Apache Shiro - sử dụng cơ sở dữ liệu để đọc người dùng, vai trò và quyền

Question

Hiện tại tôi đã có ứng dụng Swing và tôi không thể tích hợp Apache Shiro để xác thực và ủy quyền quyền đối với một số vai trò nhất định. Tôi đã quản lý để đọc những người dùng từ tệp shiro.ini mà tôi đã tạo để thử nghiệm, trông giống như sau:

[users] 
admin = 123456, Administrator 

[role] 
Administrator = *:*:* 

Tuy nhiên, đây chỉ là để thử nghiệm, bây giờ tôi cần đọc giấy phép từ một cơ sở dữ liệu vì vậy tôi đã lưu trữ trong cơ sở dữ liệu một bảng với thông tin tôi cần và có dạng như sau:

users (id,password,username) 
userRoles (userId, role) 
rolePermission (permissionID,permission,roleID) 

Tôi đã cố gắng hiểu các hướng dẫn sử dụng một lĩnh vực JDBC, tuy nhiên họ sử dụng web các ứng dụng hoặc khung công tác đặc biệt để quản lý kết nối của chúng với Cơ sở dữ liệu như Apache Derby hoặc BoneCP và chúng gây nhầm lẫn cho tôi nhiều hơn với các ví dụ these. Vì vậy, những gì tôi hỏi là làm thế nào tôi cần phải cấu hình tập tin shiro.ini nếu tôi muốn sử dụng một lĩnh vực JDBC (với một cơ sở dữ liệu Oracle) và những gì các lớp shiro.ini cần. Bất kỳ ví dụ hoặc giải thích sẽ được đánh giá cao!

Answer 1

Giao diện Realm là một thành phần an ninh

có thể truy cập bảo mật ứng dụng cụ thể thực thể như người dùng, vai trò và quyền hạn để xác định xác thực và ủy quyền hoạt động.

Bạn có thể triển khai nó để tương tác với bất kỳ nguồn nào để tìm người dùng và quyền của họ. Nếu bạn muốn tương tác với một cơ sở dữ liệu dựa trên SQL, bạn có thể làm điều đó. Nếu bạn muốn tương tác với một tập tin văn bản, bạn có thể làm điều đó. Nếu bạn muốn tương tác với một dịch vụ web, bạn cũng có thể làm điều đó.

Có hai tiện ích mở rộng hữu ích (gần như cần thiết) là Realm là AuthenticatingRealm và AuthorizingRealm. Họ cung cấp một giao diện cho các dịch vụ xác thực và ủy quyền, tương ứng. AuthorizingRealm mở rộng AuthenticatingRealm. Bạn nên mở rộng AuthorizingRealm để triển khai logic xác thực và ủy quyền của riêng bạn.

Lấy một ví dụ: Bạn có một cơ sở dữ liệu với một bảng Accounts như

username | password | role 

một bảng Permissions như

permission_id | permission_name 

và một bảng Account_Permissions

username | permission_id 

Nói cách khác, an Account có thể có một vai trò, nhưng nhiều quyền. Với JDBC, bạn có thể dễ dàng truy vấn một cơ sở dữ liệu và truy xuất tên người dùng, mật khẩu, vai trò và quyền. Việc bạn triển khai AuthorizingRealm sẽ làm điều đó và xây dựng các đối tượng được mong đợi bởi API của Shiro.

Đọc this document trên trình tự xác thực của Shiro để biết vị trí của AuthenticatingRealm.

Đối với INIfile, tùy thuộc vào cách bạn thực hiện Realm của bạn, bạn sẽ cần phải khai báo nó như

myRealm = com.company.security.shiro.YourDatabaseRealm 

có thể thiết lập một số thuộc tính

myRealm.databaseName = account_database 

Shiro cung cấp lớp JdbcRealm riêng của mình mà mở rộng AuthorizingRealm. Lớp này đưa ra một số giả định về cấu trúc cơ sở dữ liệu của bạn, nhưng bạn có thể tùy chỉnh nó.