shiro框架---shiro配置用户名和密码的注意

最新推荐文章于 2024-01-29 10:26:01 发布
最新推荐文章于 2024-01-29 10:26:01 发布
阅读量7.6k 收藏 13
点赞数 3
分类专栏: shiro 文章标签: shiro 密码加密 暗文
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wohaqiyi/article/details/79337981
版权

接上一篇文章shiro框架—shiro配置介绍(二)
  项目已分享到GitHub上,如果需要的可以看下,springboot+shiro项目Git下载地址
  关于上一篇中,写出了关于shiro在springboot项目的配置步骤,还有几个简单的注意点没有说到。

1、用户名保证唯一性

  这个应该很容易理解,对于一个系统来说,用户名是唯一的,不可重复,如果我们在注册用户时,比如随便起了一个用户名doudouchong 这样的用户。合理的方式是,在输入注册用户名后,页面应该马上调用一个接口,即查询当前用户名是否占用,如果占用应该提示已注册。在这样的前提下,就能保证用户名的唯一了。

2、密码入库要用暗文

  在注册用户时,比如我们将注册的用户doudouchong 密码为123 ,这样的信息保存到数据库用户表中,但是合理的情况下,你不能把这个密码明文123 保存到数据库中,你应该把暗文保存到数据库中,密码加密后的暗文,可以有多种方法来做到,比如我们项目中是用的下边的这个类:

package microservice.fpzj.core.util;

import org.apache.shiro.crypto.hash.SimpleHash;
import org.apache.shiro.util.ByteSource;

public class PasswordUtil {
    private String algorithmName = "md5";   //指定散列算法为MD5,还有别的算法如:SHA256、SHA1、SHA512
    private int hashIterations = 2;     //散列迭代次数 md5(md5(pwd)): new Md5Hash(pwd, salt, 2).toString()
    public void setAlgorithmName(String algorithmName) {
        this.algorithmName = algorithmName;
    }
    public void setHashIterations(int hashIterations) {
        this.hashIterations = hashIterations;
    }
    //加密:输入明文得到密文
    public String encodePassword(String pwd, String salt) {
        //user.setSalt(randomNumberGenerator.nextBytes().toHex());
        String newPassword = new SimpleHash(
                algorithmName,
                pwd,
                ByteSource.Util.bytes(salt),
                hashIterations).toHex();

        return newPassword;
    } 
    public boolean verifyPassword(String targetPassword, String pwd, String salt){
         String newPassword = this.encodePassword(targetPassword, salt);
         if(newPassword.equals(pwd)){
             return true;
         }else{
             return false;
         }
    }

}

  以上的 encodePassword 方法,即是加密密码明文的方法,该方法的参数除了明文密码,还有salt ,这个是盐,通过这个盐,可以对密码进一步加密,而这个盐,这里其实使用的是userid ,是通过UUID 获取的一个随机的字符串,作为用户表记录主键userid 的值,然后它们两个通过encodePassword 方法生成密码暗文,大体意思如下图所示:
这里写图片描述
通过传入123 和生成的uuidd9970477fb2349b984b1c98b8e559a91 两个参数,调用encodePassword 方法,即生成了密码暗文b7331bcddf29abef3a079ea0cb678f0e ,然后将该暗文作为用户表中的密码值存储到用户表中即可。

3、密码验证的逻辑

  由于密码存入到用户表中是暗文,所以在验证中,不要忘记首先将用户输入的密码123 转换成暗文,然后再雨数据库用户表中存储的密码值进行比较。方法也是调用第二步中的encodePassword ,但是因为这个方法还需要盐,即salt ,而这个salt 值又来自于用户表中当前用户名的主键userid值,所以,还要根据用户名查询到用户对象,取出userid 值,作为salt ,然后调用encodePassword 方法,这样才能转换成真正的密码暗文,如果salt 不对,生成的密码暗文肯定是不对的。

下一篇shiro框架—关于用户登录退出接口的介绍
茁壮成长的凌大大
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
单点登录sso-shiro-cas-maven
10-19
# sso-shiro-cas spring下使用shiro+cas配置单点登录,多个系统之间的访问,每次只需要登录一次 ## 系统模块说明 1. cas: 单点登录模块,这里直接拿的是cas的项目改了点样式而已 2. doc: 文档目录,里面有数据库生成语句,采用的是MySQL5.0,数据库名为db_test 3. spring-node-1: 应用1 4. spring-node-2: 应用2 其中node1跟node2都是采用spring + springMVC + mybatis 框架,使用maven做项目管理 ## cas集成说明 1.首先采用的是查数据库的方式来校验用户身份的,在cas/WEB-INF/deployerConfigContext.xml中第135行构建了这个类型 ``` xml ``` 其中QueryDatabaseAuthenticationHandler这个类是自定义构建的,在cas/WEB-INF/lib/cas-jdbc-1.0.0.jar里面,有兴趣的同学可以发编译看下,关于几个属性的说明 1. dataSource: 数据源,配置MySQL的连接信息 2. passwordEncoder: 加密方式,这里用的是MD5 3. sql: sql查询语句,这个语句就是根据用户输入的账号查询其密码 #### 以上就是单点登录管理的主要配置 ## 应用系统的配置node1 1. 应用系统采用shiro做权限控制,并且跟cas集成 2. 在/spring-node-1/src/main/resources/conf/shiro.properties 文件中 ``` properties shiro.loginUrl=http://127.0.0.1:8080/cas/login?service=http://127.0.0.1:8081/node1/shiro-cas shiro.logoutUrl=http://127.0.0.1:8080/cas/logout?service=http://127.0.0.1:8081/node1/shiro-cas shiro.cas.serverUrlPrefix=http://127.0.0.1:8080/cas shiro.cas.service=http://127.0.0.1:8081/node1/shiro-cas shiro.failureUrl=/users/loginSuccess shiro.successUrl=/users/loginSuccess ``` 其中shiro.loginUrl 跟 shiro.logoutUrl的前面是cas验证的地址,后面的是我们应用系统的地址,这样配置的方式是为了在访问我们的应用系统的时候,先到cas进行验证,如果验证成功了,cas将重定向到shiro.successUrl 所表示的地址 3.在/spring-node-1/src/main/resources/conf/shiro.xml 文件中 ``` xml /shiro-cas = casFilter /logout = logoutFilter /users/** = user ``` > 其中shiroFilter这个类主要用于需要拦截的url请求,需要注意的是这个是shiro的拦截,我们还需要配置cas的过滤配置casFilter > casRealm这个类是需要我们自己实现的,主要用于shiro的权限验证,里面的属性说明如下 1. defaultRoles: 默认的角色 2. casServerUrlPrefix: cas地址 3. casService: 系统应用地址 最后我们还需要在/spring-node-1/src/main/webapp/WEB-INF/web.xml 文件中配置相关的过滤器拦截全部请求 ``` xml shiroFilter org.springframework.web.filter.DelegatingFilterProxy targetFilterLifecycle true shiroFilter /* ``` ## 系统运行 1. 端口说明,cas:8080,node1:8081,node2:8082,大家可以采用maven提供的tomcat7插件,配置如下: ``` xml org.apache.tomcat.maven tomcat7-maven-plugin 2.1 8081 UTF-8 tomcat7 /node1 ``` 这样的配置,我们甚至都不需要配置tomcat服务器了,建议这种方式 2.各个模块的访问地址 > cas:http://127.0.0.1:8080/cas > node1:http://127.0.0.1:8081/node1 > node2:http://127.0.0.1:8082/node2 3.访问系统 > 输入 http://127.0.0.1:8081/node1/shiro-cas ,进入cas验证 > 输入用户名 admin,密码 admin@2015,验证成功后将会重定向到http://127.0.0.1:8081/node1//users/loginSuccess ,也就是node1系统的主页,里面的节点2代表的是node2系统的主页,你会发现我们不需要登录到node2系统就能访问其中的系统了
icecloud-manager:springboot ,shiro, freemarker, mybatis, mysql 权限管理框架
05-09
icecloud-manager spring-boot ,shiro, freemarker, mybatis, mysql 权限管理框架 用户名/密码 admin/123456 一、 技术栈 spring-boot shiro (权限控制到按钮级别) mybatis
若依框架springcloud账号密码登陆实现流程
最新发布
gjg___gg的博客
01-29 760
若依框架账号密码登陆实现流程
shiro前端传参到后端验证
阿拉斯加大闸蟹的博客
03-14 2607
https://github.com/singgel?tab=repositories UsernamePasswordAuthenticationToken继承AbstractAuthenticationToken实现Authentication所以当在页面中输入用户名密码之后首先会进入到UsernamePasswordAuthenticationToken验证(Authentication...
shiro框架密码校验进阶(四)多登陆方式实现思路
阿沐沐的博客
05-18 585
前面的内容在这里 shiro框架的简单介绍以及使用(一) shiro框架密码校验(二) shiro框架的权限设定(三) 这篇博客是根据前面几篇的代码来进行进阶的,循序渐进嘛 一、进阶背景 虽然我第二篇写了密码校验,但是那完全不够的,那个只是入门shiro,只是简单的了解一下流程。 我们的都知道嗷,在开发环境下的登录模块,一般都是有三方登录的。 例如说CSDN的登录它就有QQ登陆、APP登陆、微信登陆、短信登陆、账号密码登陆等等各种登陆方式。 如果开发环境下使用以我第二篇讲的那种方式实现登陆,那我只能说白给
Shiro用户名密码或手机号短信登录(多realm认证)
热门推荐
张育嘉的博客
09-13 1万+
登录认证中,经常需要实现用户名密码和手机号验证码这两种登录方式。 最近学了Shiro,所以在这里记录下。 用户名密码使用的令牌自然是UsernamePasswordToken,我们可以继承UsernamePasswordToken,再添加上手机号属性,在不同的控制器中传入Token,然后由Realm判断当前的Token属于UsernamePasswordToken还是UsernamePa...
SpringBoot整合Shiro用户名密码登录
asdfadafd的博客
04-26 1400
SpringBoot整合Shiro用户名密码登录 首先 使用Shiro 我们要大致了解清楚 什么是Shiro?它能帮我们实现什么功能? 根据官方文档介绍:Shiro 是一个功能强大且易于使用的Java安全框架,可以实现 身份验证、授权、加密和会话管理功能。 那么今天 我这里就主要 实现以下 身份验证功能,也就是用户登录啦。 1.数据库 这里提供一个简单 user表SQL CREATE TABLE `ums_user` ( `id` bigint(20) NOT NULL AUTO_INCREMEN
配置Shiro中所遇到的各种拓展知识点笔记
m0_51672985的博客
04-09 922
一:关键词 1:Subject:当前用户 2:UsernamePasswordToken:通常情况是使用username与password来创建token(令牌) username也叫作身份:principals password叫作:credentials 3:SecurityManager:所有的Subject交付给它管理,进行认证与授权 4:Realm:用户自定义,认证授权逻辑编写 5:AuthenticationInfo:用户的角色信息集合,认证时使用 6:Ath...
【笔记】03.Shiro实现认证
Gu_jiaguaren的博客
04-12 132
03Shiro实现认证 1.基本概念 1.身份验证 即在应用中谁能证明他就是他本人。一般提供如他们的身份ID一些标识信息来证明他就是他本人,如提供身份证,用户名/密码来证明 在shiro中, 用户需要提供principals(身份)和credentials(证明即密码)给shiro,从而应用能验证用户身份。 2.principals 身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。 一个主体可以有多个principals,但只有一个Primary principals,一般是用户名
shiro 字段不是username 和password_Shiro--->01
weixin_42299645的博客
01-25 224
什么是ShiroApache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。架构图-Shiro外部Subject,理解为当前用户的安全操作 ShiroSecurityManager,Shiro框架的核心。安全管理器,所有与安全有关系的操作,都会...
前台密码加密传输shiro源码解析
m0_54883970的博客
08-28 173
shiro密码比对的关键代码,token里面包含信息是前台的密码用户名
express-ssm:快递代拿系统,SSM框架的最佳实践
01-31
使用技术采用Spring + SpringMVC + MyBatisPlus,连接池采用Druid,安全框架使用Shiro,前端采用Bootstrap + layer实现。支付采用支付宝沙箱环境,支付APP下载链接,。支付: 登录密码,支付密码:111111注意:请...
Shiro权限管理框架详解
01-27
最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡...
shiro使用
Tt1814964226的博客
07-21 525
shiro使用
Shiro安全框架(一)
daliucheng的博客
06-26 769
1. 是什么 apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的 API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 Apache Shiro 的首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但它没有必要这样。框架 应该尽可能掩盖复杂的地方,露出一个干净而直观的 API,来简化开发人员在使他们的应用程序安全上的努力。以 下是可以用 Apache Shiro 所做的事情: 验证用户
快速入门Shiro
JunDong的博客
06-01 1199
讲解结合案例,Shiro入门,看这篇就够了。
shiro相关参数解释
qq_46199553的博客
09-20 924
UsernamePasswordToken 在shrio中,AuthenticationToken用于存储前端传来的登录信息,通俗来说就是用户名密码等。而在这之中比较常用的就是UsernamePasswordToken。 UsernamePasswordToken是一个简单的包含username及password即用户名密码登录验证用token,这个类同时继承了HostAuthenticationToken及RememberMeAuthenticationToken,UsernamePasswordT
登录模块的设计思路
m0_67116856的博客
02-20 5794
登录(注册)方式 现在各大网站常用的三种登录(注册)方式主要有三种:账号密码登录,验证码登录和第三方账号登录。 1.账号密码登录 用户输入账号和密码,点击“登录”按钮进行的登录密码因为保密不能用明文传输,但初次登录又不知道数据库存放的当前用户的密码,可以用RSA算法对传送的密码进行加密。 RAS算法是一种非对称的加密算法。当客户端向服务器端发送请求时,服务器端把RAS公钥发送到客户端,同时服务端保存私钥。当用户登录时,客户端用获取到的公钥对密码加密,然后传送到服务端。服务端接收到后,再用私钥进行解
shiro-core-1.8.0.jar
05-15
shiro-core-1.8.0.jar是Apache Shiro框架的一个核心JAR包,用于提供Java应用程序的安全性、身份认证和授权功能。Apache Shiro是一款灵活的、易于使用的开源安全框架,它可以用于任何Java应用程序,包括Web、企业、移动和桌面应用程序。Shiro框架可以处理常见的安全问题,例如用户身份验证、角色和权限管理、密码保护、会话管理和单点登录等。Shiro框架使用简单,可以通过配置文件或编程方式完成配置,并且可以与Spring等其他Java框架集成使用。 Shiro-core-1.8.0.jar作为Shiro框架的核心JAR包提供了许多重要的功能,例如:提供一组安全对象模型(Subject,Session,Permission和Role)和API,支持多种身份验证机制(如常规的用户名/密码验证、JWT验证等),支持使用多种数据源存储身份验证信息(例如:关系型数据库、LDAP、NoSQL数据库等),以及提供了集成Spring等其他Java框架的支持。 总体而言,shiro-core-1.8.0.jar是Shiro框架的不可或缺的一部分,它提供了许多关键的安全功能,在Java应用程序中起到了至关重要的作用。无论是开发新应用程序还是更新旧应用程序,都可以考虑使用Shiro框架shiro-core-1.8.0.jar来保护应用程序的安全性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

茁壮成长的凌大大

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值