Shiro的学习(二)

最新推荐文章于 2024-10-01 09:31:13 发布
最新推荐文章于 2024-10-01 09:31:13 发布
阅读量146 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/X_Q_B_J/article/details/104527906
版权

1、自定义realm的实现

首先自定义一个类继承AuthorizingRealm

public class MyRealm extends AuthorizingRealm {

    private UserDAO userDAO=new UserDAO();

    @Override
    public String getName() {
        return "MyRealm";
    }

    /**
     *这个方法是用来进行认证的
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //第一步:通过token获取到用户数据
        String userName = (String) authenticationToken.getPrincipal();
        //第二步:通过用户名 去数据库查询用户对象
        User user=null;
        try {
            user = userDAO.findUserByName(userName);
            System.out.println("从数据库查询出来的数据是:"+user);
        } catch (Exception e) {
            System.out.println("查询失败:"+e.fillInStackTrace());
        }
        if(null==user){   //说明数据库里面没有查询出数据来
            return null;
        }
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(user.getUserName(),user.getPassword(),getName());
        return simpleAuthenticationInfo;
    }
    /**
     * 做用户授权的
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }
}

编写配置文件shiro-realm.ini

[main]
customRealm=com.qf.shiro.realm.MyRealm
securityManager.realms=$customRealm

再写访问数据库的代码(此处省略)
测试成功

从数据库查询出来的数据是:User(id=1, username=xbb, password=123)
登录后用户的认证状态:true
注销后用户的认证状态false

2、MD5的使用

开发时,敏感信息在数据库存储时不能使用明文存储,shiro框架提供了密码散列的这个功能

Md5Hash md5Hash = new Md5Hash("abc");
        System.out.println("散列结果:"+md5Hash);
        
        //加salt(盐)使密码更安全 更加不容易被破解
        //相当于盐值放在密码前面再进行散列
        Md5Hash md5Hash1 = new Md5Hash("123","abc");
        System.out.println("加盐后散列结果:"+md5Hash1);
        //此处结果和上面一样
        Md5Hash md5Hash2 = new Md5Hash("123abc");
        System.out.println(md5Hash2);

        //hashlerations:散列次数
        Md5Hash md5Hash3= new Md5Hash("abc","123",2);
        System.out.println("加盐加次数散列的结果:"+md5Hash3);

        Md5Hash md5Hash4 = new Md5Hash("123abc");
        Md5Hash md5Hash5 = new Md5Hash(md5Hash4);
        System.out.println(md5Hash5);

2.1、在realm中使用散列

可以随便将数据库的密码改成加盐散列之后的结果
在这里插入图片描述
重新定义realm中的SimpleAuthenticationInfo方法

SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
                user.getUsername(),     //用户名
                user.getPassword(),     //密码
                ByteSource.Util.bytes(user.getSalt()),  //从数据库获取的盐值
                getName());     //realm的名字

编写配置文件shiro-hash.ini

[main]
#定义凭证匹配器
credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher
#散列算法
credentialsMatcher.hashAlgorithmName=md5
#散列次数
credentialsMatcher.hashIterations=1

#将凭证匹配器设置到realm
customRealm=com.qf.shiro.md5.MyRealm
customRealm.credentialsMatcher=$credentialsMatcher
securityManager.realms=$customRealm

然后就测试成功啦

3、代码授权

用户要授权必须是要在认证的基础上才能授权

@Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //第一步:获取前端传递过来的用户名
        String username = (String) principalCollection.getPrimaryPrincipal();
        //第二步,通过用户名从数据库查询用户所拥有的角色和对应的权限
        //模拟一下查询
        Set<String> roles = new HashSet<>();
        roles.add("adminer");
        roles.add("buyer");
        roles.add("seller");
        Set<String> perms = new HashSet<>();
        perms.add("user:add");
        perms.add("user:modify");
        perms.add("user:delete");
        SimpleAuthorizationInfo simpleAuthorizationInfo1 = new SimpleAuthorizationInfo(perms);
//        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo(roles);
        return simpleAuthorizationInfo1;
    }

然后再测试一下就ok了

4、SpringBoot整合Shiro

4.1、基本的整合

导包

 <!-- <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-jdbc</artifactId>
        </dependency>-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
      <!--  <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.1.1</version>
        </dependency>-->

       <!-- <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>-->

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>

        <!--导入的是spring对shiro的支持包-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.4.0</version>
        </dependency>

配置模板引擎

#配置模板引擎
spring.thymeleaf.prefix=classpath:/templates/
spring.thymeleaf.suffix=.html
spring.thymeleaf.mode=HTML5
spring.thymeleaf.encoding=UTF-8
spring.thymeleaf.cache=false

编写login.html和index.html页面

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <base th:href="${#request.getContextPath()+'/'}">
</head>
<body>
<form action="/login" method="post">
    用户名: <input type="text" name="username"><span th:text="${usernameError}"></span><br>
    密码: <input type="password" name="password"><span th:text="${passwordError}"></span>
    <span th:text="${otherError}"></span><br>
    <input type="submit" value="登录">
</form>
</body>
</html>

<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <base th:href="${#request.getContextPath()+'/'}">
</head>
<body>
this is index page
<a href="/logout">退出</a>
</body>
</html>

实体类

public class User implements Serializable {
    private static final long serialVersionUID = -6452122067767617559L;
    private int id;
    private String username;
    private String password;
}

注意:此处实体类必须要实现序列化接口并生成serialVersionUID
在这里插入图片描述
然后编写shiro的配置文件

@SpringBootConfiguration
public class ShiroConfig {

    private Logger logger = LoggerFactory.getLogger(ShiroConfig.class);

    //配置shiro的过滤器拦截请求
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager")DefaultWebSecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        logger.info("shiro的过滤器执行了");
        //配置认证如果失败跳转的页面
        shiroFilterFactoryBean.setLoginUrl("/toLogin");

        Map<String,String> map = new LinkedHashMap<>();

        //第一个参数是路径,第二个参数是过滤器名字
        /**
         * /**  当前目录以及后面的所有子目录
         * /*   这个相当于只是匹配一级目录   127.0.0.1/index
         * 常见的过滤器名字
         * authc:认证的过滤器
         * anon:没有认证就可以访问
         *          map.put("/index","anon");
         * logout:注销
         * perms:权限控制
         * roles:具有某一个角色才能访问
         * 注意:/**这个配置必须是最后一个
         */
        map.put("/login","anon");
         maps.put("/logout","logout");  //这个就是退出功能
        //所有请求必须在认证之后才能执行
        map.put("/**","authc");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(map);

        shiroFilterFactoryBean.setSecurityManager(securityManager);
        return  shiroFilterFactoryBean;
    }


    //配置安全管理器Security Manager
    @Bean
    public DefaultWebSecurityManager securityManager(@Qualifier("myRealm") MyRealm myRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //设置校验的realm对象
        logger.info("shiro的安全管理器执行了");
        securityManager.setRealm(myRealm);
        return  securityManager;
    }


    //配置realm
    @Bean
    public MyRealm myRealm(){
        logger.info("shiro的realm执行了");
        MyRealm myRealm = new MyRealm();
        myRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return myRealm;
    }

    /**
     * 配置密码散列
     * @return
     */
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        //设置散列的方式
        hashedCredentialsMatcher.setHashAlgorithmName("MD5");
        //设置散列的次数
        hashedCredentialsMatcher.setHashIterations(1);
        return hashedCredentialsMatcher;
    }
}

编写controller文件

@Controller
public class UserController {

    private Logger logger = LoggerFactory.getLogger(UserController.class);

	/**
     * 跳转至login页面
     * @return
     */
    @RequestMapping("toLogin")
    public String toLogin(){
        return "login";
    }

	/**
     * 跳转至index页面
     * @return
     */
    @RequestMapping("toIndex")
    public String toIndex(){
        return "index";
    }

    @RequestMapping("login")
    public String login(User user, ModelMap map){
        //封装请求对象
        UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(),user.getPassword());
        //获取登录的主体对象
        Subject subject = SecurityUtils.getSubject();
        //登录
        try {
            subject.login(token);
        } catch (UnknownAccountException e){
            logger.info("用户名不对");
            map.put("usernameError","用户名不对");
            return "login";
        } catch (IncorrectCredentialsException e){
            logger.info("密码不对");
            map.put("passwordError","密码不对");
            return "login";
        } catch (Exception e){
            logger.info("其他问题造成登录失败不对"+e.fillInStackTrace());
            map.put("otherError","登录失败");
            return "login";
        }
        User user1 = (User) SecurityUtils.getSubject().getPrincipal();
        map.put("user",user1);
        return "index";
    }
}

自定义realm

public class MyRealm extends AuthorizingRealm {

    @Override
    public String getName() {
        return "MyRealm";
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //获取用户名
        String username = (String) authenticationToken.getPrincipal();
        //通过用户名查询对象
        if(!(username.equals("xbb"))){
            return null;
        }
        User user = new User(1,"xbb","e99a18c428cb38d5f260853678922e03");
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(
                user,
                user.getPassword(),
                ByteSource.Util.bytes("abc"),
                getName());
        return simpleAuthenticationInfo;
    }
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }
}

测试:
在这里插入图片描述
在这里插入图片描述

X_Q_B_J
关注
shiro学习笔记
04-03
这份"Shiro学习笔记"可能包含了以下主题: - Shiro的安装与配置 - Shiro基本概念详解 - Realm的创建与使用 - 登录与登出流程 - 权限控制机制 - 缓存管理和会话管理 - Shiro与Spring的整合 - Shiro的Filter链配置 - ...
最全的安全框架shiro学习视频
08-09
#### Shiro的主要功能模块 Shiro的核心功能主要分为以下几个部分: 1. **认证(Authentication)**:验证用户的身份,即用户是否为系统中的合法用户。 2. **授权(Authorization)**:确定用户是否有权限执行某些...
shiro学习
qq_41921914的博客
12-05 203
shiro学习 认证: 1. 认证流程: 获取当前的 Subject. 调用 SecurityUtils.getSubject(); 测试当前的用户是否已经被认证. 即是否已经登录. 调用 Subject 的 isAuthenticated() 若没有被认证, 则把用户名和密码封装为 UsernamePasswordToken 对象 执行登录: 调用 Subject 的 logi...
Shiro学习
m0_64393446的博客
06-06 319
1.shiro是apache的一个开源框架,是一个权限管理的框架,实现用户认证,用户授权2.spring中有spring security(原名acegi),是一个权限框架,他和spring依赖过于紧密,没有shiro使用简单3.shiro不依赖于spring,shiro不仅可以实现web应用的权限管理,还可以实现c/s系统,分布式系统权限管理,shiro属于轻量框架,越来越多企业项目开始使用shiro
Shiro学习笔记
SIMBA1949的博客
06-28 472
Shiro学习笔记 前言 版本说明 shiro=1.5.3 相关链接 Shiro 官网:http://shiro.apache.org/ Shiro maven 地址:https://mvnrepository.com/artifact/org.apache.shiro/shiro-core shiro-spring-boot-starter maven 地址:https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring-boot-st
shiro学习教程
alankuo的专栏
10-01 417
Apache Shiro是一个强大且易用的Java安全框架,它提供了身份验证、授权、加密和会话管理等功能。Shiro的设计理念是简单易用,同时又能满足复杂的安全需求,可以轻松地集成到各种Java应用程序中,如Web应用、命令行应用、移动应用等。// 用于身份验证@Override// 假设从数据库获取用户信息进行验证// 这里应该查询数据库验证用户信息} else {throw new AuthenticationException("用户名或密码错误");// 用于授权。
shiro学习
zmy182的博客
07-08 127
java自学笔记
Shiro学习(基于springboot的授权操作)
zzuli_xiaomingke的博客
02-02 609
基于springboot的授权操作 首先而言,要进行授权,就是要实现看人下菜碟这个操作,即赋予成员相应的角色,针对不同的角色,可以访问相应的页面,使用相应的资源,首先,在数据表设计时,每个成员具有一个role属性,指定这个成员所属的角色,角色在对应一个授权表,完成角色和权限的一对多关系,下面是数据表的结构 customer: 下面是role,比较简单: 接下来是权限表: 在这个表中使用一个role...
shiro 学习()
qq_44128703的博客
06-11 152
title: shiro学习() date: 2020-11-14 tags: 1.4.2 测试自定义Realm Shiro 授权 2.1 定义 授权,也叫访问控制,即在应用中控制谁能访问哪些资源(如访问页面/编辑数据/页面操作等)。在授权中需了解的几个关键对象:主体(Subject)、资源(Resource)、权限(Permission)、角色(Role)。 注解式:通过在执行的 Java 方法上放置相应的注解完成: JSP/GSP 标签:在 JSP/GSP 页面通过相应的标签完成: 2.
Shiro学习笔记
爱学习的大雄的博客
04-04 1164
一、权限的管理 1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 什么是身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统
Shiro学习:简单java项目使用shiro
wqh0830的博客
02-28 470
1、创建简单的javaSE项目: 2、复制jar包: 3、Build Path: 4、shiro.ini: 5、java代码: package day01; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.IncorrectCredentialsException; ...
Shiro入门学习
了凡
10-19 326
Shiro入门学习Apache Shiro是Java的一个安全(权限)框架Shiro相比于Spring security更加便捷,不仅使用Java Se环境,也可以用在Java EE环境Shiro的作用: 认证 - 例如登录 授权 - 权限管理 加密 - 例如密码可以用Shiro进行加密 会话管理 - web继承 缓存 Shiro功能简介 Authentication:身份认证/登录,验证用户是不
shiro学习心得
05-20
#### Shiro 在 Web 应用中的集成 Shiro 可以很好地与 Web 应用集成,支持多种开发框架和环境。 ##### 2.1 Realm 的实现 Realm 是 Shiro 用于获取用户信息和权限信息的重要组件。在 Web 应用中,Realm 的实现...
shiro学习笔记0.0.0.0
12-21
尽管这份"shiro学习笔记0.0.0.0"可能内容不多,但通过它,你可以对 Shiro 有个初步的认识,为进一步深入学习打下基础。在实际项目中,根据需求选择合适的 Shiro 组件和配置,可以有效地提升应用的安全性。
权限管理shiro学习总结
09-19
【权限管理框架Shiro学习总结】 在IT领域,权限管理是一个关键的安全机制,它确保了只有合法的用户才能访问特定的资源。Apache Shiro是一个强大且易用的Java安全框架,提供认证、授权、会话管理和加密等功能。下面...
智慧建造总体策划方案(76页).pptx
11-02
智慧建造总体策划方案(76页)
基于 Python2.7 和 PyQT4 开发的 modbus 通信采集软件
11-02
基于 Python2.7 和 PyQT4 开发的 modbus 通信采集软件,已在 windows、deepin linux 和树莓派上测试!
LLC simulink仿真《slx模型文件》
11-02
LLC simulink仿真《slx模型文件》 LLC谐振转换器是一种高效的直流-直流(DC-DC)电源转换器,因其独特的谐振特性而得名。在电力电子领域,LLC仿真对于理解和优化这种转换器的性能至关重要。Simulink是MATLAB环境下的一个强大工具,用于建立和仿真复杂系统,包括电力电子系统。 标题“LLC simulink仿真”指的是使用Simulink进行LLC谐振转换器的建模和仿真。通过Simulink,工程师可以模拟LLC转换器在不同工作条件下的行为,如负载变化、输入电压变动以及控制策略的影响。 **LLC电路的基本原理:** LLC谐振转换器结合了升压(Boost)、降压(Buck)和串联谐振(Series Resonant)三种拓扑结构的特点。它由主开关、副开关、电感、电容和极管组成。谐振电容和电感形成谐振回路,使得开关器件能在零电压或零电流条件下切换,从而降低开关损耗并提高效率。 **仿真过程:** 在Simulink中,首先需要建立LLC转换器的模型,包括各个元件的参数设定。这包括主开关和副开关的开关频率、谐振电容和电感的值、极管的反向恢复特性等。然后,设
krb5-devel-1.15.1-55.el7_9.i686.rpm
最新发布
11-02
Centos7 el7.x86_64 官方离线安装包,安装指令为 sudo rpm -ivh krb5-devel-1.15.1-55.el7_9.i686.rpm
Apache Shiro 安全框架学习指南
、身份验证 身份验证是 Shiro 框架的核心功能之一,Shiro 框架提供了多种身份验证机制,包括用户名/密码验证、证书验证、Token 验证等。Shiro 框架的身份验证机制是基于 Realm 的,Realm 是 Shiro 框架的核心组件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值