通过shiro教程1，我们了解到仅仅在ini文件中定义数据源信息与实际开发环境存在较大的不兼容性，因此我们希望能够自定义realm。

实现自定义Realm的步骤如下：

1. 创建自定义Realm的Java类：新建一个Java文件，继承AuthorizingRealm类，并重写两个抽象方法。

/**
 * 自定义的Realm
 * @author dengp
 */
public class MyRealm extends AuthorizingRealm {
/**
 * 认证方法
 * @param token 就是我们在测试代码中定义的UsernamePasswordToken对象
 * 有我们保存的需要验证的账号密码信息
 */
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    // 获取账号信息
    String principal = (String) token.getPrincipal();

    // 正常逻辑此处应该根据账号去数据库中查询，此处我们默认账号为 root 密码123456
    // 验证账号
    if(!"root".equals(principal)){
        // 账号错误
        return null;
    }

    String pwd = "123456";

    // 验证密码
    AuthenticationInfo info = new SimpleAuthenticationInfo(principal, pwd, "myrealm");
    return info;
}

/**
 * 授权方法
 */
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    // TODO Auto-generated method stub
    return null;
}
}


配置ini.xml文件：
[main]
自定义 realm
customRealm=com.dpb.realm.MyRealm
将realm设置到securityManager
securityManager.realms=$customRealm

测试：测试代码与上个案例完全相同。
@Test
public void test() {
// 1.获取SecurityManager工厂对象
Factory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
// 2.通过Factory对象获取SecurityManager对象
SecurityManager securityManager = factory.getInstance();

// 3.将SecurityManager对象添加到当前运行环境中
SecurityUtils.setSecurityManager(securityManager);

// 4.获取Subject对象
Subject subject = SecurityUtils.getSubject();

AuthenticationToken token = new UsernamePasswordToken("root1", "12345");

// 登录操作
try {
    subject.login(token);
} catch (UnknownAccountException e) {
    System.out.println("账号出错...");
} catch(IncorrectCredentialsException e){
    System.out.println("密码出错...");
}

// 获取登录的状态
System.out.println(subject.isAuthenticated());
}

原理分析：
为什么要继承AuthorizingRealm？
在上个教程中，我们完整地分析了认证的流程，发现认证过程的核心代码是：

							

								
								

									点创DOidea网上书店
									
一套专业的网上书店程序，可以作为新华书店及大中型书店网上销售的首选，满足在线支付及汇款确认机制。功能简介：图书分类、查询、排行、最新、特价、关注排行、销售排行，新闻系统、汇款确认机制、求购书籍、在线咨询、热门图书定义、全站广告后台管理、后台采用WEBEDIT编辑器、集成"支付宝"在线支付等...v3.5版特殊功能说明（前台）:1.自带5种风格主题。2.友好的页面提示（对网站全部
								
								下载 
							
						

核心方法是doGetAuthenticationInfo(token)，在Realm的结构中：

AuthorizingRealm和AuthenticatingRealm都提供了doGetAuthenticationInfo(token)的抽象方法。但是AuthenticatingRealm中需要重写的抽象方法太多，而AuthorizingRealm只需要重写两个方法，且这两个方法都是我们需要使用的。因此选择继承AuthorizingRealm。
自定义的Realm什么时候被调用？

密码验证什么时候执行？
注意：自定义Realm中只完成了账号的认证。密码认证还是在AuthenticatingRealm中完成的，只是我们在自定义Realm中完成了密码的设置。