shiro认证(自定义realm,shiro与spring整合,shiro的md5盐加密)

最新推荐文章于 2021-09-18 14:08:19 发布
最新推荐文章于 2021-09-18 14:08:19 发布
阅读量316 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/f_1314520/article/details/85629789
版权

1.导入基于Shiro的数据库脚本
例如:

  t_sys_user
  t_sys_role
  t_sys_permission 
  t_sys_user_role
  t_sys_role_permission

关联关系:

    用户与角色         角色与权限
    用户--------------角色---------------权限

2.自定义Realm
Shiro从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。

最基础的是Realm接口,CachingRealm负责缓存处理,AuthenticationRealm负责认证,AuthorizingRealm负责授权。

通常自定义的realm继承AuthorizingRealm

注1:体系结构见“shiro提供的realm.png”

AuthorizationInfo:授权信息
AuthenticationInfo:认证信息
3.Spring与Shiro集成

  1. 配置自定义Realm

    //注入UserService实现类,通过账号密码登录时实现基于Shiro身份认证识别

    //盐加密算法配置,详见7.2

  2. 注册安全管理器
    将自定义的Realm设置到Shiro的SecurityManager中,在Shiro授权和认证时使用自定义的Realm数据源进行校验

  1. 配置Shiro核心过滤器
    Shiro核心过滤器用于拦截请求,通过给定的授权认证机制对用户访问身份和权限进行认证识别
    详见“Shiro核心过滤器配置.txt”

filterChainDefinitions Shiro过滤链定义类型:
(1) anon,authcBasic,auchc,user是认证过滤器
(2) perms,roles,ssl,rest,port是授权过滤器

  1. 配置Shiro生命周期
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

4.修改web.xml文件,添加shiroFilter的配置
注:使用的代理类DelegatingFilterProxy
如:

<!-- shiro过滤器定义 -->
  <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
      <!-- 该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理 -->
      <param-name>targetFilterLifecycle</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

5.创建LoginController实现Shiro身份认证登录

//用户登录
public String login(请求参数){

//关键代码
Subject subject=SecurityUtils.getSubject();
UsernamepasswordToken token=new UsernamepasswordToken(
账号,
密码
);
subject.login(token);

}

//退出登录
public String logout(){

//关键代码
Subject subject=SecurityUtils.getSubject();
subject.logout();

}

6.创建login.jsp

7.盐加密
md5

7.1 生成加密密码PasswordHelper类(盐加密)

MD5+散列1024+Hex/Base64
如:

package com.zking.ssm.util;


import org.apache.shiro.crypto.RandomNumberGenerator;
import org.apache.shiro.crypto.SecureRandomNumberGenerator;
import org.apache.shiro.crypto.hash.SimpleHash;

/**
 * 用于shiro权限认证的密码工具类
 */
public class PasswordHelper {

    /**
     * 随机数生成器
     */
    private static RandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator();

    /**
     * 指定hash算法为MD5
     */
    private static final String hashAlgorithmName = "md5";

    /**
     * 指定散列次数为1024次,即加密1024次
     */
    private static final int hashIterations = 1024;

    /**
     * true指定Hash散列值使用Hex(十六进制)加密存. false表明hash散列值用用Base64-encoded存储
     * 嵌入式编程
     */
    private static final boolean storedCredentialsHexEncoded = true;

    /**
     * 获得加密用的盐
     *
     * @return
     */
    public static String createSalt() {
        return randomNumberGenerator.nextBytes().toHex();
    }

    /**
     * 获得加密后的凭证
     *
     * @param credentials 凭证(即密码)
     * @param salt        盐
     * @return
     */
    public static String createCredentials(String credentials, String salt) {
        SimpleHash simpleHash = new SimpleHash(hashAlgorithmName, credentials,
                salt, hashIterations);
        return storedCredentialsHexEncoded ? simpleHash.toHex() : simpleHash.toBase64();
    }


    /**
     * 进行密码验证
     *
     * @param credentials        未加密的密码
     * @param salt               盐
     * @param encryptCredentials 加密后的密码
     * @return
     */
    public static boolean checkCredentials(String credentials, String salt, String encryptCredentials) {
        return encryptCredentials.equals(createCredentials(credentials, salt));
    }

    public static void main(String[] args) {
        //盐
        String salt = createSalt();
        System.out.println("随机生成的盐:"+salt);
        System.out.println(salt.length());
        //凭证+盐加密后得到的密码
        String credentials = createCredentials("123", salt);
        System.out.println("加密后的串:"+credentials);
        System.out.println(credentials.length());
        boolean b = checkCredentials("123", salt, credentials);
        System.out.println(b);
    }
}

7.2 修改applicationContext-shirod的自定义Realm配置,增加以下:

<!-配置Shiro明文密码如何进行加密->

ByteSource.Util.bytes(user.getSalt())

f_1314520
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring配置shiro自定义Realm中属性无法使用注解注入的解决办法
08-26
Spring集成Shiro进行安全控制时,我们常常需要自定义Realm来实现权限验证与授权功能。然而,在实际操作中,可能会遇到一个问题:当我们在自定义Realm类中使用注解(@Autowired)尝试注入Spring管理的Bean时,这些...
Spring Boot 整合Shiro(二)加密登录与密码加处理
云下的你
08-22 1362
该项目是根据上篇《Spring Boot 整合Shiro(一)登录认证和授权(附源码)》进行配置,若有不明白的请先查看上篇文章。 1.加密工具 用户注册时的密码用这个加密保存数据库 /** * 账户密码加密 * @param username * @param pwd * @return */ public static S...
SpringBoot整合shiro加密详解
热门推荐
和我一起学习吧
04-04 1万+
值是什么首先我们来探讨一下关于密码安全的问题在一个系统中我们通常会将用户名和密码存在数据库中,如果我们直接将密码存入数据库,会存在很大的安全隐患,比如:数据库被盗,传输过程中被黑客拦截,这都是很常见的问题,数据库所在的服务并不是绝对的安全,传输过程中也有可能被黑客拦截得到你传输的数据获得一些隐私的数据,并篡改后发往服务器。那么针对这种问题我们如何解决呢,安全在升级,骇客的技术同样也在进步,一个网...
Spring Boot 整合 shiro加密认证详解(六)
深入Java世界:探索编程之美与技术深度
09-18 563
Spring Boot 整合 shiro加密认证详解概述不加认证 概述 上一篇博客我们主要讲了自定义 Realm,里面的用户认证所使用的密码都是明文,这种方式是不可取的,往往我们在实战开发中用户的密码都是以密文形势进行存储,并且要求加密算法是不可逆的,著名的加密算法有MD5、SHA1等。所以这篇博客我们主要介绍 Shiro 安全框架学习它的加密方案。这里我们采用md5的方式加密,然后呢。md5加密又分为加,和不加。 不加认证 ...
shiro自定义Realm+MD5加密、加
lbl123xx的博客
12-03 533
shiro自定义Realm+MD5加密、加 1.加载依赖 &lt;dependency&gt; &lt;groupId&gt;junit&lt;/groupId&gt; &lt;artifactId&gt;junit&lt;/artifactId&gt; &lt;version&gt;4.12&lt;/version&gt; &lt;/dependency&gt; &
Springboot整合Shiro之加MD5加密的方法
08-26
在本文中,我们将介绍如何在 Spring Boot 项目中整合 Shiro 框架,并使用加 MD5 加密来实现身份认证Shiro 是一个功能强大且灵活的安全框架,提供了身份认证、授权、会话管理、缓存等功能。在 Spring Boot 项目中...
用于测试shiro自定义Realm的测试代码
04-05
在这个名为“用于测试shiro自定义Realm的测试代码”的项目中,我们主要关注的是如何自定义Realm来适应特定的认证和授权需求。 RealmShiro中扮演着核心角色,它是Shiro与应用程序特定的安全存储(如数据库、...
SpringShiro整合及加载权限表达式问题
08-25
SpringShiro整合及加载权限表达式问题 SpringShiro整合是一种常见的身份验证和授权机制,Shiro提供了强大的权限控制机制,而Spring是一个流行的Java框架。这篇文章主要介绍了如何将SpringShiro整合,並加载...
shirospring 整合、动态过滤链、以及认证、授权.docx
最新发布
07-20
Apache Shiro 是一个轻量级的安全管理框架,与 Spring Security 相比,它的认证和授权流程更为简单易懂。Shiro 提供了原生会话(native-session)机制,允许在不依赖容器的 Session 实现情况下,存储和管理用户的...
详解Springboot整合Shiro加散列实现登陆注册小案例
一条会编程的鱼
01-08 489
前言 Springboot和Shiro的基本介绍我就不多说了,能看到这篇文章的相信也都会用。这篇文章主要是分享一下我在学习ShiroSpringboot的整合的小阶段。目前是复习,很感谢B站的up主——编程不良人的视频让我有了一个学习Shiro的基本方向。 目前是实现了用户认证的功能。 依赖 整合的时候使用的是jsp,其实和thymeleaf一个道理,而且不涉及到作用域传值。我们需要导入的依赖有:mysql、mybatis、jsp、jstl、shiro-springboot、test、web、lombok
SpringBoot/SpringMVC整合Shiro:实现登录与注册(MD5加密
因特马
01-07 1万+
本文欢迎转载,转载前请联系作者,经允许后方可转载。转载后请注明出处,谢谢! http://blog.csdn.net/colton_null 作者:喝酒不骑马 Colton_Null from CSDN 终于终于,用正确姿势搭建了一个Spring框架下整合Shiro的登录注册的DEMO。 因为还有其他事情要忙,所以有关这个shiro的demo前前后后鼓捣了一周多。为啥多花这么多时间? 按
Shiro入门(五)Shiro自定义Realm加密算法
jwang的博客
05-11 2150
前言 本章讲解shiro自定义realm和它的加密算法 方法 1.概念 通过前面的讲解,我已经带入了自定义Realm的相关概念。那么为什么要自定义realm呢?显而易见,我们在数据库中创建的users表和它的字段受限于shiro自己的jdbcRealm,所以通常情况下我们需要使用自己的表,跟着必须使用自定义realm。 再者,在用户表中,密码字段的值是一个敏感的存在。我们需...
springboot整合shiro(含MD5加密)
weixin_34050389的博客
05-08 334
写在前面: 关于shiro介绍以及shiro整合spring,我在另一篇文章中已详细介绍,此处不作说明,请参考spring整合shiro。点我下载源码。 开发环境: 1、mysql - 5.7.21 2、navicat(mysql客户端管理工具) 3、idea 2017 4、jdk9 5、tomcat 8.5...
shiro自定义密码匹配验证,密码加密验证。
Kally_Wang的专栏
03-28 1万+
1.更改shiro安全管理配置 是jeesite写的,Spring自动注入。 2.自定义密码验证 /** * Description: 告诉shiro如何验证加密密码,通过SimpleCr
Shiro加密方式-yellowcong
12-17 1万+
Shiro加密验证,是通过自身的方式来进行验证的。有无加密加密的两种验证方式。在密码的生成方面,我们可以通过`SimpleHash`来生成密码。
使用shiro提供得加密方法对密码进行加密存储和认证
weixin_42543911的博客
06-03 6688
使用MD5对密码进行加密主要包括两个部分,一个是对密码得密文存储而非明文存储,第二个是对密码的加密认证。 1.首先是对密码的加密存储。 首先我们编写一个注册的jsp页面。 <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <!DOCTYPE ...
Shiro realm自定义MD5加密加哈希散列
leonsccott的博客
06-26 307
1、Shrio使用md5、随机salt、hash散列 导入shiro依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.5.3</version> </dependency> 在shiro中有一个函数可以自动生成MD5+salt+hash
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值