Shiro认证-SSM

最新推荐文章于 2023-03-15 17:02:29 发布
最新推荐文章于 2023-03-15 17:02:29 发布
阅读量97 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67596612/article/details/124106266
版权

在 shiro 中,用户需要提供principals (身份)和credentials(凭证)给shiro,从而应用能验证用户身份。即帐号/密码

示例:

1.添加依赖:

添加日志配置 
 <!-- **********************  日志配置  ********************** -->
    <dependency>
      <groupId>org.slf4j</groupId>
      <artifactId>slf4j-api</artifactId>
      <version>${slf4j.version}</version>
    </dependency>
    <dependency>
      <groupId>org.slf4j</groupId>
      <artifactId>jcl-over-slf4j</artifactId>
      <version>${slf4j.version}</version>
      <scope>runtime</scope>
      <exclusions>
        <exclusion>
          <artifactId>slf4j-api</artifactId>
          <groupId>org.slf4j</groupId>
        </exclusion>
      </exclusions>
    </dependency>
    <!--2) 用于与slf4j保持桥接-->
    <dependency>
      <groupId>org.apache.logging.log4j</groupId>
      <artifactId>log4j-slf4j-impl</artifactId>
      <version>${log4j2.version}</version>
      <exclusions>
        <exclusion>
          <artifactId>slf4j-api</artifactId>
          <groupId>org.slf4j</groupId>
        </exclusion>
      </exclusions>
    </dependency>
    <!--3) 核心log4j2jar包-->
    <dependency>
      <groupId>org.apache.logging.log4j</groupId>
      <artifactId>log4j-api</artifactId>
      <version>${log4j2.version}</version>
    </dependency>
    <dependency>
      <groupId>org.apache.logging.log4j</groupId>
      <artifactId>log4j-core</artifactId>
      <version>${log4j2.version}</version>
    </dependency>
    <!--4) web工程需要包含log4j-web,非web工程不需要-->
    <dependency>
      <groupId>org.apache.logging.log4j</groupId>
      <artifactId>log4j-web</artifactId>
      <version>${log4j2.version}</version>
      <scope>runtime</scope>
    </dependency>
    <!--5) 需要使用log4j2的AsyncLogger需要包含disruptor-->
    <dependency>
      <groupId>com.lmax</groupId>
      <artifactId>disruptor</artifactId>
      <version>${log4j2.disruptor.version}</version>
    </dependency>

 ​​​​​​​

2.自定义Realm

Shiro从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。
  最基础的是Realm接口,CachingRealm负责缓存处理,AuthenticationRealm负责认证,AuthorizingRealm负责授权。

  通常自定义的realm继承AuthorizingRealm

  注1:体系结构见“shiro提供的realm.png”

  AuthorizationInfo:授权信息
  AuthenticationInfo:认证信息

 

3.编写登录的Mapper 

 

 

 

 实现登录方法

 

4.Spring与Shiro集成

  1) 配置自定义Realm
  <bean id="shiroRealm" class="com.zking.ssm.book.shiro.ShiroRealm">
      //注入UserService实现类,通过账号密码登录时实现基于Shiro身份认证识别
      //盐加密算法配置,详见7.2
  </bean>

  2) 注册安全管理器
  将自定义的Realm设置到Shiro的SecurityManager中,在Shiro授权和认证时使用自定义的Realm数据源进行校验

  <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
      <property name="realm" ref="shiroRealm" />
  </bean>

  3) 配置Shiro核心过滤器
  Shiro核心过滤器用于拦截请求,通过给定的授权认证机制对用户访问身份和权限进行认证识别
  详见“Shiro核心过滤器配置.txt”
  
  filterChainDefinitions Shiro过滤链定义类型:
  (1) anon,authcBasic,auchc,user是认证过滤器 
  (2) perms,roles,ssl,rest,port是授权过滤器

  <!--anon 表示匿名访问,不需要认证以及授权-->
  <!--authc表示需要认证 没有进行身份认证是不能进行访问的-->
  <!--roles[admin]表示角色认证,必须是拥有admin角色的用户才行-->
  <!--user表示用户不一定已通过认证,只要曾被Shiro记住过登录状态的用户就可以正常发起请求,比如rememberMe-->
  <!--perms表示指定过滤规则,这个一般是扩展使用,不会使用原生的-->
  <!--port表示请求的URL端口验证-->
  <!--ssl表示安全的URL请求,协议为https-->
  <!--rest表示根据请求的方法,如post、get、delete等-->

5.配置Shiro生命周期

  <!-- Shiro生命周期,保证实现了Shiro内部lifecycle函数的bean执行 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

6.修改web.xml文件,添加shiroFilter的配置

 注:使用的代理类DelegatingFilterProxy

 <!-- shiro过滤器定义 -->
  <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
      <!-- 该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理 -->
      <param-name>targetFilterLifecycle</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

7.实现Shiro身份认证登录

  //用户登录
  public String login(请求参数){
     ...
     //关键代码
     Subject subject=SecurityUtils.getSubject(); 
     UsernamepasswordToken token=new UsernamepasswordToken(
         账号,
         密码
     );
     subject.login(token);
     ...
  }
 
  //退出登录
  public String logout(){
     ...
     //关键代码
     Subject subject=SecurityUtils.getSubject(); 
     subject.logout();
     ...
  }

7.盐加密

  7.1 生成加密密码PasswordHelper类(盐加密)
  
  MD5+散列1024+Hex/Base64

  7.2 修改applicationContext-shirod的自定义Realm配置,增加以下:

  <!--配置Shiro明文密码如何进行加密-->
  <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
  <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
  <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
  <!--以下三个配置告诉shiro将如何对用户传来的明文密码进行加密-->
  <property name="credentialsMatcher">
     <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
        <!--指定hash算法为MD5-->
        <property name="hashAlgorithmName" value="md5"/>
        <!--指定散列次数为1024次-->
        <property name="hashIterations" value="1024"/>    
        <!--true指定Hash散列值使用Hex加密存. false表明hash散列值用用Base64-encoded存储-->
        <property name="storedCredentialsHexEncoded" value="true"/>
     </bean>
  </property>
  
  

易言楠尽@
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Shiro认证+盐加密
qq_44271884的博客
10-14 246
Shiro认证 Pom依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.3.2</version> </dependency> &...
Shiro----散列算法(算法加密)
qq_48788523的博客
01-11 3438
Shiro , 走一走,瞧一瞧,md5加密密码, 保护你
Shiro(四)——Shiro使用MD5散列算法加密
Bejpse的博客
04-07 699
散列算法 通常要对密码进行散列,常用的有md5、sha等。 对MD5加密,如果知道散列后的值可以通过穷举法,得到MD5密码对应的明文。建议对MD5进行散列时加salt(盐),进行加密相当于对原始密码+盐 进行散列。 正常使用时散列方法: 在程序中对原始密码+盐进行散列,将散列值存储到数据库中,并且还要将盐也要存储在数据库中。 如果进行密码对比时,使用相同方法,将原始密码+盐进行散列,进行对比。 MD5散列测试程序 public class MD5Test { public static void main
Shiro认证时的密码比对
weixin_30478757的博客
07-04 550
Shiro认证时的密码比对 在前面一节《Shiro在Web环境下集成Spring的大致工作流程》的最后一步中提到由Shiro完整密码比对。 那么具体是怎么工作的? 1,既然shiro会把密码来进行比对,当然会调用 UserNamePasswordkToken 中的 getPassword() 方法了。在该方法中打上断点,往前跟踪一下即可。 ...
Shiro 登录认证源码详解
m0_52789121的博客
08-24 230
Apache Shiro 是一个强大且灵活的 Java 开源安全框架,拥有登录认证、授权管理、企业级会话管理和加密等功能,相比 Spring Security 来说要更加的简单。本文主要介绍 Shiro 的登录认证(Authentication)功能,主要从 Shiro 设计的角度去看这个登录认证的过程。去获取安全的「用户名」和「密码」,然后对比,一致则登录,不一致则登录失败。答案是:使用了组合。整个过程中,如果登录失败,就抛出异常,是使用异常来进行逻辑控制的。方法,传入登录的「用户名」和「密码」,然后。
Shiro --- shiro认证-SSM
ty0714的博客
04-18 346
重要: 在 shiro 中,用户需要提供principals (身份)和credentials(凭证)给shiro,从而应用能验证用户身份-------------------------即 帐号 / 密码 1.导入基于Shiro的数据库脚本 t_sys_user:用户信息表,例如:zs/ls/ww t_sys_role:用户角色表,例如:管理员/普通员工/部门经理/技术总监/CEO t_sys_permission:权限信...
Shiro 认证 & 盐加密- SSM
qq_44641053的博客
10-13 253
Shiro 认证 - SSMShiro认证盐加密 本章目标: 1、shiro认证 2、盐加密 请先参考我的另一篇博客 Shiro 入门使用 ,能更好的理解本章内容,Shiro 入门使用:https://blog.csdn.net/qq_44641053/article/details/102527260 Shiro认证 1、Pom依赖: <dependency> &...
你有多了解Shiro认证-SSM
weixin_64313980的博客
08-25 247
一,盐加密前言在面对这个网络世界的时候,密码安全总是各个公司和用户都非常关心的一个内容,毕竟现在大家不管是休闲娱乐还是学习购物都是通过网上的帐号来进行消费的,所以我们通常会给用户的密码进行加密。在加密的时候,经常会听到“加盐”这个词,这是什么意思呢?我们通常会将用户的密码进行 Hash 加密,如果不加盐,即使是两层的 md5 都有可能通过彩虹表的方式进行破译。彩虹表就是在网上搜集的各种字符组合的 Hash 加密结果。...............
注释最全,一步步详解 shiro-ssm登录认证权限授予验证案例.zip
09-04
在本案例中,我们将深入探讨如何将 Shiro 与 Spring(SSM)框架整合,实现用户登录认证和权限授予功能。 1. **Shiro 的核心组件**: - **Authentication(认证)**:验证用户身份,通常涉及到用户名和密码的验证。...
几个MD5加密的例子
12-22
这是我个人收集的几种MD5加密方式,分享一下
shiro授权-SSM
m0_67476502的博客
04-12 91
1.添加角色和权限的授权方法 //根据username查询该用户的所有角色,用于角色验证 Set<String> findRoles(String username); //根据username查询他所拥有的权限信息,用于权限判断 Set<String> findPermissions(String username); 2.自定义Realm配置Shiro授权认证 1) 获取验证身份(用户名) 2) 根据身份(用户名)获取角色和权限信息 3) ...
Apache Shiro 哈希
王浩的技术博客
12-21 134
如果你曾使用过JDK的MessageDigest类,你会立刻意识到它的使用有点麻烦。MessageDigest类有一个笨拙的基于工厂的静态方法API,它不是面向对象的,并且你被迫去捕获那些永远都不必捕获的CheckedExceptions。如果需要输出十六进制编码或Base64编码的消息摘要,你只有靠自己-对上述两种编码,没有标准的JDK支持它们。Shiro用一种干净而直观的哈希API解决了上述问...
shiro集成 spring-加密md5配置--权限管理-shiro中的session 等等!!
qq_62898618的博客
09-17 1183
shiro测试数据密码:3kvh创建好 实体 model​​​​​/*** 提供授权信息* @return*/@Override//放入用户信息 用户身份//获取用户所拥有的权限}​/*** 提供认证信息* @return*/@Overridethrow new UnknownAccountException("用户 :" +username +"不存在");}
shiro安全框架、MD5加密
Pursuit_li的博客
03-15 144
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。
Shiro认证及盐加密
qq_44847231的博客
10-14 173
导入相关pom依赖: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.3.2</version> </dependency> <...
shiro使用Md5认证
weixin_58286934的博客
02-18 336
用户提交的原始密码通常可以称之为“明文密码”,或“密码的原文”,经过编码处理后,得到的结果通常是不能被直接识别的另一个数据,称之为“密文”。数据库的密码一般都是采用的MD5加密,很容易被破解,如果数据库被攻击,那么会造成用户隐私泄露或者别的大事件,所以。当用户提交注册信息时,密码必须被记录下来,为了保障密码安全,必须对用户提交的原始密码进行加密处理!用户在使用软件时所提交的密码,不应该被记录下来,如果将用户的密码记录,这是不安全的做法!库信息对比,这样的话就算数据库备入侵,也很难拿到密码。
单元测试使用Shiro简单实现用户认证 授权 MD5加盐加密,用户验证源码分析
weixin_43718423的博客
11-30 710
文章目录在学习shiro之前 先来简单的了解一下什么是shiro在学习之前 先来看看本次文章需要掌握的知识: (预先了解一下大概会有什么)测试阶段用户认证实现用户 认证 执行流程源码用户授权实现MD5 加盐加密 在学习shiro之前 先来简单的了解一下什么是shiro Apache Shiro 是一个强大易用的 Java 安全框架,提供了认证、授权、加密和会话管理等功能,对于任何一个应用程序,Shiro 都可以提供全面的安全管理服务。 Shiro能干什么? 1.权限管理(自定义权限注解/加载权限) 2.角
jsp+jdbc实现用户登录_使用Shiro的加密与解密实现简单用户注册与登录验证
weixin_39897746的博客
11-27 228
编码与解码Shiro 提供了 base64 和 16 进制字符串编码、解码的 API 支持,方便一些编码解码操作。Shiro 内部的一些数据的存储 、表示都使用了 base64 和 16 进制字符串。1、base64 编码与解码String str = "admin";String base64Encoded = Base64.encodeToString(str.getBytes());Stri...
shiro框架跟ssm有什么区别
最新发布
09-28
- Shiro框架主要用于安全验证和权限管理,提供了身份认证和访问控制的功能。 - SSM框架是一个综合性的开发框架,包括Spring、SpringMVC和MyBatis,用于开发Java Web应用。 2. 侧重点不同: - Shiro框架的主要侧...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值