springboot+shiro

最新推荐文章于 2024-06-18 10:17:47 发布
最新推荐文章于 2024-06-18 10:17:47 发布
阅读量950 收藏
点赞数
分类专栏: 项目搭建
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16414483/article/details/79371388
版权

搭建springboot  http://blog.csdn.net/qq_16414483/article/details/79371192

先在 user类 追加段 盐 代码

	private String salt;
	/**
	 * 密码盐.
	 * @return
	 */
	public String getCredentialsSalt() {
		return this.userName + this.salt;
	}
	public String getSalt() {
		return salt;
	}
	public void setSalt(String salt) {
		this.salt = salt;
	}

建好包

第一个类 加密算法

package com.java.Olym.shiro;

import java.security.Key;

import org.apache.shiro.codec.Base64;
import org.apache.shiro.codec.Hex;
import org.apache.shiro.crypto.AesCipherService;
import org.apache.shiro.crypto.SecureRandomNumberGenerator;
import org.apache.shiro.crypto.hash.Md5Hash;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.util.StringUtils;
import com.java.Olym.explore.entity.User;

public final class EndecryptUtils { 
	private static final Logger log = LoggerFactory.getLogger(EndecryptUtils.class);
    /** 
     * base64进制加密 
     * 
     * @param password 
     * @return 
     */ 
    public static String encrytBase64(String password) { 
    	if(!StringUtils.hasText(password)){
    		log.info("$--password 不能为空!");
    	}
        byte[] bytes = password.getBytes(); 
        return Base64.encodeToString(bytes); 
    } 
    /** 
     * base64进制解密 
     * @param cipherText 
     * @return 
     */ 
    public static String decryptBase64(String cipherText) { 
    	if(!StringUtils.hasText(cipherText)){
        log.info("$--cipherText 消息摘要不能为空!");
    	}
        return Base64.decodeToString(cipherText); 
    } 
    /** 
     * 16进制加密 
     * 
     * @param password 
     * @return 
     */ 
    public static String encrytHex(String password) { 
    	if(!StringUtils.hasText(password)){
    	log.info("$--password 不能为空!");
    	}
        byte[] bytes = password.getBytes(); 
        return Hex.encodeToString(bytes); 
    } 
    /** 
     * 16进制解密 
     * @param cipherText 
     * @return 
     */ 
    public static String decryptHex(String cipherText) { 
    	if(!StringUtils.hasText(cipherText)){
    	log.info("$--cipherText 消息摘要不能为空!");
    	}
        return new String(Hex.decode(cipherText)); 
    } 
    public static String generateKey() 
    { 
        AesCipherService aesCipherService=new AesCipherService(); 
        Key key=aesCipherService.generateNewKey(); 
        return Base64.encodeToString(key.getEncoded()); 
    } 
    /** 
     * 对密码进行md5加密,并返回密文和salt,包含在User对象中 
     * @param username 用户名 
     * @param password 密码 
     * @return 密文和salt 
     */ 
    public static User md5Password(String username,String password){ 
    	if(!StringUtils.hasText(username)){
    		log.info("$--username 不能为空!");
    	}
    	if(!StringUtils.hasText(password)){
    		log.info("$--password 不能为空!");
    	}
        SecureRandomNumberGenerator secureRandomNumberGenerator=new SecureRandomNumberGenerator(); 
        String salt= "78240633979e0d912d1e0a9d52f8f352";//secureRandomNumberGenerator.nextBytes().toHex();
        //String salt  = username+username;
        log.info("$--这是salt!--"+salt);
        //组合username,两次迭代,对密码进行加密 
        String password_cipherText= new Md5Hash(password,username+salt,2).toHex(); 
        User user=new User(); 
        user.setUserPassword(password_cipherText); 
        user.setSalt(salt); 
        user.setUserName(username); 
        return user; 
    } 
    public static void main(String[] args) { 	
    	User u  = md5Password("admin", "123456");
    	log.info(String.format("$-loginName=%s;password=%s;salt=%s", u.getUserName(),u.getUserPassword(),u.getSalt()));
    } 
}

第二个类 验证码生成

package com.java.Olym.shiro;

import java.awt.Color;
import java.awt.Font;
import java.awt.Graphics;
import java.awt.image.BufferedImage;
import java.io.IOException;
import java.io.OutputStream;
import java.util.Random;

import javax.imageio.ImageIO;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

@WebServlet(urlPatterns = "/validatecodeServlet")
public class ValidatecodeServlet extends HttpServlet {

	private static final long serialVersionUID = -3558073720446002853L;
	private final Logger log = LoggerFactory.getLogger(this.getClass());

	@Override
	protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
		log.info("$-生成验证码1>>>>>>>>>>doGet()<<<<<<<<<<<");
		doPost(req, resp);
	}

	@Override
	protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
		log.info("$-生成验证码2>>>>>>>>>>doPost()<<<<<<<<<<<");
		int width = 72;
		int height = 34;
		// create the image
		BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);
		Graphics g = image.getGraphics();
		// set the background color
		g.setColor(new Color(0xDCDCDC));
		g.fillRect(0, 0, width, height);
		// draw the border
		g.setColor(Color.black);
		g.drawRect(0, 0, width - 1, height - 1);
		// create a random instance to generate the codes
		Random rdm = new Random();
		String hash_ = Integer.toHexString(rdm.nextInt());
		log.info("$-验证码hash1:" + hash_);
		// make some confusion
		for (int i = 0; i < 50; i++) {
			int x = rdm.nextInt(width);
			int y = rdm.nextInt(height);
			g.drawOval(x, y, 0, 0);
		}
		// generate a random code
		String capstr = hash_.substring(0, 4);
		HttpSession session = req.getSession(true);
		// 将生成的验证码存入session
		session.setAttribute("validateCode", capstr);
		g.setColor(new Color(0, 100, 0));
		g.setFont(new Font("Candara", Font.BOLD, 24));
		g.drawString(capstr, 8, 24);
		g.dispose();
		// 输出图片
		resp.setContentType("image/jpeg");
		OutputStream strm = resp.getOutputStream();
		ImageIO.write(image, "jpeg", strm);
		strm.close();

	}
}

第三个 shiro配置类

package com.java.Olym.shiro;

import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

import javax.servlet.Filter;

import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
/**
 * Shiro 配置
 */
@Configuration
public class ShiroConfiguration {
	private final Logger log = LoggerFactory.getLogger(this.getClass());

	@Bean
	public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager) {
		log.info("$--ShiroConfiguration.shirFilter()");
		ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
		// 必须设置 SecurityManager
		shiroFilterFactoryBean.setSecurityManager(securityManager);
		//拦截器.
		Map<String, String> filterChainDefinitionMap = new LinkedHashMap<String, String>();
		// 配置退出过滤器,其中的具体的退出代码Shiro已经替我们实现了
		filterChainDefinitionMap.put("/logout", "logout");
		// <!-- 过滤链定义,从上向下顺序执行,一般将 /**放在最为下边 -->;
		// <!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
		filterChainDefinitionMap.put("/validatecodeServlet", "anon");//验证码可以匿名访问
		filterChainDefinitionMap.put("/toPasswordReset", "anon");//重置密码可以匿名访问
		filterChainDefinitionMap.put("/static/**", "anon");
		filterChainDefinitionMap.put("/**", "authc");//authc
		// 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
		shiroFilterFactoryBean.setLoginUrl("/login");
		// 登录成功后要跳转的链接
		shiroFilterFactoryBean.setSuccessUrl("/index");
		// 未授权界面;
		shiroFilterFactoryBean.setUnauthorizedUrl("/403");
		//自定义表达验证,校验验证码
		Map<String,Filter> filters = new HashMap<String, Filter>();
		filters.put("authc", new MyFormAuthenticationFilter());
		shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
		shiroFilterFactoryBean.setFilters(filters);
		return shiroFilterFactoryBean;
	}

	@Bean
	public SecurityManager securityManager() {
		DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
		//设置realm.
	    securityManager.setRealm(myShiroRealm());
		return securityManager;
	}
	
	/**
     * 身份认证realm;
     * @return
     */
    @Bean
    public MyShiroRealm myShiroRealm(){
       MyShiroRealm myShiroRealm = new MyShiroRealm();
       myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());
       return myShiroRealm;
    }
    
    /**
	 * 凭证匹配器
	 * (由于我们的密码校验交给Shiro的SimpleAuthenticationInfo进行处理了
	 *  所以我们需要修改下doGetAuthenticationInfo中的代码;
	 * )
	 * @return
	 */
	@Bean
	public HashedCredentialsMatcher hashedCredentialsMatcher(){
		HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
		
		hashedCredentialsMatcher.setHashAlgorithmName("md5");//散列算法:这里使用MD5算法;
		hashedCredentialsMatcher.setHashIterations(2);//散列的次数,比如散列2次,相当于 md5(md5(""));
		
		return hashedCredentialsMatcher;
	}
	
    @Bean  
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor() {  
        AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor();  
        advisor.setSecurityManager(securityManager());  
        return advisor;  
    }  
}

第四个类 前端传来 验证码验证

package com.java.Olym.shiro;

import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

import org.apache.shiro.web.filter.authc.FormAuthenticationFilter;
public class MyFormAuthenticationFilter extends FormAuthenticationFilter {
	
	    @Override    
	    protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {    
	        // 在这里进行验证码的校验    
	        HttpServletRequest httpServletRequest = (HttpServletRequest) request;    
	        HttpSession session = httpServletRequest.getSession();    
	        // 取出session验证码    
	        String validateCode = (String) session.getAttribute("validateCode");    
	        // 输入的验证和session中的验证进行对比    
	        String randomcode = httpServletRequest.getParameter("randomcode");    
	        if (randomcode != null && validateCode != null && !randomcode.equals(validateCode.trim())) {    
	            // 如果校验失败,将验证码错误失败信息,通过shiroLoginFailure设置到request中    
	            httpServletRequest.setAttribute("shiroLoginFailure", "kaptchaValidateFailed");//自定义登录异常    
	            // 拒绝访问,不再校验账号和密码    
	            return true;    
	        }    
	        return super.onAccessDenied(request, response);    
	    }    
}

第五个类 realm  最重要的类,权限和登录都在这个类进行

 

package com.java.Olym.shiro;

import java.util.HashSet;
import java.util.Set;

import javax.annotation.Resource;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.session.Session;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.ByteSource;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;


public class MyShiroRealm extends AuthorizingRealm {
	private final Logger log = LoggerFactory.getLogger(this.getClass());
	@Resource
	private UserService userService;
	
	/**
	 * 验证用户身份
	 * 
	 */
	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)throws AuthenticationException  {
		log.info("$--验证用户身份:MyShiroRealm.doGetAuthenticationInfo()");
		 //获取用户的输入的账号.
		String loginName = ((String)token.getPrincipal()).trim();
		char[] pwd = (char[]) token.getCredentials();
		/*UsernamePasswordToken loginToken = (UsernamePasswordToken) token;
		String username = loginToken.getUsername();*/
		log.info(String.format("$--loginName=%s;pwd=%s",loginName,String.valueOf(pwd)));
		User userInfo = userService.getUser(loginName);
		if(userInfo!=null )		
		{ 
				SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
						userInfo.getUserName(), //用户名(数据库查询出来)
						userInfo.getPassword(), //密码(数据库查询出来)
						ByteSource.Util.bytes(userInfo.getCredentialsSalt()),//salt=username+salt  ByteSource.Util.bytes(userInfo.getCredentialsSalt()
						getName() //realm name
						); 	
				Subject currentUser = SecurityUtils.getSubject(); 
		        Session session = currentUser.getSession();
				session.setAttribute("userInfo",userInfo);
				return authenticationInfo;
			}
		return null;
	}
		
	/**
	 * 权限信息 
	 * 此方法调用  hasRole,hasPermission的时候才会进行回调.
	 */
	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
		return null;

	}
			

}
usercontroller代码 
package com.java.Olym.explore.controller;

import java.util.Map;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;

import org.apache.log4j.Logger;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.ResponseBody;

import com.java.Olym.explore.service.UserService;

@Controller
public class UserController {
	
	private final Logger log = Logger.getLogger(this.getClass());
	@Resource
	private UserService userService;
	
	@RequestMapping(value="/login",method=RequestMethod.GET)
	public String all(){
		return "login";
	}
	@RequestMapping(value="/login",method=RequestMethod.POST)
	public String login(String username,String password,HttpServletRequest req,Map<String, Object> map){
		log.info("$--UserController.login().post");
		String msg = "";
		String exception = (String)req.getAttribute("shiroLoginFailure");
		
		if(exception!=null){
			if(UnknownAccountException.class.getName().equals(exception)){
				log.info("账号不存在");
				msg = "账号不存在";
			}else if(IncorrectCredentialsException.class.getName().equals(exception)){
				log.info("密码不正确");
				msg = "密码不正确";
			}else if("kaptchaValidateFailed".equals(exception)){
				log.info("验证码错误");
				msg = "验证码错误";
			}else{
				msg = "错误"+exception;
				log.info("未知错误");
			}
			map.put("msg", msg);
			return "login";
		}
		return "login";
	}
	@RequestMapping({"/","/index"})
	public String in(){
		return "index";
	}
}

登录html页面

<%@ page language="java" contentType="text/html; charset=UTF-8"
	pageEncoding="UTF-8"%>
<%@ include file="./res.jsp"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>登录</title>
<script type="text/javascript">
function random(tmp){  
     tmp.src="<%=url%>/validatecodeServlet?rnd=" + Math.random();
	};
</script>
</head>
<body>
	<div id="login">
		<h2>登录</h2>
		<form action="<%=ctx%>/login" method="post">
			<span>用户名<input type="text" name="username"/></span><p>
			<span>密码<input type="password" name="password"/></span><p>
			<input name="randomcode" type="text" placehoder="请输入验证码">
			<img src="<%=url%>/validatecodeServlet" height="20px" width="60px" οnclick="random(this)"><p>
            <div class="loginMain_btn" type="submit" id="login">登录</div><p>
            </form>
             <center><h4 th:text="${requestScope.msg}" style="color:red;font-size:16px;padding-top:6px">${msg}</h4></center>
	</div>
</body>
</html>




Hi_bernate
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot2整合shiro
11-05
SpringBoot2整合
极简shiro入门
czhAL的博客
12-07 414
1.shiro是什么? Shiro是Apache下的一个开源项目。shiro属于轻量级框架,相对于SpringSecurity简单的多,也没有SpringSecurity那么复杂。以下是我自己学习之后的记录。 官方架构图如下: 2.主要功能 shiro主要有三大功能模块: Subject:主体,一般指用户。 SecurityManager:安全管理器,管理所有Subject,可以配合内部安全组件。(类似于SpringMVC的DispatcherServlet) Realms:用于进行权限信息的验证,一
springboot集成shiros自定义md5加密自定义token认证
最新发布
a360284634的博客
06-18 859
spring boot 集成 shiroshiro介绍,shiro与springSecurity区别,shiro优缺点
SpringBoot--Shiro
qq_43430343的博客
08-25 189
Shiro 什么是Shiro? Apache Shiro是一个Java的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。 Shiro可以完成, 认证,授权,加密,会话管理,Web集成,缓存等。 1、pom.xml <dependencies> <dependency> <groupId>org.apache.shiro</groupId&gt
springboot--shiro
qy132的博客
07-05 122
1.引入shiro综合嫁包 <!-- shiro--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.7.0</version>
SpringBoot集成Shiro极简教程(实战版)
十指波课堂的博客
04-20 1000
1. 前言Apache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理。Shiro有三大核心组件:Subject: 即当前用户,在权限管理的应用程序里往往需要知道谁能够操作什么,谁拥有操作该程序的权利,shiro则需要通过Subject来提供基础的当前用户信息,Subject 不仅仅代表某个用户,与当前应用交互的任何东西都是Subject,如网络爬虫等。...
SpringBoot之集成Shiro
船长灬普朗克的博客
06-22 284
一、Shiro     Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 主要功能     三个核心组件:Subject, SecurityManager 和 Realms.     Subject:即“当前操作用户”。但是,在Shiro,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类
SpringBoot完整版(六)- Shiro
Roc的博客
02-02 173
SpringBoot完整版(六)- Shiro一、概述1.1 简介1.2 功能1.3 Shiro架构(外部)1.4 Shiro架构(内部)1.5 认证流程二、快速入门2.1 拷贝案例2.2 分析案例三、SpringBoot 集成 Shiro3.1 编写配置文件3.2 搭建简单测试环境3.3 使用四、Shiro 整合 Mybatis4.1 配置环境4.2 Shiro + Mybatis 结合使用五、Shiro 请求授权实现5.1 设置权限5.2 授予权限5.3 数据库操作六、Shiro 整合 Thymele
springboot使用shiro
bobasyu的博客
01-08 132
shiro shiro 核心组件 名称 含义 usernamePassword shiro用来封装用户登陆信息,使用用户的登录信息来创建Token SecurityManager shiro的核心部分,负责安全认证和授权 subject shiro的一个抽象概念,包含了用户信息 authenticationInfo 用户角色信息集合,认证是使用 authorizationInfo 角色权限信息集合,授权时使用 DefaultWebSecurityDMmanager 安全管
SpringBoot(36) —— Shiro快速开始
Jzandth的博客
10-04 789
目录1.什么是Shiro2.Shiro的作用3.Shiro架构(外部)4.Shiro架构(内部)5.Hello World6.小结 1.什么是Shiro Apache Shiro 是 Java 的一个安全(权限)框架 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境 Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等 下载地址 官网 github 直接取GitHub上下载压缩包即可 2.Shiro的作用
springBoot集成shiro
06-20
该demo实现了:spring集成shiro。 用户角色校验,用户权限校验。链接mysql。 对应文章url: https://blog.csdn.net/zhou199252/article/details/80741361
Springboot集成shiro
shuishuishuitian的博客
08-21 194
1.依赖导入: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>${shiro.spring.version}</version> </dependency> &l
SpringBoot2的Shiro最简配置(两个文件)
热门推荐
Good Luck
11-14 8万+
目录 基础环境:依赖 Realm:认证鉴权器 WebSecurityManager:安全管理器 Test:登录测试 备注 基础环境:依赖 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent...
springboot2 集成shiro-spring-boot-web-starter
天行健
09-02 2万+
shiro是web开发常用的使用安全管理框架,通过shiro-spring-boot-web-starter方式集成Shirospringboot2可以简化配置。 1.引包 maven方式在项目pom.xml引入shiro starter包的坐标,这里引用了1.4.1版本 <dependency> <groupId>org.ap...
springboot集成shiro
IT_10000
10-09 404
第一步. pom依赖 &amp;amp;lt;!--shiro--&amp;amp;gt; &amp;amp;lt;dependency&amp;amp;gt; &amp;amp;lt;groupId&amp;amp;gt;org.apache.shiro&amp;amp;lt;/groupId&amp;amp;gt; &amp;amp;lt;artifactId&amp;amp;gt;shiro-spr
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值