org.apache.shiro
shiro-core
1.5.3
引入 shiro.ini 配置文件并添加如下配置:
zhenyu=123
zhangsan=456
编写进行认证的代码:
public class TestAuthenticator {
public static void main(String[] args) {
// 创建安全管理器对象
DefaultSecurityManager securityManager = new DefaultSecurityManager();
// 给安全管理器设置realm, 从配置文件中获取数据
securityManager.setRealm(new IniRealm(“classpath:shiro.ini”));
// 给全局安全工具类设置默认安全管理器
SecurityUtils.setSecurityManager(securityManager);
// 获取主体对象
Subject subject = SecurityUtils.getSubject();
// 创建token令牌
UsernamePasswordToken token = new UsernamePasswordToken(“zhenyu”, “123”);
try {
// 用户登录
System.out.println(“认证状态:” + subject.isAuthenticated());
subject.login(token);
System.out.println(“认证状态:” + subject.isAuthenticated());
} catch (UnknownAccountException e) { // 用户名不存在异常
e.printStackTrace();
System.out.println(“认证失败: 用户名不存在!”);
} catch (IncorrectCredentialsException e) { // 密码错误异常
e.printStackTrace();
System.out.println(“认证失败: 密码错误!”);
}
}
}
-
DisabledAccountException(帐号被禁用)
-
LockedAccountException(帐号被锁定)
-
ExcessiveAttemptsException(登录失败次数过多)
-
ExpiredCredentialsException(凭证过期)
-
…
SimpleAccountRealm
上边的程序使用的是 Shiro 自带的 IniRealm
,IniRealm
从 ini配置文件 中读取用户的信息,实际中大部分情况下需要从系统的数据库中读取用户信息,所以需要自定义 Realm。
Shiro 提供过的 Realm:
根据认证源码,认证使用的是 SimpleAccountRealm:
SimpleAccountRealm 的部分源码中有两个方法一个是 认证,一个是 授权;
认证方法 doGetAuthenticationInfo:
开发自定义 Realm
自定义 Realm,编写一个 CustomerRealm:
/**
- 自定义realm实现 将认证|授权数据的来源转为数据库的实现
*/
public class CustomerRealm extends AuthorizingRealm {
// 授权方法
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
return null;
}
// 认证方法
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
// 在token中获取用户名
String principal = (String) token.getPrincipal();
System.out.println(principal);
// 根据身份信息连接数据库查询相关数据库
if (“zhenyu”.equals(principal)) {
// 参数1:返回数据库中正确的用户名
// 参数2:返回数据库中正确密码
// 参数3:提供当前realm的名字 this.getName();
return new SimpleAuthenticationInfo(principal, “123”, this.getName());
}
return null;
}
}
使用自定义 Realm 进行认证:
/**
- 使用自定义realm
*/
public class TestCustomerRealmAuthenticator {
public static void main(String[] args) {
// 创建securityManager
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
// 设置自定义realm
defaultSecurityManager.setRealm(new CustomerRealm());
// 给全局安全工具类设置默认安全管理器
SecurityUtils.setSecurityManager(defaultSecurityManager);
// 通过安全工具类获取subject
Subject subject = SecurityUtils.getSubject();
// 创建token
UsernamePasswordToken token = new UsernamePasswordToken(“zhenyu”, “123”);
try {
subject.login(token);
System.out.println("认证状态: " + subject.isAuthenticated());
} catch (UnknownAccountException e) {
e.printStackTrace();
System.out.println(“用户名错误!”);
} catch (IncorrectCredentialsException e) {
e.printStackTrace();
System.out.println(“密码错误!”);
}
}
}
实际应用是将 盐 和 散列后的值 存在数据库中,Realm 从数据库取出盐和加密后的值由 Shiro 完成密码校验。
Md5Hsah 类的简单使用:
public class TestShiroMD5 {
public static void main(String[] args) {
// 使用 MD5
Md5Hash md5Hash = new Md5Hash(“1234”);
System.out.println(md5Hash.toHex());
// 81dc9bdb52d04dc20036dbd8313ed055
// 使用 Md5 + salt
Md5Hash md5Hash1 = new Md5Hash(“1234”, “X0*7ps”);
System.out.println(md5Hash1);
// 6029a2a0be49f2d4f21941c8ae2cea0c
// 使用 Md5 + salt + hash 散列
Md5Hash md5Hash2 = new Md5Hash(“1234”, “X0*7ps”, 1024);
System.out.println(md5Hash2.toHex());
// 67cdf0cac7bdd508f560ef7965e8934c
}
}
自定义 md5 + salt 的 Realm 并验证
自定义 Realm 类:
/**
- 自定义md5+salt realm
*/
public class CustomerMd5Realm extends AuthorizingRealm {
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
return null;
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
String principal = (String) token.getPrincipal();
if (“zhenyu”.equals(principal)) {
String password = “6029a2a0be49f2d4f21941c8ae2cea0c”;
String salt = “X0*7ps”;
return new SimpleAuthenticationInfo(principal, password,
ByteSource.Util.bytes(salt), this.getName());
}
return null;
}
}
public class TestCustomerRealmAuthenticator {
public static void main(String[] args) {
// 创建securityManager
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
// 设置为自定义realm获取认证数据
CustomerMd5Realm customerMd5Realm = new CustomerMd5Realm();
// 设置md5加密
HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
credentialsMatcher.setHashAlgorithmName(“MD5”); // 设置使用的加密算法
credentialsMatcher.setHashIterations(1024); // 设置散列次数
customerMd5Realm.setCredentialsMatcher(credentialsMatcher);
defaultSecurityManager.setRealm(customerMd5Realm);
// 安装工具类中设置默认安全管理器
最后
面试前一定少不了刷题,为了方便大家复习,我分享一波个人整理的面试大全宝典
- Java核心知识整理
Java核心知识
- Spring全家桶(实战系列)
- 其他电子书资料
Step3:刷题
既然是要面试,那么就少不了刷题,实际上春节回家后,哪儿也去不了,我自己是刷了不少面试题的,所以在面试过程中才能够做到心中有数,基本上会清楚面试过程中会问到哪些知识点,高频题又有哪些,所以刷题是面试前期准备过程中非常重要的一点。
以下是我私藏的面试题库:
面试前一定少不了刷题,为了方便大家复习,我分享一波个人整理的面试大全宝典
- Java核心知识整理
[外链图片转存中…(img-MiBonPAO-1716217046881)]
Java核心知识
- Spring全家桶(实战系列)
[外链图片转存中…(img-rgBB2kxL-1716217046881)]
- 其他电子书资料
[外链图片转存中…(img-WE2y6qrD-1716217046881)]
Step3:刷题
既然是要面试,那么就少不了刷题,实际上春节回家后,哪儿也去不了,我自己是刷了不少面试题的,所以在面试过程中才能够做到心中有数,基本上会清楚面试过程中会问到哪些知识点,高频题又有哪些,所以刷题是面试前期准备过程中非常重要的一点。
以下是我私藏的面试题库:
[外链图片转存中…(img-F8hn8dXD-1716217046881)]