shiro学习笔记七:shiro加密认证

最新推荐文章于 2024-07-20 20:04:43 发布
最新推荐文章于 2024-07-20 20:04:43 发布
阅读量102 收藏
点赞数
文章标签: 数据库 java 开发工具
原文链接:https://my.oschina.net/tij/blog/1929892
版权

一、项目说明

项目环境:jdk1.7+tomcat7+idea2018+maven+shiro1.3.2

源代码github地址:https://github.com/tmAlj/shiro/tree/master/ssms

实现目标:通过指定加密算法以及加盐,完成整个认证流程

综合实例:基于shiro的按钮级别的权限管理系统

二、不加盐值加密验证

        注:本节所有实例基于shiro学习笔记六:shiro认证流程

(1)创建自定义Realm,名称为EncrRealm

package com.wsd.shiro;

import org.apache.shiro.authc.*;
import org.apache.shiro.realm.AuthenticatingRealm;

/**
 * Created by tm on 2018/8/17.
 * 自定义加密认证realm
 */
public class EncrRealm extends AuthenticatingRealm {

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //token类型转化
        UsernamePasswordToken upToken = (UsernamePasswordToken)authenticationToken;
        //获取前台用户信息
        String username = upToken.getUsername();
        // TODO 从数据库中获取用户信息,这里先模拟从数据库获取数据

        // 使用数据库中的用户信息与前台传入的用户信息比对,如果用户不存在,抛出异常
        if("wsd".equals(username)) {
            throw new UnknownAccountException("==================用户不存在");
        }
        // 用户被锁定是,抛出异常
        if("wsd1".equals(username)) {
            throw new LockedAccountException("==================用户被锁定");
        }

        // TODO 从数据库中获取用户信息,这里先模拟从数据库获取数据
        Object principal = username;  //从数据中获取用户名称
        Object credentials = "4a95737b032e98a50c056c41f2fa9ec6";  //从数据中获取用户密码,这里的值是通过加密工具类加密所得
        String realmName = "encrRealm";  //自定义
        return new SimpleAuthenticationInfo(principal, credentials, realmName);
    }
}

(2)配置自定义EncrRealm

        注:在spring-shiro-config.xml中配置自定义realm,指定加密算法以及加密次数等

<!-- 配置shiro的核心securityManager -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
	<property name="cacheManager" ref="cacheManager"/>
	<!--<property name="sessionMode" value="native"/>-->
<!--	<property name="realm" ref="jdbcRealm"/>-->
	<property name="realm" ref="encrRealm"/>
	<!--<property name="realm" ref="saltRealm"/>-->
</bean>
<!-- 配置加密Realm -->
<bean id="encrRealm" class="com.wsd.shiro.EncrRealm">
	<property name="credentialsMatcher">
		<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
			<!-- 指定加密方式MD5,SHA1等 -->
			<property name="hashAlgorithmName" value="MD5"></property>
			<!-- 指定加密次数 -->
			<property name="hashIterations" value="10"></property>
		</bean>
	</property>
</bean>

(3)密码加密

        注:这里为了方便测试,自己对原始密码加密,放到EncrRealm中进行认证

  /*不加盐md5加密*/
    public static void md5(){
        //加密方式
        String hashAlgorithmName = "MD5";
        //源密码
        Object credentials = "123456";
        //盐值
        Object salt = null;
        //加密次数
        int hashIterations = 10;
        Object result = new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations);
        System.out.println(result);
    }

(4)测试示例

        说明:登录页面随便输入用户名称,如果密码为123456可登录成功,其他则失败,说明加密成功

三、加盐值加密验证

        注:盐值一般为唯一值,如用户名,身份证号等,主要为了解决由于多用户密码相同时加密后密码相同问题,加盐后的密码会为唯一值

(1)创建自定义Realm,名称为SaltRealm

package com.wsd.shiro;

import org.apache.shiro.authc.*;
import org.apache.shiro.realm.AuthenticatingRealm;
import org.apache.shiro.util.ByteSource;

/**
 * Created by tm on 2018/8/17.
 * 自定义加盐加密认证realm
 */
public class SaltRealm extends AuthenticatingRealm {

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //token类型转化
        UsernamePasswordToken upToken = (UsernamePasswordToken)authenticationToken;
        //获取前台用户信息
        String username = upToken.getUsername();
        // TODO 从数据库中获取用户信息,这里先模拟从数据库获取数据

        // 使用数据库中的用户信息与前台传入的用户信息比对,如果用户不存在,抛出异常
        if("wsd".equals(username)) {
            throw new UnknownAccountException("==================用户不存在");
        }
        // 用户被锁定是,抛出异常
        if("wsd1".equals(username)) {
            throw new LockedAccountException("==================用户被锁定");
        }

        //加盐测试用户
        Object credentials = null;
        if ("wsd2".equals(username)) {
            credentials = "b65f57fd1dcbafdb1c05295356a41edf";  //这里的值是通过加密工具类加密所得
        } else if ("wsd3".equals(username)) {
            credentials = "2d68497b78547e6b0bc6a6c1bb22fb44";
        }

        // TODO 从数据库中获取用户信息,这里先模拟从数据库获取数据
        String realmName = getName();
        ByteSource credentialsSalt = ByteSource.Util.bytes(username);
        Object principal = username;  //从数据中获取用户名称
        return new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName);
    }
}

(2)配置自定义SaltRealm

        注:在spring-shiro-config.xml中配置自定义realm,指定加密算法以及加密次数等

<!-- 配置shiro的核心securityManager -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
	<property name="cacheManager" ref="cacheManager"/>
	<!--<property name="sessionMode" value="native"/>-->
<!--	<property name="realm" ref="jdbcRealm"/>-->
<!--	<property name="realm" ref="encrRealm"/>-->
	<property name="realm" ref="saltRealm"/>
</bean>
<!-- 配置加盐加密Realm -->
<bean id="saltRealm" class="com.wsd.shiro.SaltRealm">
	<property name="credentialsMatcher">
		<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
			<!-- 指定加密方式MD5,SHA1等 -->
			<property name="hashAlgorithmName" value="MD5"></property>
			<!-- 指定加密次数 -->
			<property name="hashIterations" value="10"></property>
		</bean>
	</property>
</bean>

(3)密码加密

        注:这里为了方便测试,自己对原始密码加盐加密,放到SaltRealm中进行认证

    /*加盐md5加密*/
    public static void md5AndSalt(){
        String hashAlgorithmName = "MD5";
        Object credentials = "123456";
        //盐值一般为唯一值,如用户名,手机号等
        Object salt = null;
       // salt = ByteSource.Util.bytes("wsd2");
        salt = ByteSource.Util.bytes("wsd3");
        int hashIterations = 10;
        Object result = new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations);
        System.out.println(result);
    }

(4)测试示例

        说明:登录页面随便输入用户名称,如果密码为123456可登录成功,其他则失败,说明加密成功

转载于:https://my.oschina.net/tij/blog/1929892

chunlulin2540
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro1.7.1全包修补漏洞.rar
07-18
Shiro 1.7.1所需jar包漏洞修补最新包
shiro学习笔记
04-03
这份"Shiro学习笔记"可能包含了以下主题: - Shiro的安装与配置 - Shiro基本概念详解 - Realm的创建与使用 - 登录与登出流程 - 权限控制机制 - 缓存管理和会话管理 - Shiro与Spring的整合 - Shiro的Filter链配置 - ...
Spring Boot项目Shiro1.7.1版本默认密钥的漏洞
UDWORLD的博客
09-06 3045
Shiro1.7.1版本默认密钥的漏洞
shiro升级到shiro-1.7.1
zhuimenghou的博客
07-20 2947
1、ssm项目中,先将之前的shiro相关jar包删除。然后引入shiro-all-1.7.1.jar。同时,必须引入另外一个依赖包 encoder-1.2.2.jar。否则项目运行的时候会报错org/owasp/encoder/Encode或者是org.owasp.encoder.Encode 2、encoder-1.2.2.jar的下载地址 https://mvnrepository.com/artifact/org.owasp.encoder/encoder/1.2.2 3、shiro-all-1.7
shiro1.3升级1.7遇到重定向登录页面时报400错误
u011017880的专栏
03-04 2034
因为项目单点登录的需求,对原项目进行单点登录改造,对shiro 进行升级,由原1.3升级至1.7,原代码未做任何改动,登录重定向报400,但直接访问登录页正常,两者差异在于url增加自带参数jsessionid,导致400,改配置文件即可,代码如下: <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> <property name="sessionI
Apache Shiro < 1.7.0 权限绕过漏洞集合
java小白翻身
10-08 1051
今天发现阿里云服务器出现了告警: shiro 1.3.2 进程ID:3932 路径:xxx\shiro-core-1.3.2.jar 命中:shiro version less than 1.7.0 网上一搜,找到了如下资料: 2020年11月2日,阿里云应急响应中心监测到Apache Shiro官方发布安全更新,修复了一个最新权限绕过漏洞。攻击者利用该漏洞可以绕过验证访问到后台功能,风险较高。 漏洞描述 Apache Shiro是一个应用广泛的权限管理的用户认证与授权框架。近日,Apache Shiro
shiro学习笔记.rar
10-06
学习笔记主要涵盖了如何在Spring Boot项目中整合Shiro,并实现用户认证和授权,以及图片验证码的实现。 **1. Shiro 概述** Shiro 的核心组件包括 Realm(域)、Subject(当前操作用户)、Session Manager(会话...
learning-shiro:Shiro学习笔记
04-27
Apache Shiro 是一个强大且易用的 Java 安全框架,提供了认证、授权、加密和会话管理功能,可以非常方便地开发出足够安全的应用。本项目“learning-shiro”显然是一个关于 Apache Shiro学习资源集合,包含了作者...
shiro学习笔记0.0.0.0
12-21
尽管这份"shiro学习笔记0.0.0.0"可能内容不多,但通过它,你可以对 Shiro 有个初步的认识,为进一步深入学习打下基础。在实际项目中,根据需求选择合适的 Shiro 组件和配置,可以有效地提升应用的安全性。
shiro升级至1.7.1后报错shiro java.lang.NoClassDefFoundError: org/owasp/encoder/Encode,已解决
weixin_43539296的博客
10-18 855
shiro java.lang.NoClassDefFoundError: org/owasp/encoder/Encode 升级后需引入encoder <dependency> <groupId>org.owasp.encoder</groupId> <artifactId>encoder</artifactId> <version>1.2.1</v
Shiro1.7.1升级注意
weixin_45107057的博客
02-07 6702
近日shiro官方发布了Apache Shiro权限绕过漏洞(CVE-2020-17523)风险通告。使用shiro和spring的用户都需升级到最新的shiro-1.7.1版本。 由于shiro的api没有大的改变,即使是从jspxcms-8.5版本的shiro-1.3.2也可顺利升级至shiro-1.7.1。升级方式如下: 将/WEB-INF/lib/目录下所有shiro开头的jar包删除(或剪切至其它目录备份)。 将shiro-1.7.1相关jar包拷贝至/WEB-INF/lib/目录下。需要注意的是
apache shiro jar包_shiro 安全框架(1)
weixin_39953244的博客
11-27 224
一.简介Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和 会话管理等功能。对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。其不仅可 以用在JavaSE环境,也可以用在JavaEE环境。二.架构图1.从外部来看Shiro,即从应用程序角度来观察如何使用Shiro完成工作。如 下图:2.2.从Shiro内部看Shiro的架构,如下图所示:三、Shiro配...
云服务器shiro修复,Apache Shiro < 1.7.0 权限绕过漏洞(CVE-2020-17510)
weixin_26642481的博客
08-03 1143
今天服务器上面提示有漏洞预警提示:Apache Shiro < 1.7.0 权限绕过漏洞(CVE-2020-17510),接下来吾爱编程为大家介绍一下Apache Shiro < 1.7.0 权限绕过漏洞的修复方法,有需要的小伙伴可以参考一下:1、漏洞描述:Apache Shiro是一个应用广泛的权限管理的用户认证与授权框架。近日,Apache Shiro发布1.7.0版本,修复了 A...
tomcat项目升级shiro1.7.1
cocoaxian的博客
04-02 985
目前最新最新版本是1.7.1 升级maven依赖之后,研发应该是无感的。 若是有报错信息: 2021-04-02 13:37:58 [localhost-startStop-1] INFO org.springframework.context.support.PostProcessorRegistrationDelegate$BeanPostProcessorChecker -Bean 'securit yManager' of type [org.apache.shiro.web.mgt.D..
OAuth2.0 or Spring Session or 单点登录流程
最新发布
qq_53374893的博客
07-20 301
一句话精辟解释: 在过滤器放行的时候,偷偷的把原生的 request 和 response 对象换成了它的实现,也就是 调用getSession 的时候拿到的 其实是对redis 操作的Session。但其他的操作还是使用原生的,只不过重写的方法,调用的是子类的,也就是往 redis 里放入 Session,把原生的操作给替换了!分布式Session原理,使用子域名,的时候放入父域名的 JsessionId 然后将这个ID 的所存的内容放入Redis ,这样实现不同域名共享同一sessionID.
基于语音识别的会议记录系统
qq_51688022的博客
07-18 1312
本文简要介绍了本科毕设“基于语音识别的会议记录系统”的开发思路与成果
MySQL(事务、索引)&&MyBatis
hycccccch的博客
07-19 680
事务指的是一组操作的集合,是一个不可分割的工作单位。事务会将所有的操作作为一个整体一起向系统提交或撤销操作请求,即这些操作要么同时成功,要么同时失败默认MySQL的事务是自动提交,即当执行一条DML语句时,MySQL会立即隐式的提交事务开启事务后运行事务不会对数据改变,commit后才会改变数据如果有命令发生错误,需要进行rollback进行回滚、
Spring框架之DI依赖注入
G81948577的博客
07-18 987
我们在下面构建spring的过程中体会依赖注入;从上面的图中我们知道,在ssm框架中服务层(server)无法直接操作数据库,持久层(dao)是直接操作数据库进行数据处理的,但是我们如果在服务层有一个持久层的对象,然后我们在服务层通过对象去调用持久层的方法就可以操作数据库了。@OverrideSystem.out.println("持久层,你好");UserServiceImpl类中的代码如下@Override。
Shiro框架深度解析:认证授权机制与实战
- Subject:Shiro中的核心概念,代表认证的主体,封装了用户的信息,用于标识和操作用户。 - Principal:表示用户的身份,可以是唯一的用户名、邮箱地址等。 - Credential:用于验证用户身份的凭据,通常是密码。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值