Shiro 权限管理入门之认证与授权，java面试手册pdf

shiro-core

1.5.3

引入 shiro.ini 配置文件并添加如下配置：

zhenyu=123

zhangsan=456

编写进行认证的代码：

public class TestAuthenticator {

public static void main(String[] args) {

// 创建安全管理器对象

DefaultSecurityManager securityManager = new DefaultSecurityManager();

// 给安全管理器设置realm, 从配置文件中获取数据

securityManager.setRealm(new IniRealm(“classpath:shiro.ini”));

// 给全局安全工具类设置默认安全管理器

SecurityUtils.setSecurityManager(securityManager);

// 获取主体对象

Subject subject = SecurityUtils.getSubject();

// 创建token令牌

UsernamePasswordToken token = new UsernamePasswordToken(“zhenyu”, “123”);

try {

// 用户登录

System.out.println(“认证状态:” + subject.isAuthenticated());

subject.login(token);

System.out.println(“认证状态:” + subject.isAuthenticated());

} catch (UnknownAccountException e) { // 用户名不存在异常

e.printStackTrace();

System.out.println(“认证失败: 用户名不存在!”);

} catch (IncorrectCredentialsException e) { // 密码错误异常

e.printStackTrace();

System.out.println(“认证失败: 密码错误!”);

}

}

}

• DisabledAccountException（帐号被禁用）

• LockedAccountException（帐号被锁定）

• ExcessiveAttemptsException（登录失败次数过多）

• ExpiredCredentialsException（凭证过期）

• …

自定义 Realm

---

SimpleAccountRealm

上边的程序使用的是 Shiro 自带的 IniRealm，IniRealm 从 ini配置文件 中读取用户的信息，实际中大部分情况下需要从系统的数据库中读取用户信息，所以需要自定义 Realm。

Shiro 提供过的 Realm：

根据认证源码，认证使用的是 SimpleAccountRealm：

SimpleAccountRealm 的部分源码中有两个方法一个是 认证，一个是 授权;

认证方法 doGetAuthenticationInfo：

开发自定义 Realm

自定义 Realm，编写一个 CustomerRealm：

/**

• 自定义realm实现 将认证|授权数据的来源转为数据库的实现

*/

public class CustomerRealm extends AuthorizingRealm {

// 授权方法

@Override

protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

return null;

}

// 认证方法

@Override

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

// 在token中获取用户名

String principal = (String) token.getPrincipal();

System.out.println(principal);

// 根据身份信息连接数据库查询相关数据库

if (“zhenyu”.equals(principal)) {

// 参数1:返回数据库中正确的用户名

// 参数2:返回数据库中正确密码

// 参数3:提供当前realm的名字 this.getName();

return new SimpleAuthenticationInfo(principal, “123”, this.getName());

}

return null;

}

}

使用自定义 Realm 进行认证：

/**

• 使用自定义realm

*/

public class TestCustomerRealmAuthenticator {

public static void main(String[] args) {

// 创建securityManager

DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();

// 设置自定义realm

defaultSecurityManager.setRealm(new CustomerRealm());

// 给全局安全工具类设置默认安全管理器

SecurityUtils.setSecurityManager(defaultSecurityManager);

// 通过安全工具类获取subject

Subject subject = SecurityUtils.getSubject();

// 创建token

UsernamePasswordToken token = new UsernamePasswordToken(“zhenyu”, “123”);

try {

subject.login(token);

System.out.println("认证状态: " + subject.isAuthenticated());

} catch (UnknownAccountException e) {

e.printStackTrace();

System.out.println(“用户名错误!”);

} catch (IncorrectCredentialsException e) {

e.printStackTrace();

System.out.println(“密码错误!”);

}

}

}

MD5 和 Salt

---

实际应用是将 盐 和 散列后的值 存在数据库中，Realm 从数据库取出盐和加密后的值由 Shiro 完成密码校验。

Md5Hsah 类的简单使用：

public class TestShiroMD5 {

public static void main(String[] args) {

// 使用 MD5

Md5Hash md5Hash = new Md5Hash(“1234”);

System.out.println(md5Hash.toHex());

// 81dc9bdb52d04dc20036dbd8313ed055

// 使用 Md5 + salt

Md5Hash md5Hash1 = new Md5Hash(“1234”, “X0*7ps”);

System.out.println(md5Hash1);

// 6029a2a0be49f2d4f21941c8ae2cea0c

// 使用 Md5 + salt + hash 散列

Md5Hash md5Hash2 = new Md5Hash(“1234”, “X0*7ps”, 1024);

System.out.println(md5Hash2.toHex());

// 67cdf0cac7bdd508f560ef7965e8934c

}

}

自定义 md5 + salt 的 Realm 并验证

自定义 Realm 类：

/**

• 自定义md5+salt realm

*/

public class CustomerMd5Realm extends AuthorizingRealm {

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数Java工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则几千的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Java开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Java开发知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加V获取：vip1024b （备注Java）

最后

Java架构学习技术内容包含有：Spring，Dubbo，MyBatis, RPC, 源码分析，高并发、高性能、分布式,性能优化，微服务 高级架构开发等等。

还有Java核心知识点+全套架构师学习资料和视频+一线大厂面试宝典+面试简历模板可以领取+阿里美团网易腾讯小米爱奇艺快手哔哩哔哩面试题+Spring源码合集+Java架构实战电子书+2021年最新大厂面试题。

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

构学习技术内容包含有：Spring，Dubbo，MyBatis, RPC, 源码分析，高并发、高性能、分布式,性能优化，微服务 高级架构开发等等。

还有Java核心知识点+全套架构师学习资料和视频+一线大厂面试宝典+面试简历模板可以领取+阿里美团网易腾讯小米爱奇艺快手哔哩哔哩面试题+Spring源码合集+Java架构实战电子书+2021年最新大厂面试题。
[外链图片转存中…(img-Klwtfwgo-1712665754468)]

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-lS5HBzQ0-1712665754469)]