Shiro学习_02(认证)

最新推荐文章于 2024-07-24 10:35:36 发布
最新推荐文章于 2024-07-24 10:35:36 发布
阅读量86 收藏
点赞数
文章标签: shiro 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javaee520/article/details/117900285
版权

Shiro身份验证

  • 认证: 判断一个用户是否为合法用户的处理过程。即提供用户名和密码,检验是否与数据库存储的用户名密码一致。

Shrio中认证的管家对象

  • Subject:主体

访问系统的用户

  • Principal:身份信息

身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。
一个主体可以有多个principals,但只有一个Primary principals,一般是用户名/密码/手机号

  • Credential:凭证信息

证明 / 凭证,即只有主体知道的安全值,如密码 / 数字证书等。

认证流程

使用加密认证(MD5+Salt+Hash)

MD5加密

package com.shiro.util;

import org.apache.shiro.crypto.hash.Md5Hash;

import java.util.UUID;

public class TestShiroMD5 {
    public static void main(String[] args) {
        // 可以使用uuid作为盐值
        String uuid = UUID.randomUUID().toString().replace("-", "");
        System.out.println("UUID: "+uuid);
        // 使用md5 + salt + hash散列(参数代表要散列多少次,一般是 1024或2048)
        Md5Hash md5Hash2 = new Md5Hash("123456", uuid, 1024);
        System.out.println(md5Hash2.toHex());
    }
}
  • 输出

UUID: 3e451cd1bce14b5e86588a13559c83d6
094aa06418bda3cbb3cb61c875e6c5a9

自定义加密的Realm

package com.shiro.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;


/**
 * 使用自定义realm 加入md5 + salt +hash
 */
public class CustomerMd5Realm extends AuthorizingRealm {

    /**
     * 授权
     *
     * @param principals
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    /**
     * 认证
     *
     * @param token
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 获取token中的用户名和密码
        String principal = (String) token.getPrincipal();
        String credentials = new String((char[]) token.getCredentials());

        // 模拟数据库查询到的信息
        String username = "shiro";
        // 密码使用MD5生成加密后的密码”123456“
        String password = "094aa06418bda3cbb3cb61c875e6c5a9";
        // 使用uuid生成的值作为盐值
        String salt = "3e451cd1bce14b5e86588a13559c83d6";

        // 根据用户名查询数据库
        if (username.equals(principal)) {
            /**
             * 依次传入:账号信息、加密后的密码、密码加密的盐值、当前realm对象的name
             */
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(principal
                    , password
                    , ByteSource.Util.bytes(salt)
                    , this.getName());

            return simpleAuthenticationInfo;
        }
        return null;
    }
}

使用加密Realm认证

package com.shiro.test;

import com.shiro.realm.CustomerMd5Realm;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;

@Slf4j
public class TestCustomerMd5RealmAuthenicator {

    public static void main(String[] args) {
        // 1.创建安全管理员
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        // 2.注入realm
        CustomerMd5Realm realm = new CustomerMd5Realm();
        // 3.设置realm使用hash凭证匹配器
        HashedCredentialsMatcher credentialsMathcher = new HashedCredentialsMatcher();
        // 设置使用的算法
        credentialsMathcher.setHashAlgorithmName("md5");
        // 设置散列次数
        credentialsMathcher.setHashIterations(1024);

        realm.setCredentialsMatcher(credentialsMathcher);
        defaultSecurityManager.setRealm(realm);

        // 4.将安全管理器注入安全工具
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        // 5.通过安全工具类获取subject
        Subject subject = SecurityUtils.getSubject();
        // 6.认证
        UsernamePasswordToken token = new UsernamePasswordToken("shiro", "123456");

        try {
            subject.login(token);
            log.info("登录成功");
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            log.error("用户名错误");
        } catch (IncorrectCredentialsException e) {
            e.printStackTrace();
            log.error("密码错误");
        }
    }
}

未加密

自定义Realm

package com.shiro.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

/**
 * 自定义Realm
 */
public class CustomerRealm extends AuthorizingRealm {

    /**
     * 授权
     *
     * @param principals
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    /**
     * 认证
     *
     * @param token
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 从token中获取用户名
        String principal = (String) token.getPrincipal(); //得到用户名
        String credentials = new String((char[])token.getCredentials()); //得到密码
        System.out.println(principal);
        System.out.println(credentials);

        // 在实际开发中,用户身份信息是从数据库中查询的
        // 假设从数据库中获取了用户名和密码
        String username = "shiro";
        String password = "123456";

        if (username.equals(principal)) {
            /**
             * principal: 数据库的用户名
             * password: 数据库的密码
             * this.getName(): 提供当前realm的名字
             */
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(principal
                    , password
                    , this.getName());

            return simpleAuthenticationInfo;
        }
        return null;
    }
}

使用未加密Realm认证

package com.shiro.test;

import com.shiro.realm.CustomerRealm;
import lombok.extern.slf4j.Slf4j;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;

/**
 * 测试自定义的Realm
 */
@Slf4j
public class TestAuthenticatorCusttomerRealm {

    public static void main(String[] args) {
        // 1.创建安全管理对象securityManager
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        // 2.给安全管理器设置realm(设置为自定义realm获取认证数据)
        defaultSecurityManager.setRealm(new CustomerRealm());
        // 3.给安装工具类中设置默认安全管理器
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        // 4.获取主体对象subject
        Subject subject = SecurityUtils.getSubject();
        // 5.创建token令牌
        UsernamePasswordToken token = new UsernamePasswordToken("shiro", "123456");

        try {
            // 用户登录
            subject.login(token);
            log.info("登陆成功");
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            log.error("用户名或密码错误");
        }
    }
}
hanlin-hl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
shiro_tool.zip
11-18
学习和使用Shiro,你可以了解如何创建安全的登录系统,如何实现基于角色的权限控制,以及如何管理用户会话。此外,熟悉Shiro的事件监听和缓存机制也能帮助优化性能。在实际项目中,Shiro可以很好地与Spring Boot等...
Shiro教程_原版_带目录_开涛
06-15
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份认证、授权、加密以及会话管理功能,简化了在 Java 应用程序中处理安全性的过程。本教程由知名开发者开涛编撰,旨在帮助开发者快速掌握 Shiro 的核心概念与...
Realm数据库使用教程(七):数据库加密Realm使用注意事项
黄孝果的博客
12-20 4769
Realm数据库使用教程(六):数据迁移数据库加密Realm自带数据库加密,需要64位字节数据进行加密。 官方原文Realm 文件可以通过传递一个512位(64字节)的密钥参数给 Realm.getInstance().encryptionKey() 来加密存储在磁盘上。byte[] key = new byte[64]; new SecureRandom().nextBytes(key); Rea
shiro-密码比较的设计 CredentialsMatcher -为什么Java中的密码优先使用 char[] 而不是String?
热门推荐
汪小哥
12-23 1万+
密码比较 昨天的时候,笔者仔细的追踪了,整个获取信息的主要的设计,通过用户的唯一标识得到 AuthenticationInfo 然后和 AuthenticationToken (用户名 密码),进行比较! 有一个专门的设计类,用来处理密码匹配的比较的。而且很复杂~AuthenticatingRealm中有一个成员变量 private CredentialsMatcher credenti
Shiro学习_01(入门)
hanlin
06-14 117
Shrio简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 shiro主要功能 Subject: 主体,代表了当前 “用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫,机器人等;即一个抽象概念; 所有 Subject 都绑定到 SecurityManager,与 Subject 的所有交互
Shiro学习认证和授权
wsb_2526的博客
03-11 393
但是这种方式是有缺陷的,一般我们会从数据库中读取权限,然后进行设置,所以可以对上面的配置方式进行改造,通过工厂方法创建bean。1、继承AuthorizingRealm类,重写doGetAuthorizationInfo方法,在其中实现授权的逻辑;2、在controller中的方法上使用@RequiresPermissions注解表明需要的权限;ShiroFilter中可以通过下面的方式:配置哪些页面需要受保护. ,以及访问这些页面需要的权限。
shiro_shiro_
10-03
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常方便地开发出足够安全的应用。Shiro 不仅可以用于Java Web ...Shiro 的源码结构清晰,注释详尽,非常适合学习和研究。
[资料][Java]跟我学Shiro教程_Java跟我学Shiro教程_shiro_
10-03
通过学习本教程,你将掌握 Shiro 的基本概念和用法,能够熟练地在 Java 应用中引入 Shiro 进行安全控制,为你的项目增添一道安全屏障。阅读 "[资料][Java]跟我学Shiro教程.pdf",你将得到更详细的步骤指导和实践案例...
jfina_shiro_jfinal+shiro_fromjh1_shiro_
10-04
1. **Shiro 概述**:Apache Shiro 是一个强大且易用的 Java 安全框架,处理认证、授权、加密和会话管理。它可以被轻松地嵌入到任何应用中,提供了一种声明式的安全控制。 2. **Shiro 认证**:Shiro 提供了用户身份...
Lianwei 安全周报|2024.07.22
联蔚盘云的博客
07-22 752
新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
最新发布
lupai的博客
07-24 298
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 934
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
ForCloud全栈安全体验,一站式云安全托管试用 开启全能高效攻防
亚信安全官方账号的博客
07-19 572
一站式云安全托管限时试用 开启全能高效攻防
HDShredder 7 企业版案例分享: 依照国际权威标准,安全清除企业数据
sanyuan7783的博客
07-24 931
符合国际权威标准软件操作符合多种主流国际权威标准,包括 DoD 5200, BSI, VSITR, NCSC, NIST 及 GOST,支持擦除单个分区和区域,并可自由定制擦除模式。对于“Clear”清除级别,软件操作符合 ISO 27001, DIN 66399 以及 NIST SP 800-88R1要求。对于“Purge”级别,则使用 SecureErase 功能。安全擦除证书软件生成准确的安全清除证书,包括时间戳、序列号、以及清除过程的所有细节信息。远程擦除 - 使用 NetDisk 技术。
简析漏洞生命周期管理的价值与关键要求
XRY_XIAO的博客
07-22 974
简析漏洞生命周期管理的价值与关键要求
防火墙--内容安全
banliyaoguai的博客
07-20 1188
内容安全是指对互联网上的内容进行监测、筛选和管理,以确保用户在浏览、使用互联网内容时的安全和合法性。各个厂商在进行内容安全的检测、分析和处理的过程被称为引擎。下面以华为IAE引擎来对内容安全进行学习ID:区分不同的签名对象:服务器,客户端。一般我们将发起连接的设备角色认定为客户端,响应连接并提供服务的角色认定为服务器。严重性:该行为一旦爆发之后,对我们网络系统的影响程度的评级协议/应用程序:这种攻击所承载的协议或者应用。
服务攻防-框架安全(漏洞复现)
m0_74402888的博客
07-21 540
Node.js库中的systeminformation软件包中存在一个命令注入漏洞(CVE-2021-21315。运行dockers容器。
安全防御:双机热备
AXDRXS的博客
07-19 1411
因为防火墙上不仅需要同步配置信息,还需要同步状态信息(会话表等),所以,防火墙不能像路由器那样单纯的靠动态协议来实现切换,需要用到双机热备技术。也存在冷备的概念,仅工作一台设备,备份一台设备,备份设备仅同步配置,并不工作,只有在主设备出现故障时,再由管理员替换工作,冷备可能会造成较长时间的业务中断.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hanlin-hl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值