shiro(三)——认证、MD5加密、多Realm验证

最新推荐文章于 2022-01-11 17:05:46 发布
最新推荐文章于 2022-01-11 17:05:46 发布
阅读量291 收藏
点赞数
分类专栏: Shiro 文章标签: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/back_light_f/article/details/81463920
版权

代码接着之前文章的进行。

首先表单页面:包含用户名密码:只是为了实现功能,就不细究页面的美观了。。

<form action="shiro/login" method="POST">
	username:<input type="text" name="username"/>
	<br><br>
	password:<input type="password" name="password"/>
	<br><br>
	<input type="submit" value="submit"/>
</form>

写一个Controller类:细节方面都在代码注释中

package com.znx.shiro.handlers;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;

@Controller
@RequestMapping("/shiro")
public class ShiroHandler {
	
	@RequestMapping("/login")
	public String login(@RequestParam("username")String username,
			@RequestParam("password")String password) {
		
		//获取当前的Subject
		Subject currentUser = SecurityUtils.getSubject();
		
		if(!currentUser.isAuthenticated()){
			//把用户名和密码封装为UsernamePasswordToken对象
			UsernamePasswordToken  token = new  UsernamePasswordToken(username,password);
			//rememberme
			token.setRememberMe(true);
			try{
				//执行登录
				currentUser.login(token);
			}catch(AuthenticationException ae){
				System.out.println("登录失败"+ae.getMessage());
			}
		}		
		return "redirect:/list.jsp";		
	}	
}

实现自定义的Realm类:

package com.znx.shiro.realms;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.realm.AuthenticatingRealm;
import org.apache.shiro.realm.Realm;

public class ShiroRealm extends AuthenticatingRealm{
	

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

		//1.把AuthenticationToken 转换为UsernamePasswordToken
		UsernamePasswordToken upToken = (UsernamePasswordToken) token;
		
		//2.从UsernamePasswordToken中获取Username
		String username = upToken.getUsername();
		//3.调用数据库的方法,从数据库中查询username对应的用户记录
		System.out.println("从数据库中获取username"+username+"所对应的用户信息");
		//4.若用户不存在,则可以抛出UNknowAccountException异常
		if("unknown".equals(username)){
			throw new UnknownAccountException("用户不存在");
		}
		//5.根据用户信息的情况,决定是否需要抛出其他异常
		if("monster".equals(username)){
			throw new LockedAccountException("用户被锁定");
		}
		//6.根据用户的情况,来构建AuthenticationInfo对象并返回,通常使用的实现类是SimpleAuthenticationInfo
		//以下信息是从数据库中获取的
		//1):principal:认证的实体信息,可以是username,也可以是数据库表对应的用户的实体类对象
		Object principal = username;
		//2):credentials:密码
		Object  credentials = "123456";
		//3):realmName:当前realm对象的name,调用父类的getName()方法即可
		String realmName = getName();
		SimpleAuthenticationInfo  info = new SimpleAuthenticationInfo(principal, credentials,realmName);
		 		
		return info;
	}


}

代码就基本上写完了,启动工程:

 输入错误的用户名:登录失败:

 输入正确的话,会跳转到登录成功的页面。

 在list.jsp页面中添加了一个退出的操作。

<a href="shiro/logout">logout</a>

下一步只需要在applicationContext.xml中声明即可

 但是,用户的密码一般是不会以明文的形式直接存储在数据库中的,常用的加密方式为MD5加密。Shiro也提供了这样的支持。

配置文件中进行配置:

  <bean id="jdbcRealm" class="com.znx.shiro.realms.ShiroRealm">
    	<property name="credentialsMatcher">
    		<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
    				<property name="hashAlgorithmName" value="MD5"></property>
    				<!-- 加密次数 -->
    				<property name="hashIterations" value="1024"></property>
    		</bean>
    	</property>
    </bean>

重启工程,是可以登录成功的。

上面的加密是没有加盐值的,那么如果两个人的明文密码一样,加密后的字符串也是一样的了,这时候就应该加salt来解决这种问题。这里就对之前的代码进行一些修改:
 

//4).盐值
		ByteSource credentialsSalt = ByteSource.Util.bytes(username);
		SimpleAuthenticationInfo  info =null;
		info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt,realmName);
		 		
		return info;

运行程序,进行访问,是没有问题的,这里就不贴结果了,贴一下这个类的全部代码:

package com.znx.shiro.realms;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.crypto.hash.SimpleHash;
import org.apache.shiro.realm.AuthenticatingRealm;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.util.ByteSource;

public class ShiroRealm extends AuthenticatingRealm{
	

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

		//1.把AuthenticationToken 转换为UsernamePasswordToken
		UsernamePasswordToken upToken = (UsernamePasswordToken) token;
		
		//2.从UsernamePasswordToken中获取Username
		String username = upToken.getUsername();
		//3.调用数据库的方法,从数据库中查询username对应的用户记录
		System.out.println("从数据库中获取username"+username+"所对应的用户信息");
		System.out.println(username+"+++MD5");
		//4.若用户不存在,则可以抛出UNknowAccountException异常
		if("unknown".equals(username)){
			throw new UnknownAccountException("用户不存在");
		}
		//5.根据用户信息的情况,决定是否需要抛出其他异常
		if("monster".equals(username)){
			throw new LockedAccountException("用户被锁定");
		}
		//6.根据用户的情况,来构建AuthenticationInfo对象并返回,通常使用的实现类是SimpleAuthenticationInfo
		//以下信息是从数据库中获取的
		//1):principal:认证的实体信息,可以是username,也可以是数据库表对应的用户的实体类对象
		Object principal = username;
		//2):credentials:密码
		Object  credentials =null;
		if("admin".equals(username)){
			//自己通过算法模拟数据库的数据
			credentials = "038bdaf98f2037b31f1e75b5b4c9b26e";
		}else if("user".equals(username)){
			//自己通过算法模拟数据库的数据
			credentials="098d2c478e9c11555ce2823231e02ec1";
		}
		
		
		//3):realmName:当前realm对象的name,调用父类的getName()方法即可
		String realmName = getName();
		//4).盐值
		ByteSource credentialsSalt = ByteSource.Util.bytes(username);
		SimpleAuthenticationInfo  info =null;
		info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt,realmName);
		 		
		return info;
	}
	

}

MD5盐值加密就介绍到这里了。

多Realm验证:

继续。将之前的Realm复制一份为SecondRealm,将加密方式改为SHA1,并在applicationContext.xml中配置。

package com.znx.shiro.realms;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.crypto.hash.SimpleHash;
import org.apache.shiro.realm.AuthenticatingRealm;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.util.ByteSource;

public class SecondRealm extends AuthenticatingRealm{
	

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

		System.out.println("SecondRealm----------doGetAuthenticationInfo");
		
		//1.把AuthenticationToken 转换为UsernamePasswordToken
		UsernamePasswordToken upToken = (UsernamePasswordToken) token;
		
		//2.从UsernamePasswordToken中获取Username
		String username = upToken.getUsername();
		//3.调用数据库的方法,从数据库中查询username对应的用户记录
		System.out.println("从数据库中获取username"+username+"所对应的用户信息");
		System.out.println(username+"+++MD5");
		//4.若用户不存在,则可以抛出UNknowAccountException异常
		if("unknown".equals(username)){
			throw new UnknownAccountException("用户不存在");
		}
		//5.根据用户信息的情况,决定是否需要抛出其他异常
		if("monster".equals(username)){
			throw new LockedAccountException("用户被锁定");
		}
		//6.根据用户的情况,来构建AuthenticationInfo对象并返回,通常使用的实现类是SimpleAuthenticationInfo
		//以下信息是从数据库中获取的
		//1):principal:认证的实体信息,可以是username,也可以是数据库表对应的用户的实体类对象
		Object principal = username;
		//2):credentials:密码
		Object  credentials =null;
		if("admin".equals(username)){
			//自己通过算法模拟数据库的数据
			credentials = "ce2f6417c7e1d32c1d81a797ee0b499f87c5de06";
		}else if("user".equals(username)){
			//自己通过算法模拟数据库的数据
			credentials="073d4c3ae812935f23cb3f2a71943f49e082a718";
		}	
		//3):realmName:当前realm对象的name,调用父类的getName()方法即可
		String realmName = getName();
		//4).盐值
		ByteSource credentialsSalt = ByteSource.Util.bytes(username);
		SimpleAuthenticationInfo  info =null;
		info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt,realmName);
		 		
		return info;
	}
	
	public static void main(String[] args) {
		
		String hashAlgorithmName  = "SHA1";
		Object credentials = "123456";
		Object salt = ByteSource.Util.bytes("admin");
		int hashIterations = 1024;
		Object result = new SimpleHash(hashAlgorithmName, credentials, salt,hashIterations);
		System.out.println(result);		
	}
}

applicationContext.xml中:

先增加一个realm:

 <bean id="secondRealm" class="com.znx.shiro.realms.SecondRealm">
    	<property name="credentialsMatcher">
    		<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
    				<property name="hashAlgorithmName" value="SHA1"></property>
    				<!-- 加密次数 -->
    				<property name="hashIterations" value="1024"></property>
    		</bean>
    	</property>
    </bean>

再配置一个认证器,将这个realm与之前的realm配置进去:

   <!-- 认证器 -->
    <bean id="authenticator" class="org.apache.shiro.authc.pam.ModularRealmAuthenticator">
    	<property name="realms">
    		<list>
    			<ref bean ="jdbcRealm" />
    			<ref bean ="secondRealm"/>
    		</list>
    	</property>
    </bean>

最后,在SecurityManager中配置认证器:

   <!-- 1.配置SecurityManager -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="cacheManager" ref="cacheManager"/>
        <property name="authenticator" ref="authenticator"/>
    </bean>

启动项目,访问。发现两个Realm都走了一遍。

这里有两个Realm,是怎样认证成功的呢?就是接下来要说的认证策略。

认证策略实际上是一个接口:AuthenticationStrategy。

这个接口默认有三个实现:

1.FirstSuccessfulStrategy:只要有一个Realm验证成功即可,只返回第一个Realm身份验证成功的认证信息,其他的忽略。

2.AtLeastOneSuccessfulStrategy:只要有一个Realm验证成功即可,和FirstSuccessfulStrategy不同:将返回所有Realm身份验证成功的认证信息。

3.AllSuccessfulStrategy:所有Realm验证成功才算成功,且返回所有Realm身份验证成功的认证信息,如果有一个失败就失败了。

ModularRealmAuthenticator默认是AtLeastOneSuccessfulStrategy策略;

 

 

Nicl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro——认证
08-05
对应博客:https://blog.csdn.net/fancheng614/article/details/81433130
springboot+shiro+md5
07-23
这里详细记录一次springboot使用shiro进行登录验证操作,同时结合MD5加密技术,实现web后台的登录功能。
Shiro 自学笔记二】自定义 Realm 实现 MD5 加密、加盐与再散列
Koorye今天自学了吗
07-24 365
文章目录什么是MD5加盐散列Shiro 实现 MD5 加密基本 MD5 加密加盐与散列自定义 Realm 实现登录验证自定义 Realm 实现 MD5 加密声明加密算法声明加盐和散列 上一期我们完成了基本的登录操作,然而,直接通过明文密码登录显然是非常不安全的。因此,我们必须对密码进行加密以加强信息的安全性。 什么是MD5 MD5信息摘要算法(英语:MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value)
Shiro学习-密码的比对及密码的MD5加密(八)
PeakGao
12-23 885
密码比对 通过AuthenticatingRealm的credentialsMatcher进行密码的比对 由于你获取数据是从数据库获取的是加密后的密码,所以挺重要的 密码加密 如何把一个字符串加密MD5 替换当前Realm的CredentialsMatcher属性,可以使用Md5CredentialsMatcher但是推荐使用HashedCredentialsMatcher对象,并设置加密算法 ...
shiro笔记之----SimpleAuthenticationInfo 验证password
hubeilihao的专栏
05-28 8052
公司项目用的是shiro做安全认证框架,从代码看到了判断验证码的,也看到了判断用户名是否存在的,就是没有发现判断密码是否正确的,后从网上文章以及查看源码才大概了解shiro对于密码验证的流程。 自定义的shiroRealm public class ShiroRealm extends AuthorizingRealm { @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
五、大话HTTP协议-HTTP之URL编码、身份认证问题
蜗牛爬啊爬
02-17 1229
在说明URL编码之前,先回顾编码和字符集的相关基础知识,再引出为什么URL需要做编码,以及如何编码的。最后顺便介绍了下HTTP的身份认证问题。这些知识可谓是基础的基础,重点的重点了,不仅HTTP,在任何地方都会遇到此类问题。希望我们自己都能把基础夯实好,发车!
rtsp认证
yunlianglinfeng的专栏
03-12 1539
一 、基本认证是http 1.0提出的认证方案,其消息传输不经过加密转换因此存在严重的安全隐患。 1.1 客户端发送DESCRIBE请求到前端设备,URL携带请求的URL地址 DESCRIBE rtsp://192.168.1.55:554/live/1/video.sdp?token=A00453FR805a54C8 RTSP/1.0\r\n CSeq: 1\r\n Accept: application/sdp\r\n User-agent: Realplayer\r\.
Springboot整合Shiro之加盐MD5加密的方法
08-26
主要介绍了Springboot整合Shiro之加盐MD5加密的方法,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
java实现Md5加盐加密算法
10-26
对接接口时用到的一种常用加密算法,常用于验证签名,使用shiro-all-1.4.1.jar,可自行下载
shiro验证登录代码实例及问题解决
08-25
主要介绍了shiro验证登录代码实例及问题解决,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
【转载】HTTP API 认证授权术
haolinbird的博客
01-11 850
该文转载自HTTP API 认证授权术 我们知道,HTTP是无状态的,所以,当我们需要获得用户是否在登录的状态时,我们需要检查用户的登录状态,一般来说,用户的登录成功后,服务器会发一个登录凭证(又被叫作Token),就像你去访问某个公司,在前台被认证过合法后,这个公司的前台会给你的一个访客卡一样,之后,你在这个公司内去到哪都用这个访客卡来开门,而不再校验你是哪一个人。在计算机的世界里,这个登录凭证的相关数据会放在两种地方,一个地方在用户端,以Cookie的方式(一般不会放在浏览器的Local Storag
SimpleAuthenticationInfo的参数
weixin_42195162的博客
04-18 2万+
SimpleAuthenticationInfo的参数 仅供个人参考,以及学习记录。 SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( userInfo, //用户名–此处传的是用户对象 userInfo.getPassword(), //密码—从数据库获取的密码 salt, getName()...
SimpleAuthenticationInfo
weixin_30755393的博客
04-11 2203
public SimpleAuthenticationInfo(Object principal, Object hashedCredentials, ByteSource credentialsSalt, String realmName) { this.principals = new SimplePrincipalCollection(principal, ...
shiro记住我与密码匹配次数的配置(md5加密)
zzhao114的博客
03-09 6369
简介 1.shiro的记住我与密码匹配都是基于cookie的,将信息存储在cookie 2.基础配置 http://blog.csdn.net/zzhao114/article/details/55662585 remenberme功能 1.首先在shiro的配置文件添加 <property name="cipherKey" va
shiro简单配置
热门推荐
都是浮云
04-20 13万+
注:这里只介绍spring配置模式。 因为官方例子虽然有更加简洁的ini配置形式,但是使用ini配置无法与spring整合。而且两种配置方法一样,只是格式不一样。 涉及的jar包 Jar包名称 版本 核心包shiro-core 1.2.0 Web相关包shiro-web 1.2.0
自学-ShiroMD5加密及更加严格的盐值加密-08
女神的高冷范
12-17 1万+
上一节我们看到了是通过credentialsMatcher 属性来进行的密码的比对的,那我们 怎么才能把客户输入的密码进行MD5加密呢? 首先我们先来看下credentialsMatcher的继承类都有哪些? 所以我们可以通过org.apache.shiro.authc.credential.HashedCredentialsMatcher 来进行MD5加密,但是我们该怎么进行处理呢
Shiro() 身份认证源码分析与 MD5 盐值加密
Jack Li 的博客
06-18 452
Shiro 身份认证MD5 盐值加密Shiro() 文章目录Shiro 身份认证MD5 盐值加密 --- Shiro()1. 身份认证2. 身份验证的基本流程3. 身份验证实现3.1 在 `login.jsp` 添加登录表单3.2 添加表单提交的 Controller3.3 完善 Realm 的身份认证功能3.3.1 构造一个 MockDao 代替数据库提供用户信息3.3.2 将 UserDao 注入到 Realm3.3.3 实现自定义 Realm, 继承 AuthenticatingR
shiro.ini md5
最新发布
07-27
回答: 在Shiroshiro.ini是一个配置文件,用于配置Shiro的安全策略和认证授权规则。\[2\]而MD5是一种常用的加密算法,用于对密码进行加密。在Shiro,可以使用MD5Utils类对密码进行MD5加密。\[3\] #### 引用[....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值