user/login2")
    public String login(String username, String password) {
        try {
            usersService.userLogin(username, password);
            return "main";
       } catch (DisabledAccountException e) {
            System.out.println("账户失效");
            return "fail";
       } catch (ConcurrentAccessException e) {
            System.out.println("竞争次数过多");
            return "fail";
       } catch (ExcessiveAttemptsException e) {
            System.out.println("尝试次数过多");
            return "fail";
       } catch (UnknownAccountException e) {
            System.out.println("用户名不正确");
            return "fail";
       } catch (IncorrectCredentialsException e) {
            System.out.println("密码不正确");
            return "fail";
       } catch (ExpiredCredentialsException e)
    {
            System.out.println("凭证过期");
            return "fail";
       }
    }

> 注： 如果将异常信息提示给用户，尽量把异常信息表示的婉转一 些。比如不管用户名还是密码错误，都提示用户名或密码错误，这样有助于提升代码的安全性。

#  #

[72ae00e64b2942cf9748b6589806e619.gif]: https://img-blog.csdnimg.cn/72ae00e64b2942cf9748b6589806e619.gif
[c7fb3619f47b415fa3d4f76d80561711.png]: https://img-blog.csdnimg.cn/c7fb3619f47b415fa3d4f76d80561711.png
[7572e4d47b424bbdabb0f8ce5199719f.png]: https://img-blog.csdnimg.cn/7572e4d47b424bbdabb0f8ce5199719f.png
[555931abae6a49afa8869d422f8d5fce.png]: https://img-blog.csdnimg.cn/555931abae6a49afa8869d422f8d5fce.png
[750bbd4f89354f75b2cb9668c8ffe273.png]: https://img-blog.csdnimg.cn/750bbd4f89354f75b2cb9668c8ffe273.png
[81d0bdbc71d44be386b0c0e7318e218f.png]: https://img-blog.csdnimg.cn/81d0bdbc71d44be386b0c0e7318e218f.png
[1836cb6585d94d64a15cc5bf30f0c639.png]: https://img-blog.csdnimg.cn/1836cb6585d94d64a15cc5bf30f0c639.png