我已经能够使用 Shiro 实现基本身份验证。我现在想编写自定义逻辑来仅实现流程的身份验证步骤,即,当提供用户凭据时,凭据是否有效(如果这两个逻辑在框架)。我需要覆盖哪些类/方法才能启用此功能?我假设我会创建一个自定义实现来替换 org.apache.shiro.web.servlet.ShiroFilter,但我不确定类层次结构中的哪些方法需要修改/覆盖。
我的 shiro.ini 文件如下所示:
# ---
#
# ini file for shiro
#
# ---
[main]
# authc.usernameParam = uid
# authc.passwordParam = pwd
# authc.failureKeyAttribute = shiroLoginFailure
[users]
admin = admin, ROLE_ADMIN
[roles]
ROLE_ADMIN = *
[urls]
/app/** = authcBasic
我的 web.xml 的相关部分如下所示:
<!--
*
* shiro stuff
*
-->
<listener>
<listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
</listener>
<filter>
<filter-name>ShiroFilter</filter-name>
<filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>ShiroFilter</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>FORWARD</dispatcher>
<dispatcher>INCLUDE</dispatcher>
<dispatcher>ERROR</dispatcher>
</filter-mapping>
此处提供完整实现:
https://github.com/NACHC-CAD/web-security-example
基本身份验证在这里:
https://github.com/NACHC-CAD/web-security-example/releases/tag/v1.0.0
答案 0 :(得分:1)
您要定义自定义 Realm:https://shiro.apache.org/realm.html
具体来说,您可能希望扩展 org.apache.shiro.realm. AuthorizingRealm 并实现 doGetAuthenticationInfo 和 doGetAuthorizationInfo 方法。