需要重写或实现哪些类或方法才能仅自定义 Shiro 的身份验证逻辑?

Posted

技术标签:

【中文标题】需要重写或实现哪些类或方法才能仅自定义 Shiro 的身份验证逻辑?【英文标题】:What class or method needs to be overridden or implemented to customize only the authenticate logic for Shiro? 【发布时间】:2021-09-23 15:10:44 【问题描述】:

我已经能够使用 Shiro 实现基本身份验证。我现在想编写自定义逻辑来仅实现流程的身份验证步骤,即,当提供用户凭据时,凭据是否有效(如果这两个逻辑耦合在框架)。我需要覆盖哪些类/方法才能启用它?我假设我会创建一个自定义实现来替换 org.apache.shiro.web.servlet.ShiroFilter 但我不确定类层次结构中的哪些方法需要修改/覆盖。

我的 shiro.ini 文件如下所示:

# ---
#
# ini file for shiro
#
# ---

[main]
# authc.usernameParam = uid
# authc.passwordParam = pwd
# authc.failureKeyAttribute = shiroLoginFailure

[users]
admin = admin, ROLE_ADMIN

[roles]
ROLE_ADMIN = *

[urls]
/app/** = authcBasic

我的 web.xml 的相关部分如下所示:

<!-- 
*
* shiro stuff
*
-->

<listener>
    <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
</listener>

<filter>
    <filter-name>ShiroFilter</filter-name>
    <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
</filter>

<filter-mapping>
    <filter-name>ShiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
    <dispatcher>REQUEST</dispatcher>
    <dispatcher>FORWARD</dispatcher>
    <dispatcher>INCLUDE</dispatcher>
    <dispatcher>ERROR</dispatcher>
</filter-mapping>

这里有完整的实现:

https://github.com/NACHC-CAD/web-security-example

基本认证在这里:

https://github.com/NACHC-CAD/web-security-example/releases/tag/v1.0.0

【问题讨论】:

【参考方案1】:

你想定义一个自定义的Realm:https://shiro.apache.org/realm.html

具体来说,您可能想要扩展 org.apache.shiro.realm. AuthorizingRealm 并实现 doGetAuthenticationInfodoGetAuthorizationInfo 方法。

【讨论】:

以上是关于需要重写或实现哪些类或方法才能仅自定义 Shiro 的身份验证逻辑?的主要内容,如果未能解决你的问题,请参考以下文章

我如何知道哪些类从类或接口继承? [复制]

shiro自定义logout filter

设计模式之模板模式

Shiro自定义密码匹配认证

抽象类(abrstract class)与接口(interface)有何异同

系统类扩展方法,实现对所有类或某种类扩展自定义方法