需要覆盖或实现什么 class 或方法才能仅自定义 Shiro 的身份验证逻辑?

What class or method needs to be overridden or implemented to customize only the authenticate logic for Shiro?

我已经能够使用 Shiro 实现基本身份验证。我现在想编写自定义逻辑来仅实现流程的身份验证步骤,即,当提供用户凭据时,凭据是否有效(如果这两个逻辑在框架)。我需要重写哪些 class(s)/method(s) 才能启用此功能?我假设我会创建一个自定义实现来替换 org.apache.shiro.web.servlet.ShiroFilter 但我不确定 class 层次结构中的哪些方法需要 modified/overwritten.

我的 shiro.ini 文件如下所示:

# ---
#
# ini file for shiro
#
# ---

[main]
# authc.usernameParam = uid
# authc.passwordParam = pwd
# authc.failureKeyAttribute = shiroLoginFailure

[users]
admin = admin, ROLE_ADMIN

[roles]
ROLE_ADMIN = *

[urls]
/app/** = authcBasic

我的 web.xml 的相关部分如下所示:

<!-- 
*
* shiro stuff
*
-->

<listener>
    <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
</listener>

<filter>
    <filter-name>ShiroFilter</filter-name>
    <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
</filter>

<filter-mapping>
    <filter-name>ShiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
    <dispatcher>REQUEST</dispatcher>
    <dispatcher>FORWARD</dispatcher>
    <dispatcher>INCLUDE</dispatcher>
    <dispatcher>ERROR</dispatcher>
</filter-mapping>

完整的实现可在此处获得:

https://github.com/NACHC-CAD/web-security-example

这里是基本身份验证:

https://github.com/NACHC-CAD/web-security-example/releases/tag/v1.0.0

您要定义自定义 Realmhttps://shiro.apache.org/realm.html

具体来说,您可能想要扩展 org.apache.shiro.realm. AuthorizingRealm 并实现 doGetAuthenticationInfodoGetAuthorizationInfo 方法。