Springboot2集成Shiro框架(四)凭证比较器详解

最新推荐文章于 2023-06-19 19:36:20 发布
最新推荐文章于 2023-06-19 19:36:20 发布
阅读量1.2k 收藏 8
点赞数
分类专栏: shiro 文章标签: Springboot2集成Shiro框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/new_yao/article/details/100562044
版权

目录

1、什么是凭证比较器

在第一章,shiro整体架构图上可以看到,shiro为我们提供了密码学工具,和哈希凭据匹配器 HashedCredentialsMatcher 类,下图可以看到此类继承了编解码支持器 CodecSupport 类和实现了 CredentialsMatcher 接口,实现了接口中 boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) 方法,这个方法就可以替我们实现密码比较,他会在调用自定义realm的身份认证方法后来执行!在这里插入图片描述

2、为什么要加密加盐

  • 之前的例子中,我们在自定义realm的 doGetAuthenticationInfo 方法中采用了自己加密和对比密码,不同则抛出 IncorrectCredentialsException 异常的方式对比密码,但是在继续深入学习shiro的过程中,发现了shiro已经为我们提供了自动密码比对工具,我们只要安装上去即可使用。之后会讲到他的执行原理和使用方法。
  • 那么为什么要对数据加密呢?这篇文章可以告诉你答案2018年国内外信息泄露案例汇编,现在数据库加密基本上是使用MD5加密方式,MD5加密过的密文只能被暴力破解,我们不仅仅是要防范外部黑客的攻击,还需要放置内部维护人员猜出密码,加密过后,即使数据库被泄露出去,但是暴露出去的人员的密码均是加密过的,这样即使是暴力破解,也给予了时间挽救。
  • 为什么要加盐呢,盐就是让你的密码更加的安全,更加的难以破解,在你的密码中加入特定的字段,然后在进行加密,这样即使密码相同的情况下,只要盐不相同,数据库储存的字段也不会相同,大大减少了很多用户使用同一密码,数据库泄漏一下破解很多用户账号的可能!

3、如何生成密文

shiro已经为我们提供了密码学工具,SimpleHash 类,我们只需要调用这个类的方法即可快速完成密码加密,查看关系图,猜测此类还提供sha加密方式(后认证过),
在这里插入图片描述

String hashAlgorithmName = "MD5";//加密方式
Object crdentials = "admin";//密码原值
ByteSource salt = ByteSource.Util.bytes("admin");//以账号作为盐值
int hashIterations = 1024;//加密次数
Object result = new SimpleHash(hashAlgorithmName,crdentials,salt,hashIterations);
System.out.println("admin:"+result);
//输出
>> admin:df655ad8d3229f3269fad2a8bab59b6c

用户注册时,可以使用此方法生成密文

4、了解shiro自带凭证比较器

我们跟踪登录流程发现用户调用login接口后,shiro框架会执行下列流程:

Created with Raphaël 2.2.0 用户登录,调用subject.login() 自定义realm中的身份验证方法 doGetAuthenticationInfo AuthenticatingRealm类中的getAuthenticationInfo方法 调用assertCredentialsMatch(token, info);比较密码 调用HashedCredentialsMatcher类的doCredentialsMatch()方法 密码正确? 登陆成功 结束 抛出IncorrectCredentialsException异常 yes no

下面为 HashedCredentialsMatcher 哈希凭据匹配器 的继承关系
在这里插入图片描述

4.1提供的的比较凭证的方法部分代码

//固有属性
	private String hashAlgorithm; // 加密算法的名称
    private int hashIterations; // 配置加密的次数
    private boolean hashSalted;//是否加盐
    private boolean storedCredentialsHexEncoded;// 是否存储为16进制
    //构造
    public HashedCredentialsMatcher() {
        this.hashAlgorithm = null;
        this.hashSalted = false;
        this.hashIterations = 1;
        this.storedCredentialsHexEncoded = true; //false means Base64-encoded
    }
	//设置凭证加密次数
    public void setHashIterations(int hashIterations) {
        if (hashIterations < 1) {//在此限制了最低加密次数为1次
            this.hashIterations = 1;
        } else {
            this.hashIterations = hashIterations;
        }
    }
    ...............
//实现对比凭证方法,token中包含用户输入信息,info则是realm中用户认证方法中返回的dbuser信息
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        Object tokenCredentials = getCredentials(token);
        Object accountCredentials = getCredentials(info);
        return equals(tokenCredentials, accountCredentials);
    }

5、使用shiro自带凭证比较器

  1. 需要在shiroconfig配置类中新增凭证比较器
    @Bean
    public SimpleCredentialsMatcher CredentialsMatcher() {
        HashedCredentialsMatcher hct = new HashedCredentialsMatcher();
        // 加密算法的名称
        hct.setHashAlgorithmName("MD5");
        // 配置加密的次数
        hct.setHashIterations(1024);
        // 是否存储为16进制
        hct.setStoredCredentialsHexEncoded(true);
        return hct;
    }
  1. 把凭证比较器放入自定义realm中,如果没有此步骤shiro不会进行凭证验证
    /**
     * 自定义身份认证 realm;
     * <p>
     * 必须写这个类,并加上 @Bean 注解,目的是注入 MyShiroRealm, 否则会影响 MyShiroRealm类 中其他类的依赖注入
     */
    @Bean
    public MyShiroRealm myShiroRealm() {
        MyShiroRealm myShiroRealm = new MyShiroRealm();
        // 设置凭证比较器
        myShiroRealm.setCredentialsMatcher(CredentialsMatcher());
        return myShiroRealm;
    }
  1. 修改用户信息,模拟用户注册生成的密码,更新至业务层
    我们采用guest用户来测试,使用用户名guest作为盐,把生成的密码放入service中,
        String hashAlgorithmName = "MD5";//加密方式
        Object crdentials = "guest";//密码原值
        ByteSource salt = ByteSource.Util.bytes("guest");//以账号作为盐值
        int hashIterations = 1024;//加密次数
        Object result = new SimpleHash(hashAlgorithmName,crdentials,salt,hashIterations);
        System.out.println("admin:"+result);
        >>admin:565dd969076eef0ac3f9d49aa61e9489
  1. 更新UserServiceImpl
 @Override
    public User findByUsername(String username) {
        User user = new User();
        user.setUsername(username);
        Set<String> roleList = new HashSet<>();
        Set<String> permissionsList = new HashSet<>();
        switch (username) {
        case "admin":
            roleList.add("admin");
            user.setPassword("admin");
            permissionsList.add("user:add");
            permissionsList.add("user:delete");
            break;
        case "consumer":
            roleList.add("consumer");
            user.setPassword("consumer");
            permissionsList.add("consumer:modify");
            break;
        default:
            roleList.add("guest");
            user.setPassword("565dd969076eef0ac3f9d49aa61e9489");
            break;
        }
        user.setRole(roleList);
        user.setPermission(permissionsList);
        return user;
    }
  1. 把自定义realm中的判断密码部分代码删除,此时,我们可以把这个方法理解为提供给主框架真实用户信息,作为凭证对比对象
   /**
     * 身份验证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("进入自定义登录验证方法!");
        if (userService == null) {
            userService = (UserService) SpringBeanFactoryUtil.getBeanByName("userServiceImpl");
        }
        UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
        String username = usernamePasswordToken.getUsername();// 用户输入用户名
        User user = userService.findByUsername(username);// 根据用户输入用户名查询该用户
        if (user == null) {
            throw new UnknownAccountException();// 用户不存在
        }
        String password = user.getPassword();// 数据库获取的密码
        // 主要的(用户名,也可以是用户对象(最好不放对象)),资格证书(数据库获取的密码),区域名称(当前realm名称)
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(username, password, getName());
        //加盐,对比的时候会使用该参数对用户输入的密码按照密码比较器指定规则加盐,加密,再去对比数据库密文
        simpleAuthenticationInfo.setCredentialsSalt(ByteSource.Util.bytes(username));
        return simpleAuthenticationInfo;
    }

5.1登录测试,可以登录

在这里插入图片描述

  • 此时我们断点到shiro的凭证对比器中查看,可以看到shiro内部已经使用 hashProvidedCredentials 方法对输入的密码进行了加密

在这里插入图片描述
在这里插入图片描述

  • 部分源码
//HashedCredentialsMatcher类 密码加密
	protected Object hashProvidedCredentials(AuthenticationToken token, AuthenticationInfo info) {
        Object salt = null;
        if (info instanceof SaltedAuthenticationInfo) {
            salt = ((SaltedAuthenticationInfo) info).getCredentialsSalt();
        } else {
            //retain 1.0 backwards compatibility:
            if (isHashSalted()) {
                salt = getSalt(token);
            }
        }
        return hashProvidedCredentials(token.getCredentials(), salt, getHashIterations());
    }
    @Override    //HashedCredentialsMatcher类
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        Object tokenHashedCredentials = hashProvidedCredentials(token, info);
        Object accountCredentials = getCredentials(info);
        return equals(tokenHashedCredentials, accountCredentials);
    }
	//密码对比方法SimpleCredentialsMatcher类
    protected boolean equals(Object tokenCredentials, Object accountCredentials) {
        .......
        if (isByteSource(tokenCredentials) && isByteSource(accountCredentials)) {
            ....
            byte[] tokenBytes = toBytes(tokenCredentials);
            byte[] accountBytes = toBytes(accountCredentials);
            return MessageDigest.isEqual(tokenBytes, accountBytes);
        } else {
            return accountCredentials.equals(tokenCredentials);
        }
    }

6、如何使用自定义密码比较器

  1. 在理解了shiro自带的凭证比较器后,自定义一个自己的凭证比较器思路应该也十分清晰了,我们只需要创建 MyCredentialsMatcher 类继承 SimpleCredentialsMatcher 类,重写其中的 doCredentialsMatch 方法即可

import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.SimpleCredentialsMatcher;
import org.apache.shiro.crypto.hash.SimpleHash;

public class MyCredentialsMatcher extends SimpleCredentialsMatcher {

    /**
     * 重写密码验证器
     * 
     * @param token 用户输入的信息
     * @param info  数据库查询到的信息
     */
    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        System.out.println("进入自定义密码比较器");
        UsernamePasswordToken upt = (UsernamePasswordToken) token;
        String inputName = upt.getUsername();// 用户输入的用户名
        String inputPwd = new String(upt.getPassword());// 用户输入的密码
        String dbPassword = (String) info.getCredentials();// 数据库查询得到的加密后的密码
        // 对用户输入密码进行加密(加密方式,用户输入密码,盐值(用户名),加密次数)
        String encryptionPwd = new SimpleHash("MD5", inputPwd, inputName, 1024).toString();// 加密后的密码
        return equals(encryptionPwd, dbPassword);
    }

}
  1. 第二步,我们需要把注入realm的凭证比较器替换为我们自己的凭证比较器
    @Bean
    public SimpleCredentialsMatcher CredentialsMatcher() {
        MyCredentialsMatcher hct = new MyCredentialsMatcher();//自定义凭证比较器
        //HashedCredentialsMatcher hct = new HashedCredentialsMatcher();//系统提供凭证比较器
        // 加密算法的名称
        hct.setHashAlgorithmName("MD5");
        // 配置加密的次数
        hct.setHashIterations(1024);
        // 是否存储为16进制
        hct.setStoredCredentialsHexEncoded(true);
        return hct;
    }

6.1 测试

控制台打印出了执行了自定义密码
在这里插入图片描述

New_Yao
关注
专栏目录
SSM框架shiro的验证码登录
开源世界
04-19 724
所谓的验证码登录也就是 验证码正确之后利用shiro的免密登录啦 验证码的验证:发送短信的时候,把验证码信息放到缓存里(key为sessionid),表单提交过来的时候,从缓存里拿出来比较就好。 接下来就是shiro 的免密登录:http://github.crmeb.net/u/defu 1、思路 自定义token,在进行授权时判断是密码登陆或无密码登陆,自定义密码认证方法,即写一个方法继承HashedCredentialsMatcher,重写其中的doCredentialsMatch,将其中的to
开发知识点-JAVA-springboot+Spring Security/Shiro
最新发布
aming小老弟
02-18 554
Spring 还提供了一个名为 Spring Security 的子项目,用于处理应用程序的安全需求。Spring Security 可以与 Shiro 集成,以提供更强大的安全功能。Shiro 提供了一套灵活的安全管理功能,可以处理用户身份验证、访问控制、会话管理等任务。因此,可以说 Shiro 是一个独立的安全框架,而 Spring 平台可以与 Shiro 一起使用来增强应用程序的安全性。Shiro 和 Spring 平台是两个不同的项目,它们可以在一起使用来提供安全认证和授权功能。
Shiro-----凭证匹配器
Apple_Andy的博客
09-11 436
一.概述 在实际应用中数据库密码都是加密的。Shiro内置了凭证匹配器,通过简单配置就可以实现明文数据和数据库中加密数据匹配的效果。 二.步骤总结 1.修改自定义的Realm AuthenticationInfo 的构造方法由三个参数变成个参数的。新增第三个参数表示加盐。一般都是拿用户数据的id作为盐。 SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user, user.getPassword(), ByteSource.Ut
Shiro--Shiro整合springboot(二)---设置凭证匹配器
Apple_Andy的博客
09-13 378
一般来说,我们存在数据库的密码数据是加密过的,也就是说在做认证的过程中,我们也要跟认证的配置中给定加密的过程,用的什么算法,迭代了几次等,我们把这种包含了加密规则的对象称为凭证匹配器
springboot整合shiro
zzz_king的博客
08-13 297
剑指Offer22 从上往下打印出二叉树的每个节点,同层节点从左至右打印。 思路:定义一个链表和一个数组,链表用来存放二叉树的节点,数组用来存放打印的结果,先将根节点放入链表,然后将其弹出,并放入数组中,如果弹出的节点左子节点不为空,将左子节点放入链表中,如果弹出的节点右子节点不为空,放入链表中,然后一直循环,直到链表为空。 public class Offer22 { public static ArrayList<Integer> solution(TreeNode root){
Springboot+Vue】做一个权限管理后台(六):用户凭证与登出
WuKongHeBaJie的博客
04-18 794
文章目录前言服务端Session和Token客户端cookie、localStorage、 sessionStorage前端保存授权信息: Vuex 前言 当一个用户登录以后,如果做每一件事情都需要再次携带用户名密码访问数据库认证,验证通过以后才可以做,那么无疑增大了数据库的压力。所以我们就得给已经登录的用户一个凭证,让这个用户以后直接带着这个凭证访问我们的控制层。 服务端Session和Toke...
shiro详解,看这一篇差不多理解了shiro的基础了
zhuzi的博客
07-30 819
文章目录shiro学习简介功能运行原理小demo对于shiro.ini:对于ShiroDemo.java:Realm认证授权在springboot集成shiro创建springboot项目导入依赖编写配置文件1.先自定义一个realm2.编写shiroconfig3.编写几个页面来进行测试实现登录拦截实现用户认证常用的几个异常类用户授权 shiro学习 简介 ​ 在以往的权限管理中,我们的权限管理通常是有以下几个步骤: 1.创建用户,分配权限。 2.用户登录,权限拦截器拦截请求,识别当前用户登录信息 3
【全网最细致】SpringBoot整合Spring Security + JWT实现用户认证
m0_67392182的博客
07-29 1440
token是无状态的,后端不需要记录信息,每次请求过来进行解密就能得到对应信息。session是有状态的,需要后端每次去检索id的有效性。不同的session都需要进行保存,但也可以设置单点登录,减少保存的数据。session与token的选择是空间与时间博弈,为什么这么说呢,是因为token不需要保存,不占存储空间,但每次访问都需要进行解密,消耗了一定的时间。在一般的前后端分离项目中,token展现出了它的优势,成为了比session更好的选择userlist')")});}...
Spring Security OAuth2.0认证授权 --- 基础篇
shuai_h的博客
06-19 1014
一、基本概念 1.1、什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证? 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认
Java学习路线图分享(含项目+面试提升)最全整理
Ahahaha___的博客
06-23 3139
为大家整理了2022最新的Java学习路线图,从学前准备、学习路线、项目实战、面试提升等个方面给大家分享一些经验,希望可以给学习Java的小伙伴们一些帮助。个人学习经验:我本人是计算机科班出身,现在工作三年之后也仍然没有放弃学习,经常在B站上看一些学习教程来温故知新,看的比较多的就是黑马程序员的课程了,下面整理的也有一些是黑马的课程,大家也可以根据自己的学习整理一些常用的资源库来学习进阶呀。下面进入正题:目录一、学习Java之前你要准备这些二、Java从入门到进阶学习路线1、基础知识2、Spring相关知
shiro密码加盐验证的配置
weixin_37248560的博客
11-25 514
自定义密码加密方式 自个建立一个类实现SimpleCredentialsMatcher 的doCredentialsMatch方法 package com.alex.springboot.system.shiro; import com.alex.springboot.utils.MD5Util; import org.apache.shiro.authc.Authen...
shiro权限认证及授权的执行流程分析及图解
u014748504的博客
09-28 2605
(配置文件请看下一个博客) https://blog.csdn.net/weixin_41716049/article/details/84336669 https://blog.csdn.net/weixin_41716049/article/details/84336696 为了颜色标识注释,前面没有使用代码框,多多担待 《一,认证》 1.先建两个class文件 一个写AuthRealm (授权与认证方法,并继承)extendsAuthorizingRealm 获取其默认方...
spring集成shiro实现登录认证自定义验证功能(认证采用国密SM4算法)
爱喝浓咖啡
12-20 1887
公司在建项目采用的开发框架为spring+springMvc+hibernate,安全框架采用的是shiro,安全认证沿用了shiro自带的HashedCredentialsMatcher,现客户(国企)要求用户密码必须采用国密SM4算法进行加密,因此需对安全认证模块进行改造。 SM4加密JAVA版可参考:http://blog.csdn.net/lemon_tree12138/...
Shiro实现Token认证
梅子黄时雨
05-10 1406
shiro使用
Shiro免密码登录
m0_67401153的博客
08-24 2775
1.shiro的配置文件里面有一个是这需要一个继承HashedCredentialsMatcher的子类,重写doCredentialsMatch方法。最近遇到的需求,实现手机号+验证码登录,验证码能够通过查数据库校验,但是密码是加密过的对不上,需要免密登录,所以写一下帮助后人。2.自定义一个token,继承自UsernamePasswordToken,添加一个标识符表名是否免密登录。4.回到第一步 重写方法的第一行 直接强转 token 获取标识符 如果为免密登录 直接返回true。
这可能是最详细的shiro密码验证原理解析
ybula的博客
09-25 796
对于一个初学者来说,使用框架是一件再简单快乐的事情不过了,但是框架隐的细节实在是太多了,想要用好框架,阅读源码是必不可少的事情,这次刨析可以省去大家来回查找动态绑定的子类过程,也作为自己学习的一次笔记。 首先从Subject的login()方法开始,这东西是万恶之源 login方法穿了一个参数token进去,记住token里面有页面提交的账号密码即可 调用的是实现类org.apache.shiro...
shiro学习之HashedCredentialsMatcher密码匹配过程
hxm_Code的专栏
12-01 2万+
1.加密 用户注册时,系统为输入的密码进行加密,此处使用MD5算法,“密码+盐(用户名+随机数)”的方式生成散列值: public class passwordEncry{ `````````````````````````````````````` ``````````````````````````````````````` //随机数生成器 private st
SpringBoot+Shiro实现登陆拦截功能
热门推荐
u011972171的博客
04-21 3万+
      上一章讲到使用自定义的方式来实现用户登录的功能,这章采用shiro来实现用户登陆拦截的功能。      首先介绍下Shiro:Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理,以下是shiro的整体的框架:Subject: 即"用户",外部应用都是和Subject进行交互的,subject记录了当前操作用户,将用户的概念理解为当前操作的主...
Shiro 之 HashedCredentialsMatcher 认证匹配,前端加密传输密码及解密
weixin_38637161的博客
03-30 1525
Shiro 提供了用于加密密码和验证密码服务的 CredentialsMatcher 接口,而 HashedCredentialsMatcher 正是 CredentialsMatcher 的一个实现类。写项目的话,总归会用到用户密码的非对称加密,目前主流的非对称加密方式是 MD5 ,以及在 MD5 上的加盐处理,而 HashedCredentialsMatcher 也允许我们指定自己的算法和盐。本文将介绍 HashedCredentialsMatcher 的使用,以及对相关源码的进行解析,MD5 等加密知
springboot集成shiro框架
06-28
### 回答1: Spring Boot 集成 Shiro 框架可以实现在应用中实现安全认证、权限控制等功能。下面是大致的集成步骤: 1. 添加 Shiro 依赖 在 `pom.xml` 文件中添加 Shiro 的依赖。可以选择适合自己项目的版本号。 ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.7.1</version> </dependency> ``` 2. 配置 Shiro 在 `application.properties` 或 `application.yml` 文件中添加 Shiro 的相关配置,如 Shiro 的过滤器、安全管理器、Realm 等。 ```yaml # 配置 Shiro 的过滤器 shiro: filter: anon: anon authc: authc # 配置 Shiro 的安全管理器和 Realm shiro: securityManager: realm: myRealm ``` 3. 实现 Realm Realm 是 Shiro 的核心组件之一,需要实现自己的 Realm 类,用于提供认证和授权数据。 ```java public class MyRealm extends AuthorizingRealm { // 认证 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 实现认证逻辑 } // 授权 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { // 实现授权逻辑 } } ``` 4. 使用 Shiro 在需要进行安全认证、权限控制的地方,可以使用 Shiro 提供的 API 进行操作。 ```java // 获取当前用户的信息 Subject subject = SecurityUtils.getSubject(); Object principal = subject.getPrincipal(); // 判断当前用户是否具有某个角色 boolean hasRole = subject.hasRole("admin"); // 判断当前用户是否具有某个权限 boolean hasPermission = subject.isPermitted("user:update"); ``` 这是一个大致的 Spring Boot 集成 Shiro 的步骤,具体实现方式可以根据自己的需求进行调整。 ### 回答2: Spring Boot 是一个快速开发框架Shiro 是一个安全框架,它们的集成可以帮助开发人员快速构建安全的 Web 应用程序。 为了将 Shiro 集成到 Spring Boot 中,首先需要在 Maven POM 文件中引入 Shiro 的依赖库。例如,以下 POM 文件中添加了 Shiro Spring Boot 的 Starter 依赖库: ``` <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.5.0</version> </dependency> ``` 集成过程中,需要在应用程序中添加一个 Shiro 配置类,该类可以加载各种 Shiro 过滤器,用于对 URL 是否需要进行授权认证等操作,示例代码如下: ```java @Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shiroFilter(@Autowired SecurityManager securityManager){ ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean(); bean.setSecurityManager(securityManager); Map<String, String> chains = new HashMap<>(); chains.put("/login", "anon"); chains.put("/css/**", "anon"); chains.put("/js/**", "anon"); chains.put("/**", "authc"); bean.setFilterChainDefinitionMap(chains); return bean; } @Bean public SecurityManager securityManager(@Autowired UserRealm userRealm){ DefaultWebSecurityManager manager = new DefaultWebSecurityManager(); manager.setRealm(userRealm); return manager; } @Bean public UserRealm userRealm(){ return new UserRealm(); } } ``` 在这个例子中,我们为登录页、CSS、JS 等 URL 设置了“anon”过滤器,表示这些 URL 不需要进行认证,而其他 URL 都需要进行认证。此外,我们还提供了一个 UserRealm,用于提供用户的认证和授权。 最后,我们需要在应用程序中启用 Shiro,例如在启动主类里加入 @EnableShiro 注解: ```java @EnableShiro @SpringBootApplication public class Application { public static void main(String[] args) { SpringApplication.run(Application.class, args); } } ``` 这样,我们就完成了 Shiro集成。使用 Shiro,开发人员可以方便地进行用户认证和授权,保障 Web 应用程序的安全性。 ### 回答3: Spring Boot是一个非常流行的Java Web框架,它可以通过添加各种插件来轻松集成许多其他框架和库。Shiro是一个全面的安全框架,提供了身份验证、授权、密码编码等功能,与Spring Boot的集成也非常容易。 下面是一些简要的步骤来集成Spring Boot和Shiro框架: 1. 首先,需要在pom.xml文件中添加Shiro和Spring Boot Starter Web的依赖: ``` <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</version> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> <version>2.3.2.RELEASE</version> </dependency> ``` 2. 然后,在应用程序的主类中添加@EnableWebSecurity注解,启用Spring Security的Web安全性支持,同时在configure(HttpSecurity http)方法中配置Shiro的安全过滤器链: ``` @Configuration @EnableWebSecurity public class SecurityConfiguration extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf() .disable() .authorizeRequests() .antMatchers("/login").permitAll() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/**").authenticated() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login").permitAll() .defaultSuccessUrl("/home.html") .and() .logout() .logoutUrl("/logout").permitAll() .deleteCookies("JSESSIONID") .logoutSuccessUrl("/login"); } @Bean public Realm realm() { return new MyRealm(); } @Bean public DefaultWebSecurityManager securityManager() { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(realm()); return securityManager; } @Bean public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new ShiroFilterFactoryBean(); shiroFilter.setSecurityManager(securityManager()); shiroFilter.setLoginUrl("/login"); shiroFilter.setSuccessUrl("/home.html"); shiroFilter.setUnauthorizedUrl("/403.html"); Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>(); filterChainDefinitionMap.put("/login", "anon"); filterChainDefinitionMap.put("/logout", "logout"); filterChainDefinitionMap.put("/admin/**", "authc, roles[admin]"); filterChainDefinitionMap.put("/**", "user"); shiroFilter.setFilterChainDefinitionMap(filterChainDefinitionMap); return shiroFilter; } } ``` 3. 编写自定义的Realm类,用于实现Shiro的身份验证和授权逻辑: ``` public class MyRealm extends AuthorizingRealm { @Autowired private UserService userService; @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); User user = (User) principals.getPrimaryPrincipal(); for (Role role : user.getRoles()) { authorizationInfo.addRole(role.getName()); for (Permission permission : role.getPermissions()) { authorizationInfo.addStringPermission(permission.getPermission()); } } return authorizationInfo; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken upToken = (UsernamePasswordToken) token; String username = upToken.getUsername(); User user = userService.findByUsername(username); if (user != null) { return new SimpleAuthenticationInfo(user, user.getPassword(), getName()); } else { throw new UnknownAccountException(); } } } ``` 4. 最后,在Controller中使用Shiro提供的Subject来实现身份验证和授权: ``` @Controller public class HomeController { @RequestMapping(value = "/home.html", method = RequestMethod.GET) public String home() { Subject currentUser = SecurityUtils.getSubject(); if (currentUser.isAuthenticated()) { return "home"; } else { return "redirect:/login"; } } @RequestMapping(value = "/admin/index.html", method = RequestMethod.GET) public String admin() { Subject currentUser = SecurityUtils.getSubject(); if (currentUser.isAuthenticated() && currentUser.hasRole("admin")) { return "admin"; } else { return "redirect:/login"; } } @RequestMapping(value = "/login", method = RequestMethod.GET) public String login() { return "login"; } } ``` 使用以上步骤实现了Spring Boot集成Shiro框架,完成了基本的身份验证和授权操作。实现后就可以进行测试,通过Shiro的身份验证和授权功能保证系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值