Shiro(二)——
一、shiro 登录流程
1、shiro 登录流程
二、整合 SSM + Shiro
在 SS SHiro 的基础上导入 mybatis。
1、依赖导入
所有依赖:
2、Spring 配置文件
这里是原有配置代码的基础上添加新的进去,而不是只有这个:
这里注释,因为这一块可以通过注解去注释:
然后 MyRealm 添加注解:
然后自己添加一个实体类,写一个查询方法,接着修改 MyRealm:
到这里为止,就算整合完成了。
三、Shiro 密码加密
1、编码方式
2、密码为什么要加密以及认识一些加密算法
密码为什么要加密,一些趣事往事:
一些加密算法:
3、使用加密算法
相同的东西相同的加密算法出来的结果都是一样的。
4、密码加密
5、密码加盐
a、密码为什么要加盐
b、Shiro 如何实现加盐
c、尝试自己加盐(用 username 作为盐)
然后结果可以看到,密码一样,盐不一样,所以密文也不一样:
把这两个密文拷贝到数据库中,设置到对应的 password。
d、MyRealm 中设置盐
需求:数据中存储的是密文,用户输入明文,转成密文后,用密文去对比,如果一致就说明密码正确,所以在 MyRealm 中接收的 password 转成密文(意思是设置盐):
四、JdbcRealm
Realm 接口有很多实现类,其中一个就是 jdbcRealm。jdbcRealm 提供了一套 jdbc 的操作,里面有一些 sql 语句,比如查询 角色、用户名、权限、盐之类的。
1、用 username 来做盐
在 Spring 配置文件里面配置 jdbcRealm:
配好以后就可以测试了。
2、用数据库中的字段来做盐
jdbcRealm 提供的一些操作中,要求的字段名是固定的:
可以看到有个密码盐的字段,如果想要数据库中的这个字段作为盐,也是可以的操作的:
五、自定义访问数据库或字段
第五节所有截图都是在 JdbcRealm 里面配置的。
1、查询语句中字段的顺序
前面说过内部已经定义好了访问的数据库名称和字段名;但如果数据库名 / 字段名就是不同的话,也可以自己自定义访问:
注意:查询的字段中密码必须放在第一位!因为查看源码可以知道解析的第一个就是密码,第二个是盐。
2、在 Spring 配置文件中配置的顺序
查看源码可以看到:
因此,配置中自定义的 SQL 语句的顺序必须放在配置 COLUMN 的下面:
六、多 Realm 配置
1、认识多Realm配置和原理
前面配置的 Realm,都是单个,但实际可以使用多个 Realm,让他们同时生效,比如前面配置过的 MyRealm 和 JdbcRealm 。
这个多 Realm 配置应用的场景比如:让用户选择账号密码登录,手机验证码登录等…
原理:
2、自由配置认证策略
上图中的 2 和 3 需要再解释一下:
AtLeastOneSuccessfulStrategy:至少有一个 Realm 认证成功,就算认证成功,如果已经有一个 realm 认证成功了,后面的其他 realm 还是会继续认证,并且会把其他 realm 认证的结果也保存起来。
FirstSuccessfulStrategy:至少有一个 Realm 认证成功,就算认证成功,如果已经有一个 realm 认证成功了,后面的其他 realm 还是会继续认证,但是不会把其他 realm 认证的结果也保存起来。
再解释(可以通过代码输出结果来理解):
AtLeastOneSuccessfulStrategy 在每个 Realm 认证完成之后,都会把信息保存起来,所以返回的可能是一个集合。而另外一个不是。这就是这两者的区别。
使用自定义认证策略看下一个小节。
3、多 Realm 配置和配置自定义认证策略
4、FirstSuccessfulStrategy 的一些细节配置
这里可以设置这个认证策略的后续是否还要认证。