全注解 springboot 集成 shiro 盐值加密

最新推荐文章于 2023-07-08 14:58:34 发布
最新推荐文章于 2023-07-08 14:58:34 发布
阅读量822 收藏 2
点赞数
文章标签: java springboot shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26412535/article/details/88020419
版权

记录一下自己集成shiro的步骤,也是第一次使用,很多地方比较生硬

1.导入pom包

 		<!-- shiro -->

        <dependency>

            <groupId>org.apache.shiro</groupId>

            <artifactId>shiro-spring</artifactId>

            <version>1.3.2</version>

        </dependency>

2.配置shiro

@Configuration
public class ShiroConfiguration {

    //将自己的验证方式加入容器
    @Bean
    public MyShiroRealm myShiroRealm() {
        MyShiroRealm myShiroRealm = new MyShiroRealm();
        myShiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return myShiroRealm;
    }

    //权限管理,配置主要是Realm的管理认证
    @Bean
    public SecurityManager securityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(myShiroRealm());
        return securityManager;
    }

    //Filter工厂,设置对应的过滤条件和跳转条件
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        Map<String,String> filterChainDefinitionMap = new HashMap<String, String>();
        //对所有用户认证
        filterChainDefinitionMap.put("/plat/**","authc");
        filterChainDefinitionMap.put("/index/**","authc");
        //登录
        shiroFilterFactoryBean.setLoginUrl("/login");
        //首页
        shiroFilterFactoryBean.setSuccessUrl("/index");
        //错误页面,认证不通过跳转
        shiroFilterFactoryBean.setUnauthorizedUrl("/login");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

    //设置默认加密方式
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        // 使用md5 算法进行加密
        hashedCredentialsMatcher.setHashAlgorithmName(ShiroVerityUtil.ALGORITHM_NAME);
        // 设置散列次数: 意为加密几次
        hashedCredentialsMatcher.setHashIterations(ShiroVerityUtil.HASH_ITERATIONS);
        return hashedCredentialsMatcher;
    }

    //加入注解的使用,不加入这个注解不生效
    @Bean
    public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager) {
        AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
        authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
        return authorizationAttributeSourceAdvisor;
    }
}

3.编写实现realm

//实现AuthorizingRealm接口用户用户认证
public class MyShiroRealm extends AuthorizingRealm {

    //用于用户查询
    @Autowired
    private IAdminService iAdminService;

    //角色权限和对应权限添加
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获取登录用户名
        String username = (String) principalCollection.getPrimaryPrincipal();
        //查询用户名称
        QueryWrapper<Admin> adminQueryWrapper = new QueryWrapper<>();
        adminQueryWrapper.lambda().eq(Admin::getLoginName, username);
        Admin admin = iAdminService.getOne(adminQueryWrapper);
        //添加角色和权限
        SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
        for (Role role : admin.getRoles()) {
            //添加角色
            simpleAuthorizationInfo.addRole(role.getName());
            for (Permission permission : role.getPermissions()) {
                //添加权限
                simpleAuthorizationInfo.addStringPermission(permission.getName());
            }
        }
        return simpleAuthorizationInfo;
    }

    //用户认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        Subject subject = SecurityUtils.getSubject();
        Session httpSession = subject.getSession();
        //加这一步的目的是在Post请求的时候会先进认证,然后在到请求
        if (authenticationToken.getPrincipal() == null) {
            return null;
        }
        //获取用户信息
        String username = authenticationToken.getPrincipal().toString();
        //查询用户名称
        QueryWrapper<Admin> adminQueryWrapper = new QueryWrapper<>();
        adminQueryWrapper.lambda().eq(Admin::getLoginName, username);
        Admin admin = iAdminService.getOne(adminQueryWrapper);
        if (admin == null) {
            //这里返回后会报出对应异常
            throw new UnknownAccountException();
        } else {
            String password = admin.getPassword();
            ByteSource salt = ByteSource.Util.bytes(admin.getLoginName() + admin.getSalt());
            String realmName = getName();
            try{
                //这里验证authenticationToken和simpleAuthenticationInfo的信息
                SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo( username, password, salt,  realmName );
                //验证通过后,注入对象
                List<Permission> permissions = iAdminService.getAdminMenus(admin.getId());
                httpSession.setAttribute("admin",admin);
                httpSession.setAttribute("menus",permissions);
                httpSession.setTimeout(ShiroVerityUtil.SESSION_TIME_OUT);
                ShiroVerityUtil.setCunrrentAdmin(admin);
                return simpleAuthenticationInfo;
            }catch (Throwable t){
                throw new AuthenticationException();
            }

        }
    }
}

4.加密类

public class ShiroVerityUtil {

    public static String SALT_STR = "salt";
    public static String PASSWORD_STR = "password";
    public static String LOGIN_NAME_STR = "loginName";
    //加密方式
    public static String ALGORITHM_NAME = "md5";
    //加密次数
    public static int HASH_ITERATIONS = 2;
    //session过期时间 ms
    public static int SESSION_TIME_OUT = 5 * 60 * 1000;

    private static RandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator();

    /**
     * shiro 盐值加密
     */
    public static void encryptPassword(Map userFormMap) {
        String salt = MapUtils.getString(userFormMap, SALT_STR);
        if (StringUtils.isBlank(salt)) {
            salt = randomNumberGenerator.nextBytes().toHex();
            userFormMap.put(SALT_STR, salt);
        }
        String newPassword = new SimpleHash(
                ALGORITHM_NAME,
                userFormMap.get(PASSWORD_STR),
                ByteSource.Util.bytes(userFormMap.get(LOGIN_NAME_STR) + salt),
                HASH_ITERATIONS
        ).toHex();
        userFormMap.put(PASSWORD_STR, newPassword);
    }

    /**
     * @return
     * @Title: getCunrrentAdminSyBranch
     * @Description: 获得登录人的分部
     * @author: zhenglei
     * @date: 2018年9月7日 上午10:00:17
     */
    public static JsonResult getCunrrentAdminSyBranch() {
        JsonResult b = new JsonResult();
        Admin cunrrentAdmin = ShiroVerityUtil.getCunrrentAdmin();
        if (cunrrentAdmin == null) {
            b.setFailInfo500();
            b.setMessage(CommonText.NOT_LOGIN);
            return b;
        }
        String syBranch = cunrrentAdmin.getSyBranch();
        if (StringUtils.isBlank(syBranch)) {
            b.setFailInfo500();
            b.setMessage(CommonText.NOT_LOGIN);
            return b;
        }
        b.setData(syBranch);
        return b;
    }

    /**
     * @return
     * @Title: getCunrrentAdmin
     * @Description: 获得当前登录人
     * @author: zhenglei
     * @date: 2018年9月5日 下午2:33:47
     */
    public static Admin getCunrrentAdmin() {
        Subject subject = SecurityUtils.getSubject();
        Session httpSession = subject.getSession();
        Object attribute = httpSession.getAttribute(SystemConstant.ADMIN_SESSION);
        if (attribute == null) {
            return null;
        }
        return (Admin) attribute;
    }

    /**
     * @return
     * @Title: setCunrrentAdmin
     * @Description: 获设置当前登录人
     * @author: zhenglei
     * @date: 2018年9月5日 下午2:33:47
     */
    public static void setCunrrentAdmin(Admin admin) {
        Subject subject = SecurityUtils.getSubject();
        Session httpSession = subject.getSession();
        httpSession.setAttribute(SystemConstant.ADMIN_SESSION, admin);
    }
}

5.登录loginController编辑

@Controller
@RequestMapping("/login")
public class LoginController {

    @GetMapping("")
    public String login() {
        return "login";
    }

    @GetMapping("logout")
    public String logout() {
        Subject subject = SecurityUtils.getSubject();
        subject.logout();
        return "/login";
    }

   @PostMapping("/postLogin")
    public String postLogin(String username, String password){
       //添加用户认证信息
       Subject subject = SecurityUtils.getSubject();
       Session session = subject.getSession();
       UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(username,password);
       try {
           // 执行登陆
           subject.login(usernamePasswordToken);
           subject.isPermitted();
       } catch ( UnknownAccountException e ) {
           session.setAttribute(CommonText.LOGIN_ERR_MSG,CommonText.ACCOUNT_DOES_NOT_EXIST);
           return "redirect:/login";
       } catch ( IncorrectCredentialsException e ) {
           session.setAttribute(CommonText.LOGIN_ERR_MSG,CommonText.PASSWORD_DOES_NOT_CORRECT);
           return "redirect:/login";
       } catch ( LockedAccountException e ) {
           session.setAttribute(CommonText.LOGIN_ERR_MSG,CommonText.ADMIN_DOES_NOT_EXIST);
           return "redirect:/login";
       } catch ( ExcessiveAttemptsException e ) {
           session.setAttribute(CommonText.LOGIN_ERR_MSG,CommonText.MORT_TIME_TRY);
           return "redirect:/login";
       }
       return "redirect:/index";
    }

}
voaycc
关注
Springboot整合Shiro----加盐MD5加密
流浪~
12-03 1676
1.自定义realm,在Shiro的配置类中加入以下bean /** * 身份认证 realm */ @Bean public MyShiroRealm myShiroRealm(){ MyShiroRealm myShiroRealm = new MyShiroRealm(); System.out.println("myShi...
shiro用户加密默认方式_SpringBoot Shiro配置自定义密码加密器代码实例
weixin_39639698的博客
12-22 546
shiro主要有三大功能模块:1. Subject:主体,一般指用户。2. SecurityManager:安管理器,管理所有Subject,可以配合内部安组件。(类似于SpringMVC中的DispatcherServlet)3. Realms:用于进行权限信息的验证,一般需要自己实现。细分功能1. Authentication:身份认证/登录(账号密码验证)。2. Authorizatio...
Spring Boot Shiro 密码加密加盐
weixin_44335140的博客
10-17 1758
此篇文章是在Shiro整合Spring Boot入门的基础上写的,如果你没有shiro基础看不懂的话,可以去看看。 1、给Realm添加CredentialsMatcher @Bean public UserRealm userRealm() { UserRealm userRealm = new UserRealm(); // 设置加密算法 HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatche
# SpringBoot整合shiro MD5盐值加密
weixin_43424751的博客
03-08 413
对明文密码进行加密是当前软件项目安必须做的一步,而shiro作为安框架为密码加密提供了多种配置方式。md5盐值加密是其中一种加密方式。 md5一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。 而盐值可以由开发者自行设定,这样大大降低了密码被破译的可能性。 1. 重写doGetAuthenticationInfo方法,编写加密验证的逻辑代码 //密码加密验证 //credentialsSalt: 盐值,这里我使用的是用户名,也可以
SpringBoot整合shiro盐值加密详解
和我一起学习吧
04-04 1万+
盐值是什么首先我们来探讨一下关于密码安的问题在一个系统中我们通常会将用户名和密码存在数据库中,如果我们直接将密码存入数据库,会存在很大的安隐患,比如:数据库被盗,传输过程中被黑客拦截,这都是很常见的问题,数据库所在的服务并不是绝对的安,传输过程中也有可能被黑客拦截得到你传输的数据获得一些隐私的数据,并篡改后发往服务器。那么针对这种问题我们如何解决呢,安在升级,骇客的技术同样也在进步,一个网...
springboot集成shiro并利用jwt完成登录验证及权限验证
JEROCHAN的博客
07-08 1251
springboot集成shiro并利用jwt完成登录验证及权限验证 最近想在一个后台管理系统加上多角色多权限的功能,了解到了现有的安框架后决定使用shiro,学习成本相对较低,而shiro默认使用session机制来实现用户的登录验证,而原先项目里面已使用jwt机制,并且前后端项目分离,所以对shiro加以改进。 数据库 首先在有用户表的前提下,需要有角色表和权限表,还有他们的关联表,在此简单的介绍下表结构,相信大家都会创建啦! user id,name role id,name user_ro
springboot+shiro+mybatis+Thymeleaf实现用户权限框架
11-29
通过以上技术的整合,这个框架实现了请求拦截、表单验证、盐值加密、用户管理、用户组管理、权限分配等功能。开发者可以根据需求快速套用前端框架,如Bootstrap、Vue或React,构建出一个完整的Web应用程序。项目中的...
Springboot整合Shiro
javaluckyfish的博客
07-08 878
测试(该用户没有export功能,输入地址出现这个)修改ShiroConfig(前面代码弄过了)创建LoginFilter。
SpringBoot整合Shiro
08-15
5. **安控制器**:在SpringBoot的控制器中,使用Shiro提供的注解进行权限控制,如`@RequiresAuthentication`、`@RequiresRoles`和`@RequiresPermissions`。 **二、RestFul风格API接口** 1. **URL设计**:遵循...
springboot+shiro.rar
10-07
Shiro的Filter可以与SpringBoot的Web MVC控制器无缝集成,实现对URL路径的访问控制。 在实际应用中,我们可能需要自定义Shiro的Realm, Realm是Shiro与应用数据源交互的桥梁,负责从数据库中获取用户信息进行认证和...
35 | SpringBoot整合Shiro之MD5盐值加密
NSX-Truth
09-03 954
前言 这篇文章是对上一篇 34 | Spring Boot整合Shiro框架(Shiro简介+实现登录拦截、用户认证、请求授权并整合Mybatis和Thymeleaf)的扩展 1. MD5盐值加密和MD5加密的区别 当两个用户的密码相同时,单纯使用不加盐的MD5加密方式,会发现数据库中存在相同结构的密码,这样是不安的。为了实现两个人的原始密码一样,但加密后的结果是不一样的效果,就要使用加了盐的MD5加密方式。其实就好像炒菜一样,两道一样的鱼香肉丝,加的盐不一样,炒出来的味道就不一样。 2. 使用步骤 2.
SpringBoot实现用户注册&密码加盐&Hibernate Validator校验注解
我能在河边钓一整天的鱼
02-22 1070
目录 接口说明 数据校验 导入注解的依赖 给pojo类加注解 密码盐值加密 导入依赖 新增盐值工具类 Controller Service 测试 接口说明 看完接口说明之后我们就开始实现这个功能了 数据校验 后端开发也是一定要有数据校验的,否则我们用swagger,postman这种常用工具就可以把不符合规则的数据增删改查...
Springboot + Shiro——MD5 盐值加密(配置)
鹿谷門実的博客
04-09 2523
其实这里所说的盐,简单的说,就是一组安随机数。它会在特定的时候,加入到密码中(一般来说是加密后的密码)。从而使密码变得更有味道(从单一简单化到复杂化),更安。 如何做到? 1). 在 doGetAuthenticationInfo 方法返回值创建 SimpleAuthenticationInfo 对象的时候, 需要使用 SimpleAuthenticationInfo(principal,...
springboot thymeleaf和shiro 整合 第三篇 密码加盐
ruiguang21的博客
05-11 1161
package com.ruiguang.config;import java.util.UUID;import org.apache.shiro.crypto.hash.SimpleHash;import org.apache.shiro.util.ByteSource;import org.hibernate.boot.archive.scan.internal.PackageDescript...
shiro 盐值加密
快乐的小三菊的博客
05-17 1042
shiro 盐值加密
shiro配置盐值加密
马尾与发圈
06-12 1274
springboot配置盐值加密 一:在shiro配置文件ShiroConfig.java中配置密码凭证匹配器 /** * 密码凭证匹配器,作为自定义认证的基础 * @return */ @Bean public HashedCredentialsMatcher hashedCredentialsMatcher() { HashedCredentialsMatcher hashedCredentialsMatcher = new HashedC
Shiro权限管理】10.Shiro为密码加盐
热门推荐
程序猿之洞
11-20 3万+
上一篇我们提到了使用Shiro为密码进行MD5加密,这次来说一下密码加盐的问题。 当两个用户的密码相同时,单纯使用不加盐的MD5加密方式,会发现数据库中存在相同结构的密码, 这样也是不安的。我们希望即便是两个人的原始密码一样,加密后的结果也不一样。 如何做到呢?其实就好像炒菜一样,两道一样的鱼香肉丝,加的盐不一样,炒出来的味道就不一样。 MD5加密也是一样,需要进行盐值加密。 在之
Shiro系列五:MD5盐值加密
苍穹尘的博客
06-07 1105
 对于同一密码,同一加密算法会产生相同的hash值,这样,当用户进行身份验证时,也可对用户输入的明文密码应用相同的hash加密算法,得出一个hash值,然后使用该hash值和之前存储好的密文值进行对照,如果两个值相同,则密码认证成功,否则密码认证失败。  但是这样存在很大的问题,不同的用户极有可能会使用相同的密码,那么这些用户对应的密文也会相同,这样,当存储用户密码的数据库泄露后,攻击者会很容易便...
springboot 集成shiro
最新发布
10-31
Spring Boot集成Shiro是一个常见的企业级应用安框架集成实践。Shiro是一个强大的开源身份验证和授权框架,而Spring Boot简化了项目配置,使得整合变得简单。以下是基本步骤: 1. 添加依赖:在你的`pom.xml`文件中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值