shiro学习笔记七:shiro加密认证

最新推荐文章于 2024-07-30 17:09:59 发布
最新推荐文章于 2024-07-30 17:09:59 发布
阅读量105 收藏
点赞数
文章标签: 数据库 java 开发工具
原文链接:https://my.oschina.net/tij/blog/1929892
版权

一、项目说明

项目环境:jdk1.7+tomcat7+idea2018+maven+shiro1.3.2

源代码github地址:https://github.com/tmAlj/shiro/tree/master/ssms

实现目标:通过指定加密算法以及加盐,完成整个认证流程

综合实例:基于shiro的按钮级别的权限管理系统

二、不加盐值加密验证

        注:本节所有实例基于shiro学习笔记六:shiro认证流程

(1)创建自定义Realm,名称为EncrRealm

package com.wsd.shiro;

import org.apache.shiro.authc.*;
import org.apache.shiro.realm.AuthenticatingRealm;

/**
 * Created by tm on 2018/8/17.
 * 自定义加密认证realm
 */
public class EncrRealm extends AuthenticatingRealm {

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //token类型转化
        UsernamePasswordToken upToken = (UsernamePasswordToken)authenticationToken;
        //获取前台用户信息
        String username = upToken.getUsername();
        // TODO 从数据库中获取用户信息,这里先模拟从数据库获取数据

        // 使用数据库中的用户信息与前台传入的用户信息比对,如果用户不存在,抛出异常
        if("wsd".equals(username)) {
            throw new UnknownAccountException("==================用户不存在");
        }
        // 用户被锁定是,抛出异常
        if("wsd1".equals(username)) {
            throw new LockedAccountException("==================用户被锁定");
        }

        // TODO 从数据库中获取用户信息,这里先模拟从数据库获取数据
        Object principal = username;  //从数据中获取用户名称
        Object credentials = "4a95737b032e98a50c056c41f2fa9ec6";  //从数据中获取用户密码,这里的值是通过加密工具类加密所得
        String realmName = "encrRealm";  //自定义
        return new SimpleAuthenticationInfo(principal, credentials, realmName);
    }
}

(2)配置自定义EncrRealm

        注:在spring-shiro-config.xml中配置自定义realm,指定加密算法以及加密次数等

<!-- 配置shiro的核心securityManager -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
	<property name="cacheManager" ref="cacheManager"/>
	<!--<property name="sessionMode" value="native"/>-->
<!--	<property name="realm" ref="jdbcRealm"/>-->
	<property name="realm" ref="encrRealm"/>
	<!--<property name="realm" ref="saltRealm"/>-->
</bean>
<!-- 配置加密Realm -->
<bean id="encrRealm" class="com.wsd.shiro.EncrRealm">
	<property name="credentialsMatcher">
		<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
			<!-- 指定加密方式MD5,SHA1等 -->
			<property name="hashAlgorithmName" value="MD5"></property>
			<!-- 指定加密次数 -->
			<property name="hashIterations" value="10"></property>
		</bean>
	</property>
</bean>

(3)密码加密

        注:这里为了方便测试,自己对原始密码加密,放到EncrRealm中进行认证

  /*不加盐md5加密*/
    public static void md5(){
        //加密方式
        String hashAlgorithmName = "MD5";
        //源密码
        Object credentials = "123456";
        //盐值
        Object salt = null;
        //加密次数
        int hashIterations = 10;
        Object result = new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations);
        System.out.println(result);
    }

(4)测试示例

        说明:登录页面随便输入用户名称,如果密码为123456可登录成功,其他则失败,说明加密成功

三、加盐值加密验证

        注:盐值一般为唯一值,如用户名,身份证号等,主要为了解决由于多用户密码相同时加密后密码相同问题,加盐后的密码会为唯一值

(1)创建自定义Realm,名称为SaltRealm

package com.wsd.shiro;

import org.apache.shiro.authc.*;
import org.apache.shiro.realm.AuthenticatingRealm;
import org.apache.shiro.util.ByteSource;

/**
 * Created by tm on 2018/8/17.
 * 自定义加盐加密认证realm
 */
public class SaltRealm extends AuthenticatingRealm {

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //token类型转化
        UsernamePasswordToken upToken = (UsernamePasswordToken)authenticationToken;
        //获取前台用户信息
        String username = upToken.getUsername();
        // TODO 从数据库中获取用户信息,这里先模拟从数据库获取数据

        // 使用数据库中的用户信息与前台传入的用户信息比对,如果用户不存在,抛出异常
        if("wsd".equals(username)) {
            throw new UnknownAccountException("==================用户不存在");
        }
        // 用户被锁定是,抛出异常
        if("wsd1".equals(username)) {
            throw new LockedAccountException("==================用户被锁定");
        }

        //加盐测试用户
        Object credentials = null;
        if ("wsd2".equals(username)) {
            credentials = "b65f57fd1dcbafdb1c05295356a41edf";  //这里的值是通过加密工具类加密所得
        } else if ("wsd3".equals(username)) {
            credentials = "2d68497b78547e6b0bc6a6c1bb22fb44";
        }

        // TODO 从数据库中获取用户信息,这里先模拟从数据库获取数据
        String realmName = getName();
        ByteSource credentialsSalt = ByteSource.Util.bytes(username);
        Object principal = username;  //从数据中获取用户名称
        return new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName);
    }
}

(2)配置自定义SaltRealm

        注:在spring-shiro-config.xml中配置自定义realm,指定加密算法以及加密次数等

<!-- 配置shiro的核心securityManager -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
	<property name="cacheManager" ref="cacheManager"/>
	<!--<property name="sessionMode" value="native"/>-->
<!--	<property name="realm" ref="jdbcRealm"/>-->
<!--	<property name="realm" ref="encrRealm"/>-->
	<property name="realm" ref="saltRealm"/>
</bean>
<!-- 配置加盐加密Realm -->
<bean id="saltRealm" class="com.wsd.shiro.SaltRealm">
	<property name="credentialsMatcher">
		<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
			<!-- 指定加密方式MD5,SHA1等 -->
			<property name="hashAlgorithmName" value="MD5"></property>
			<!-- 指定加密次数 -->
			<property name="hashIterations" value="10"></property>
		</bean>
	</property>
</bean>

(3)密码加密

        注:这里为了方便测试,自己对原始密码加盐加密,放到SaltRealm中进行认证

    /*加盐md5加密*/
    public static void md5AndSalt(){
        String hashAlgorithmName = "MD5";
        Object credentials = "123456";
        //盐值一般为唯一值,如用户名,手机号等
        Object salt = null;
       // salt = ByteSource.Util.bytes("wsd2");
        salt = ByteSource.Util.bytes("wsd3");
        int hashIterations = 10;
        Object result = new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations);
        System.out.println(result);
    }

(4)测试示例

        说明:登录页面随便输入用户名称,如果密码为123456可登录成功,其他则失败,说明加密成功

转载于:https://my.oschina.net/tij/blog/1929892

chunlulin2540
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro1.7.1全包修补漏洞.rar
07-18
Shiro 1.7.1所需jar包漏洞修补最新包
shiro学习笔记
04-03
这份"Shiro学习笔记"可能包含了以下主题: - Shiro的安装与配置 - Shiro基本概念详解 - Realm的创建与使用 - 登录与登出流程 - 权限控制机制 - 缓存管理和会话管理 - Shiro与Spring的整合 - Shiro的Filter链配置 - ...
Spring Boot项目Shiro1.7.1版本默认密钥的漏洞
UDWORLD的博客
09-06 3051
Shiro1.7.1版本默认密钥的漏洞
shiro升级到shiro-1.7.1
zhuimenghou的博客
07-20 2963
1、ssm项目中,先将之前的shiro相关jar包删除。然后引入shiro-all-1.7.1.jar。同时,必须引入另外一个依赖包 encoder-1.2.2.jar。否则项目运行的时候会报错org/owasp/encoder/Encode或者是org.owasp.encoder.Encode 2、encoder-1.2.2.jar的下载地址 https://mvnrepository.com/artifact/org.owasp.encoder/encoder/1.2.2 3、shiro-all-1.7
shiro1.3升级1.7遇到重定向登录页面时报400错误
u011017880的专栏
03-04 2037
因为项目单点登录的需求,对原项目进行单点登录改造,对shiro 进行升级,由原1.3升级至1.7,原代码未做任何改动,登录重定向报400,但直接访问登录页正常,两者差异在于url增加自带参数jsessionid,导致400,改配置文件即可,代码如下: <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> <property name="sessionI
云服务器shiro修复,Apache Shiro < 1.7.0 权限绕过漏洞(CVE-2020-17510)
weixin_26642481的博客
08-03 1145
今天服务器上面提示有漏洞预警提示:Apache Shiro < 1.7.0 权限绕过漏洞(CVE-2020-17510),接下来吾爱编程为大家介绍一下Apache Shiro < 1.7.0 权限绕过漏洞的修复方法,有需要的小伙伴可以参考一下:1、漏洞描述:Apache Shiro是一个应用广泛的权限管理的用户认证与授权框架。近日,Apache Shiro发布1.7.0版本,修复了 A...
shiro学习笔记.rar
10-06
学习笔记主要涵盖了如何在Spring Boot项目中整合Shiro,并实现用户认证和授权,以及图片验证码的实现。 **1. Shiro 概述** Shiro 的核心组件包括 Realm(域)、Subject(当前操作用户)、Session Manager(会话...
learning-shiro:Shiro学习笔记
04-27
Apache Shiro 是一个强大且易用的 Java 安全框架,提供了认证、授权、加密和会话管理功能,可以非常方便地开发出足够安全的应用。本项目“learning-shiro”显然是一个关于 Apache Shiro学习资源集合,包含了作者...
shiro学习笔记0.0.0.0
12-21
尽管这份"shiro学习笔记0.0.0.0"可能内容不多,但通过它,你可以对 Shiro 有个初步的认识,为进一步深入学习打下基础。在实际项目中,根据需求选择合适的 Shiro 组件和配置,可以有效地提升应用的安全性。
tomcat项目升级shiro1.7.1
cocoaxian的博客
04-02 986
目前最新最新版本是1.7.1 升级maven依赖之后,研发应该是无感的。 若是有报错信息: 2021-04-02 13:37:58 [localhost-startStop-1] INFO org.springframework.context.support.PostProcessorRegistrationDelegate$BeanPostProcessorChecker -Bean 'securit yManager' of type [org.apache.shiro.web.mgt.D..
Shiro1.7.1升级注意
weixin_45107057的博客
02-07 6707
近日shiro官方发布了Apache Shiro权限绕过漏洞(CVE-2020-17523)风险通告。使用shiro和spring的用户都需升级到最新的shiro-1.7.1版本。 由于shiro的api没有大的改变,即使是从jspxcms-8.5版本的shiro-1.3.2也可顺利升级至shiro-1.7.1。升级方式如下: 将/WEB-INF/lib/目录下所有shiro开头的jar包删除(或剪切至其它目录备份)。 将shiro-1.7.1相关jar包拷贝至/WEB-INF/lib/目录下。需要注意的是
shiro升级至1.7.1后报错shiro java.lang.NoClassDefFoundError: org/owasp/encoder/Encode,已解决
weixin_43539296的博客
10-18 860
shiro java.lang.NoClassDefFoundError: org/owasp/encoder/Encode 升级后需引入encoder <dependency> <groupId>org.owasp.encoder</groupId> <artifactId>encoder</artifactId> <version>1.2.1</v
apache shiro jar包_shiro 安全框架(1)
weixin_39953244的博客
11-27 227
一.简介Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和 会话管理等功能。对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。其不仅可 以用在JavaSE环境,也可以用在JavaEE环境。二.架构图1.从外部来看Shiro,即从应用程序角度来观察如何使用Shiro完成工作。如 下图:2.2.从Shiro内部看Shiro的架构,如下图所示:三、Shiro配...
Apache Shiro < 1.7.0 权限绕过漏洞集合
java小白翻身
10-08 1052
今天发现阿里云服务器出现了告警: shiro 1.3.2 进程ID:3932 路径:xxx\shiro-core-1.3.2.jar 命中:shiro version less than 1.7.0 网上一搜,找到了如下资料: 2020年11月2日,阿里云应急响应中心监测到Apache Shiro官方发布安全更新,修复了一个最新权限绕过漏洞。攻击者利用该漏洞可以绕过验证访问到后台功能,风险较高。 漏洞描述 Apache Shiro是一个应用广泛的权限管理的用户认证与授权框架。近日,Apache Shiro
数据库查询与操作指南-以Nebula图数据库为例
DZSpace,专注于计算机科学与技术领域的技术博主,致力于分享实用知识与技巧,帮助读者快速掌握技术要点,共同探索计算机世界的无限可能。欢迎访问DZSpace的博客,一起学习进步!
07-26 338
数据库查询与操作指南-以Nebula图数据库为例
二进制部署k8s集群之master节点和etcd数据库集群(上)
zx52306的博客
07-30 704
【代码】二进制部署k8s集群之master节点和etcd数据库集群(上)
互联网医院系统源码与医保购药APP开发的完整技术指南
最新发布
meihusdk的博客
07-30 153
开发过程中需注重数据安全、系统性能、用户体验等多个方面,确保系统的高效稳定运行和良好用户体验。希望这篇技术指南能为开发者提供有益的参考,助力互联网医疗健康行业的发展。
Shiro框架深度解析:认证授权机制与实战
- Subject:Shiro中的核心概念,代表认证的主体,封装了用户的信息,用于标识和操作用户。 - Principal:表示用户的身份,可以是唯一的用户名、邮箱地址等。 - Credential:用于验证用户身份的凭据,通常是密码。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值