shiro认证以及盐加密

最新推荐文章于 2022-09-07 14:04:38 发布
最新推荐文章于 2022-09-07 14:04:38 发布
阅读量157 收藏
点赞数
分类专栏: 安全框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dyt0319_/article/details/88368034
版权

1、pom依赖

<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-core</artifactId>
  <version>1.3.2</version>
</dependency>

<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-web</artifactId>
  <version>1.3.2</version>
</dependency>

<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-spring</artifactId>
  <version>1.3.2</version>
</dependency>

2、web.xml配置

<!-- shiro过滤器定义 -->
<filter>
  <filter-name>shiroFilter</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  <init-param>
    <!-- 该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理 -->
    <param-name>targetFilterLifecycle</param-name>
    <param-value>true</param-value>
  </init-param>
</filter>
<filter-mapping>
  <filter-name>shiroFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

3、自定义Realm

public class MyRealm extends AuthorizingRealm {
    private UserService userService;

    public UserService getUserService() {
        return userService;
    }

    public void setUserService(UserService userService) {
        this.userService = userService;
    }
@Service("userService")
public class UserServiceImpl implements UserService {
    @Autowired
    private UserMapper userMapper;
    @Override
    public Set<String> getRolesByUserId(Integer userId) {
        return userMapper.getRolesByUserId(userId);
    }

    @Override
    public Set<String> getPersByUserId(Integer userId) {
        return userMapper.getPersByUserId(userId);
    }

    @Override
    public User queryByName(String userName) {
        return userMapper.queryByName(userName);
    }
}
@Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("身份认证...");
        String username = token.getPrincipal().toString();
        String password = token.getCredentials().toString();
        User user = userService.queryByName(username);
//        拿到数据库中的用户信息,放入token凭证中,用于controler进行对比
        AuthenticationInfo info = new SimpleAuthenticationInfo(
                user.getUsername(),
                user.getPassword(),
                ByteSource.Util.bytes(user.getSalt()),
                this.getName()
        );
        return info;
    }

4、application-shiro配置

<!--配置自定义的Realm-->
    <bean id="shiroRealm" class="com.zking.ssm.shiro.MyRealm">
        <property name="userService" ref="userService" />
        <!--以下三个配置告诉shiro将如何对用户传来的明文密码进行加密-->
        <property name="credentialsMatcher">
            <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
                <!--指定hash算法为MD5-->
                <property name="hashAlgorithmName" value="md5"/>
                <!--指定散列次数为1024次-->
                <property name="hashIterations" value="1024"/>
                <!--true指定Hash散列值使用Hex加密存. false表明hash散列值用用Base64-encoded存储-->
                <property name="storedCredentialsHexEncoded" value="true"/>
            </bean>
        </property>
    </bean>

    <!--注册安全管理器-->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="shiroRealm" />
    </bean>

    <!--Shiro核心过滤器-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- Shiro的核心安全接口,这个属性是必须的 -->
        <property name="securityManager" ref="securityManager" />
        <!-- 身份验证失败,跳转到登录页面 -->
        <property name="loginUrl" value="/login"/>
        <!-- 身份验证成功,跳转到指定页面 -->
        <!--<property name="successUrl" value="/index.jsp"/>-->
        <!-- 权限验证失败,跳转到指定页面 -->
        <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
        <!-- Shiro连接约束配置,即过滤链的定义 -->
        <property name="filterChainDefinitions">
            <value>
                <!--
                注:anon,authcBasic,auchc,user是认证过滤器
                    perms,roles,ssl,rest,port是授权过滤器
                -->
                <!--anon 表示匿名访问,不需要认证以及授权-->
                <!--authc表示需要认证 没有进行身份认证是不能进行访问的-->
                <!--roles[admin]表示角色认证,必须是拥有admin角色的用户才行-->
                /user/login=anon
                /user/updatePwd.jsp=authc
                /admin/*.jsp=roles[4]
                /user/teacher.jsp=perms["user:update"]
               <!-- /css/**               = anon
                /images/**            = anon
                /js/**                = anon
                /                     = anon
                /user/logout          = logout
                /user/**              = anon
                /userInfo/**          = authc
                /dict/**              = authc
                /console/**           = roles[admin]
                /**                   = anon-->
            </value>
        </property>
    </bean>

    <!-- Shiro生命周期,保证实现了Shiro内部lifecycle函数的bean执行 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

5、运行结果

在不登陆的情况下只能访问login.jsp

zs用户登录只能看到个人密码修改界面

ls用户登录,比zs多看到老师简介界面

 

6、数据库脚本

/*
SQLyog v10.2 
MySQL - 5.5.36 : Database - mybatis_ssm
*********************************************************************
*/


/*!40101 SET NAMES utf8 */;

/*!40101 SET SQL_MODE=''*/;

/*!40014 SET @OLD_UNIQUE_CHECKS=@@UNIQUE_CHECKS, UNIQUE_CHECKS=0 */;
/*!40014 SET @OLD_FOREIGN_KEY_CHECKS=@@FOREIGN_KEY_CHECKS, FOREIGN_KEY_CHECKS=0 */;
/*!40101 SET @OLD_SQL_MODE=@@SQL_MODE, SQL_MODE='NO_AUTO_VALUE_ON_ZERO' */;
/*!40111 SET @OLD_SQL_NOTES=@@SQL_NOTES, SQL_NOTES=0 */;
CREATE DATABASE /*!32312 IF NOT EXISTS*/`mybatis_ssm` /*!40100 DEFAULT CHARACTER SET utf8 */;

USE `mybatis_ssm`;

/*Table structure for table `t_shiro_permission` */

DROP TABLE IF EXISTS `t_shiro_permission`;

CREATE TABLE `t_shiro_permission` (
  `perid` int(11) NOT NULL AUTO_INCREMENT COMMENT 'ID,主键',
  `pername` varchar(100) NOT NULL COMMENT '权限名称',
  `pid` int(11) DEFAULT NULL COMMENT '父编号',
  `permission` varchar(100) NOT NULL COMMENT '权限字符串:例如:system:user:create:1',
  PRIMARY KEY (`perid`)
) ENGINE=InnoDB AUTO_INCREMENT=7 DEFAULT CHARSET=utf8;

/*Data for the table `t_shiro_permission` */

insert  into `t_shiro_permission`(`perid`,`pername`,`pid`,`permission`) values (1,'书籍新增',-1,'user:create'),(2,'书籍修改',-1,'user:update'),(3,'书籍删除',-1,'user:delete'),(4,'书籍列表',-1,'user:view'),(5,'书籍详情',-1,'user:load'),(6,'书籍信息导出',-1,'user:export');

/*Table structure for table `t_shiro_role` */

DROP TABLE IF EXISTS `t_shiro_role`;

CREATE TABLE `t_shiro_role` (
  `roleid` int(11) NOT NULL AUTO_INCREMENT COMMENT '角色ID,主键',
  `rolename` varchar(100) NOT NULL COMMENT '角色名称',
  `description` varchar(100) DEFAULT NULL COMMENT '角色描述',
  PRIMARY KEY (`roleid`),
  UNIQUE KEY `rolename` (`rolename`)
) ENGINE=InnoDB AUTO_INCREMENT=5 DEFAULT CHARSET=utf8;

/*Data for the table `t_shiro_role` */

insert  into `t_shiro_role`(`roleid`,`rolename`,`description`) values (1,'普通用户',NULL),(2,'高级用户',NULL),(3,'特权用户',NULL),(4,'管理员',NULL);

/*Table structure for table `t_shiro_role_permission` */

DROP TABLE IF EXISTS `t_shiro_role_permission`;

CREATE TABLE `t_shiro_role_permission` (
  `roleid` int(11) NOT NULL COMMENT '角色ID',
  `perid` int(11) NOT NULL COMMENT '权限ID',
  PRIMARY KEY (`roleid`,`perid`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

/*Data for the table `t_shiro_role_permission` */

insert  into `t_shiro_role_permission`(`roleid`,`perid`) values (1,1),(2,1),(2,2),(3,1),(3,2),(3,3),(3,4),(3,5),(4,1),(4,2),(4,3),(4,4),(4,5),(4,6);

/*Table structure for table `t_shiro_user` */

DROP TABLE IF EXISTS `t_shiro_user`;

CREATE TABLE `t_shiro_user` (
  `userid` int(11) NOT NULL AUTO_INCREMENT COMMENT '用户ID,主键',
  `username` varchar(10) NOT NULL COMMENT '用户账号',
  `PASSWORD` varchar(32) NOT NULL COMMENT '用户密码=MD5+盐加密',
  `salt` varchar(32) NOT NULL COMMENT '盐',
  `createdate` timestamp NULL DEFAULT CURRENT_TIMESTAMP COMMENT '创建日期',
  PRIMARY KEY (`userid`),
  UNIQUE KEY `username` (`username`)
) ENGINE=InnoDB AUTO_INCREMENT=5 DEFAULT CHARSET=utf8;

/*Data for the table `t_shiro_user` */

insert  into `t_shiro_user`(`userid`,`username`,`PASSWORD`,`salt`,`createdate`) values (1,'zs','797b9916091af1463c03bd3d0c433ea7','a88e860b1f70960af7575145247c55ec','2018-12-27 11:47:11'),(2,'ls','60dffbf999e1c613a3ce15a10fdf2d75','7b4bdcce6329281584322e77861c5248','2018-12-27 11:47:11'),(3,'ww','60dffbf999e1c613a3ce15a10fdf2d75','7b4bdcce6329281584322e77861c5248','2018-12-27 11:47:11'),(4,'zdm','60dffbf999e1c613a3ce15a10fdf2d75','7b4bdcce6329281584322e77861c5248','2018-12-27 19:30:36');

/*Table structure for table `t_shiro_user_role` */

DROP TABLE IF EXISTS `t_shiro_user_role`;

CREATE TABLE `t_shiro_user_role` (
  `userid` int(11) NOT NULL COMMENT '用户ID',
  `roleid` int(11) NOT NULL COMMENT '角色ID',
  PRIMARY KEY (`userid`,`roleid`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

/*Data for the table `t_shiro_user_role` */

insert  into `t_shiro_user_role`(`userid`,`roleid`) values (1,1),(2,2),(3,3),(4,1),(4,4);

/*!40101 SET SQL_MODE=@OLD_SQL_MODE */;
/*!40014 SET FOREIGN_KEY_CHECKS=@OLD_FOREIGN_KEY_CHECKS */;
/*!40014 SET UNIQUE_CHECKS=@OLD_UNIQUE_CHECKS */;
/*!40111 SET SQL_NOTES=@OLD_SQL_NOTES */;

7、盐加密工具类

/**
 * 用于shiro权限认证的密码工具类
 */
public class PasswordHelper {

    /**
     * 随机数生成器
     */
    private static RandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator();

    /**
     * 指定hash算法为MD5
     */
    private static final String hashAlgorithmName = "md5";

    /**
     * 指定散列次数为1024次,即加密1024次
     */
    private static final int hashIterations = 1024;

    /**
     * true指定Hash散列值使用Hex加密存. false表明hash散列值用用Base64-encoded存储
     */
    private static final boolean storedCredentialsHexEncoded = true;

    /**
     * 获得加密用的盐
     *
     * @return
     */
    public static String createSalt() {
        return randomNumberGenerator.nextBytes().toHex();
    }

    /**
     * 获得加密后的凭证
     *
     * @param credentials 凭证(即密码)
     * @param salt        盐
     * @return
     */
    public static String createCredentials(String credentials, String salt) {
        SimpleHash simpleHash = new SimpleHash(hashAlgorithmName, credentials,
                salt, hashIterations);
        return storedCredentialsHexEncoded ? simpleHash.toHex() : simpleHash.toBase64();
    }


    /**
     * 进行密码验证
     *
     * @param credentials        未加密的密码
     * @param salt               盐
     * @param encryptCredentials 加密后的密码
     * @return
     */
    public static boolean checkCredentials(String credentials, String salt, String encryptCredentials) {
        return encryptCredentials.equals(createCredentials(credentials, salt));
    }

    public static void main(String[] args) {
        //盐
        String salt = createSalt();
        System.out.println(salt);
        System.out.println(salt.length());
        //凭证+盐加密后得到的密码
        String credentials = createCredentials("123", salt);
        System.out.println(credentials);
        System.out.println(credentials.length());
        boolean b = checkCredentials("123", salt, credentials);
        System.out.println(b);
    }
}

 pom依赖
  web配置
  自定义Realm
  对应mapper编写
  application-shiro配置
  登录测试
  用户名密码加密

dyt0319_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro认证加密
Make Excellence a Habit
11-03 195
前言: 本章是在上一章了解shiro后,我们这次就需要运用到ssm项目中。 那么怎么把这个运用到ssm项目里,这就是我们此次的目的, ssm整合shiro和身份认证 首先我们导入pom依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring...
shiro密码加密
input_out的博客
01-18 2925
shiro密码加密 文章目录shiro密码加密1 MD5加密2 MD5加密 1 MD5加密 在配置文件中设置自定义Realm对象的属性开启MD5加密 @Bean public ShiroRealm userRealm(){ ShiroRealm realm = new ShiroRealm(); //设置加密算法为md5 HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
Shiro】5.整合Redis实现缓存
xiaoyuan_27的博客
01-18 1656
在前后端实际开发中,我们会大量使用注解来控制权限。在每一次执行认证或授权的操作时,Shiro都会去DB中查询身份或者权限信息。已知,身份信息和权限信息是不会经常变动的,且十分繁杂。如果同时有很多用户对系统做操作,每一次操作Shiro都需要去DB中查询身份或权限,无疑增加了数据库的压力,耗费了大量的计算资源。 为了避免上述问题,我们在设计身份和权限时,都会添加缓存。 所谓缓存,就是如果系统对该用户已经认证或授权过一次,就把该用户的身份信息或权限信息给缓存起来,当改用户再次做认证或者授权时,Shiro直接去
SpringBoot+Shiro实现免密登录
qq_38410795冰淇淋的博客
09-07 1864
3、shiro配置类设置加密规则。1、自定义登录认证规则。2、自定义登录认证方案。
spring整合shiro系列(三)spring boot 整合 shiro
m0_37723564的博客
06-26 349
之前写了两篇有关shiro和spring的文章,结合目前java开发spring boot框架是大势,决定
2021-05-25
weixin_46625059的博客
05-25 285
shiro 构建 SimpleAuthenticationInfo 使用 ByteSource.Util.bytes(userInfo.getSalt()) 作为 一定要和注册时保持一致 SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( userInfo, //用户名 userInfo.getPassword(), //...
Springboot整合Shiro之加MD5加密的方法
08-26
在本文中,我们将介绍如何在 Spring Boot 项目中整合 Shiro 框架,并使用加 MD5 加密来实现身份认证Shiro 是一个功能强大且灵活的安全框架,提供了身份认证、授权、会话管理、缓存等功能。在 Spring Boot 项目中...
shiro加密.7z
10-30
在这个名为"shiro加密.7z"的项目中,开发者分享了一个完整的示例,其中包含了使用Shiro进行用户登录密码加密以及权限认证的实现。 首先,让我们来理解一下什么是加密。在密码存储中,(Salt)是一种增加...
Shiro入门.rar
06-12
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。在这个"Shiro入门"压缩包中,包含了笔记和源码,是学习Shiro基础知识的好资源。 **一...
PHP视频点播系统
04-24
php+mysql开发的支持多协议,多服务器,多用户,多权限,多分类的视频点播平台,适用于教育视频点播,影视点播,直播等多媒体平台的搭建。纯免费,如果觉得好,可以支持下正版。
shiro jar包
05-13
Shiro还支持其他加密算法,如SHA-1、SHA-256等,以及值加哈希,提升安全性。此外,Shiro还提供了密钥生成、对称和非对称加密、消息摘要等功能。 4. **会话管理(Session Management)**: Shiro不仅可以在应用...
ShiroDemo.zip
08-17
以下将详细讲解如何在SpringBoot项目中整合Shiro,并实现用户登录认证和权限认证功能。 **一、Shiro基础概念** 1. **身份验证(Authentication)**:确认用户身份的过程,通常涉及用户名和密码的校验。 2. **授权...
java shiro加密_shiro加密并验证
weixin_34907135的博客
02-27 284
在数据表中存的密码不应该是123456,而应该是123456加密之后的字符串,而且还要求这个加密算法是不可逆的,即由加密后的字符串不能反推回来原来的密码,如果能反推回来那这个加密是没有意义的。著名的加密算法,比如 MD5,SHA1。下面就来介绍如何用shiro进行MD5加密并验证1.在注册的时候将前端传过来的密码入数据库之前进行加密public void encryptPassword(User ...
spring整合shiro认证
qq_43227109的博客
02-20 131
spring与shiro整合第一步要引入pom文件 (shiro-core shiro-spring shiro-web)三个shiro相关的文件 版本要一致 第二步在web.xml里配置过滤器 可跟其他过滤器放一起 &lt;!-- shiro过滤器定义 --&gt; &lt;filter&gt; &lt;filter-name&gt;shiroFilter&lt;/f...
Java系列技术之安全框架Shiro
12-31
在SSM基础下整合使用安全框架Shiro,本课将设计导Spring和Shrio整合起来应用的核心知识点都讲到了,学习本课后能够在项目中将Shro用起来。
Shiro加密
陈正的博客
08-14 701
接本人的上篇文章《Shiro认证、角色、权限》,这篇文章我们来学习shiro的加加密实现 自定义Realm: package com.czhappy.realm; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; impor...
Shiro+SpringMVC 实现更安全的登录(加密匹配&登录失败超次数锁定帐号)
热门推荐
小灯光环
09-17 4万+
关于shiro实现登录中的安全加密匹配与登录失败超次数锁定账户的功能。
QT5 FTP 客户端 实现多文件下载 上传
最新发布
08-01
QT5 FTP 客户端 实现多文件下载 上传
Apache Shiro 权限认证框架详解与实战
"Apache Shiro 是一个开源的安全框架,专注于身份验证、授权、会话管理和加密。它设计简洁,易于理解和使用,适用于各种...通过 Shiro,开发者可以快速地实现用户验证、权限控制、会话管理以及数据加密等关键安全功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值