一、数据库实体类
数据库实体类要包括用户ID、密码、盐值以及账户状态。
username | password | salt | status |
二、自定义Realm
/**
* Shiro自定义Realm
*/
public class MyRealm extends AuthorizingRealm {
@Autowired
private UserService userService;
/**
* 授权
* @param principalCollection
* @return
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
return null;
}
/**
* 认证
* @param authenticationToken
* @return
* @throws AuthenticationException
*
* 客户端传来的 username 和 password 会自动封装到 token,先根据 username 进行查询,
* 如果返回 null,则表示用户名错误,直接 return null 即可,Shiro 会自动抛出 UnknownAccountException 异常。
* 如果返回不为 null,则表示用户名正确,再验证密码,直接返回 SimpleAuthenticationInfo 对象即可,
* 如果密码验证成功,Shiro 认证通过,否则返回 IncorrectCredentialsException 异常。
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
//System.out.println("启动认证");
UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
//获取存放到数据库中的实体类
User user = userService.getByUsername(token.getUsername());
//System.out.println(user);
if(user != null && user.getStatus().equals(1)){
// 参数列表(实体信息,密码,盐值,realm名称)
return new SimpleAuthenticationInfo(user,user.getPassword(), ByteSource.Util.bytes(user.getSalt()),getName());
}
return null;
}
}
三、配置ShiroConfig
/**
* Shiro配置类
*/
@Configuration
public class ShiroConfig {
/*
* 倒序配置
* 1、先自定义过滤器 MyRealm
* 2、创建第二个DefaultWebSecurityManager,将MyRealm注入
* 3、装配第三个ShiroFilterFactoryBean,将DefaultWebSecurityManager注入,并注入认证及授权规则
* */
//3、装配ShiroFilterFactoryBean,并将 DefaultWebSecurityManager 注入到 ShiroFilterFactoryBean 中
@Bean
public ShiroFilterFactoryBean factoryBean(DefaultWebSecurityManager manager){
ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
factoryBean.setSecurityManager(manager);//将 DefaultWebSecurityManager 注入到 ShiroFilterFactoryBean 中
//注入认证及授权规则
return factoryBean;
}
//2、创建DefaultWebSecurityManager ,并且将 MyRealm 注入到 DefaultWebSecurityManager bean 中
@Bean
public DefaultWebSecurityManager manager(MyRealm myRealm){
DefaultWebSecurityManager manager = new DefaultWebSecurityManager();
manager.setRealm(myRealm);//将自定义的 MyRealm 注入到 DefaultWebSecurityManager bean 中
return manager;
}
//1、自定义过滤器Realm
@Bean
public MyRealm myRealm(@Qualifier("hashedCredentialsMatcher") HashedCredentialsMatcher matcher){
MyRealm myRealm = new MyRealm();
// 密码匹配器
myRealm.setCredentialsMatcher(matcher);
return myRealm;
}
/**
* 密码匹配器
* @return HashedCredentialsMatcher
*/
@Bean("hashedCredentialsMatcher")
public HashedCredentialsMatcher hashedCredentialsMatcher(){
HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
// 设置哈希算法名称
matcher.setHashAlgorithmName("MD5");
// 设置哈希迭代次数
matcher.setHashIterations(1024);
// 设置存储凭证(true:十六进制编码,false:base64)
matcher.setStoredCredentialsHexEncoded(true);
return matcher;
}
}
四、从前端获取数据进行登录
@PostMapping(value = "/login")
public Result login(@RequestBody UserVo userVo){
//System.out.println(userVo);
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(userVo.getUsername(), userVo.getPassword());
try {
subject.login(token);
System.out.println("OK");
}catch (UnknownAccountException e) {
...
} catch (IncorrectCredentialsException e) {
...
}
}
-----------------------------------------------
五、其他
5.1、加密工具类
生成随机盐工具类:
public static String getSalt(int n){
char[] chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz01234567890!@#$%^&*()".toCharArray();
StringBuilder stringBuilder = new StringBuilder();
for (int i = 0; i < n; i++) {
char c = chars[new Random().nextInt(chars.length)];
stringBuilder.append(c);
}
return stringBuilder.toString();
}
加密密码工具类:
public static List<String> encryption(String password){
List<String> msg = new ArrayList<>();
String salt = SaltUtil.getSalt(10);
msg.add(salt);
Md5Hash MD5 = new Md5Hash(password, salt, 1024);
msg.add(MD5.toHex());
return msg;
}
返回值是一个String类型的数组,其中msg[0]是盐值,msg[1]是加密后的密码,可以一并保存至数据库中。