Shiro - 散列密码与权限缓存

最新推荐文章于 2021-03-28 03:01:01 发布
最新推荐文章于 2021-03-28 03:01:01 发布
阅读量159 收藏
点赞数 1
分类专栏: 安全框架 文章标签: Shiro 权限缓存 散列密码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40885085/article/details/100668212
版权

散列密码

1.在保存用户时,给用户密码进行加密处理

public void saveEmployee(Employee employee) {
    // 把密码进行加密
    Md5Hash md5Hash = new Md5Hash(employee.getPassword(),employee.getUsername(),2);
    employee.setPassword(md5Hash.toString());
    // 保存员工
    employeeMapper.insert(employee);
    // 保存员工与角色的关系
    for (Role role : employee.getRoles()) {
        employeeMapper.insertEmployeeAndRoleRel(employee.getId(),role.getRid());
    }
}

2.在认证当中添加密码处理

3.在配置文件中添加凭证匹配器

<!-- 凭证匹配器 -->
<bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
    <!-- 散列算法 -->
    <property name="hashAlgorithmName" value="md5"/>
    <!-- 散列次数 -->
    <property name="hashIterations" value="2"></property>
</bean>

 

权限缓存

进入页面时, 页面当中写了Shiro的标签,每一个标签都要去到授权当中进行一次授权查询

授权查询只使用一次即可, 所以使用缓存,把对应的内容缓存起来,下次再去, 直接从缓存当中进行查询

 

1.添加缓存pom依赖

<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-ehcache</artifactId>
  <version>1.2.2</version>
</dependency>

2.添加shiro缓存配置

①添加shiro-ehcache.xml

<ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:noNamespaceSchemaLocation="http://ehcache.org/ehcache.xsd">
    <defaultCache
            maxElementsInMemory="1000"
            maxElementsOnDisk="10000000"
            eternal="false"
            overflowToDisk="false"
            diskPersistent="false"
            timeToIdleSeconds="120"
            timeToLiveSeconds="120"
            diskExpiryThreadIntervalSeconds="120"
            memoryStoreEvictionPolicy="LRU">
    </defaultCache>
</ehcache>

②配置约束

3.配置缓存管理器

<!-- 缓存管理器 -->
<bean id="ehCache" class="org.apache.shiro.cache.ehcache.EhCacheManager">
    <property name="cacheManagerConfigFile" value="classpath:shiro-ehcache.xml"/>
</bean>

4.把缓存管理器添加到安全管理器当中

<!-- 配置shiro安全管理器 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <!-- 注入realm -->
    <property name="realm" ref="employeeRealm"></property>
    <!-- 注入缓存器 -->
    <property name="cacheManager" ref="ehCache"/>
</bean>

九月清晨柳成荫
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro 权限加密下的密码修改和缓存问题?
amd2015的博客
12-02 853
shiro 权限加密下的密码修改你会发现出现修改后只能用原先代码密码才登录上 原因:缓存问题 好吧,这很容易想到 然而: 一开始我将ssm 中配置的缓存 清除 ,然而并没有什么用 <!--授权信息缓存--> <cache name="authorizationCache" maxEntriesLocal...
redis缓存数据库-(hash)操作
pseudonym
11-28 2124
redis缓存数据库-(Hash)操作 hash表现形式上有些像python中dict,可以存储一组关联性比较强的数据,redis中hash在内存中的存储格式如下图 hset(name, key, value) name对应的hash中设置一个键值对(不存在,则创建;否则,修改) 参数: # name,redis的name # key,name对应的hash中的key # value,name对应的hash中的value 注: # hsetnx(name, key, value),当name对应的
Shiro 使用Realm进行密码
chenjia的博客
09-25 237
算法 算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据,常见的算法如MD5、SHA等。一般进行时最好提供一个salt(盐),比如加密密码“admin”,产生的值是“21232f297a57a5a743894a0e4a801fc3”,可以到一些md5解密网站很容易的通过值得到密码“admin”,即如果直接对密码进行相对来说破解更容易,此时我们...
【springboot】学习5:shiro
编程学习集装箱
10-03 777
学习自:https://www.bilibili.com/video/BV1uz4y197Zm 1.shiro 1.1什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2什么是身份认证 身份认证,就是判断一个用户是否为合
使用Shiro的SimpleHash加密密码工具类
mr_foxsand的专栏
03-15 6669
版权声明:严禁用于任何商业用途的转发! 为什么我们要使用shiro的加密工具再次封装密码: 绝大多数网站中的用户密码使用MD5加密后保存到数据库中,如果采用弱密码,例如:123456、admin等,有太多的MD5穷举网站可以获取到密码的MD5值,这个时候我们有必要改进密码加密机制! Shiro的SimpleHash并非唯一选择,只是比较方便。 SimpleHash原理: public ...
shiro-all-1.2.3.jar
05-24
Shiro缓存管理器(CacheManager)允许你将用户权限和会话数据存储在缓存中,以提高应用程序性能。它支持多种缓存后端,如Ehcache、Hazelcast或Infinispan等。通过缓存管理器,你可以配置Shiro在验证用户身份或检查...
shiro-root-1.4.0-RC2.rar
12-14
3. **Caching**:缓存管理示例,展示了如何配置Shiro使用缓存来提高性能,比如使用EhCache或Redis存储会话和权限信息。 4. **Remember Me**:记住我功能示例,让用户在关闭浏览器后仍然保持登录状态。 5. **...
shiro-root-1.9.1-source-release.zip
最新发布
12-07
7. **缓存管理**:为了提高性能,Shiro支持缓存策略,可以缓存用户认证和授权信息,减少数据库查询。 在解压后的 "shiro-root-1.9.1" 文件夹中,你会找到以下结构: - `src` 目录:包含所有源代码,按照模块和功能...
shiro-1.3.2
07-12
3. **加密**:Shiro 提供了各种加密工具,如、对称和非对称加密算法,用于密码存储和其他敏感数据的安全处理。 4. **会话管理**:Shiro可以管理应用程序中的会话,包括会话的创建、跟踪、超时和销毁。它还支持...
apache-shiro-1.2.x-reference-中文文档
10-31
Shiro提供了各种加密工具,包括密码、加密解密等。例如,`HashService`用于生成密码的哈希值,`CipherService`则用于加解密数据。这些工具使得开发者可以方便地实现安全的数据存储和传输。 五、Web安全(Web ...
shiro记住我与密码匹配次数的配置(md5加密)
zzhao114的博客
03-09 6381
简介 1.shiro的记住我与密码匹配都是基于cookie的,将信息存储在cookie中 2.基础配置 http://blog.csdn.net/zzhao114/article/details/55662585 remenberme功能 1.首先在shiro的配置文件中添加 <property name="cipherKey" va
shiro 密码加密和解密
热门推荐
笨鸟快飞的专栏
08-15 2万+
前言:对于登录的密码信息加密,增加密码破解难度。在密码使用Shiro的hash加密方法和自定义方法加密算法。 步骤 1.告诉shiro密码使用何种加密方法 2.告诉shiro如何验证加密密码是否正确 1.告诉shiro密码使用何种加密方法 通过Credentials 和 CredentialsMatcher告诉shiro什么加密和密码校验 在配置文件
shiro登陆时密码加盐哈希实现和简单原理
ignoHH的博客
11-19 882
shiro登陆时密码加盐哈希实现 转载请注明出处 实现 废话不多说,开搞。此篇采用SHA-256哈希算法,采用其他算法只需要更改算法名字段。 1.在shiro配置中添加对于HashedCredentialsMatcher的配置 @Bean public HashedCredentialsMatcher hashedCredentialsMatcher(){ HashedCredentialsMatcher hashedCredentialsMatcher = new Hashed
shiroshiro学习笔记3-功能
KIWI的专栏
02-16 3946
对于密码,有很多种加密方式是其中 最常用的,shiro提供了直接支持。环境 <dependencies> <!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId>
shiro实现密码加密
qq_45053091的博客
11-03 2216
1shiro实现MD5加密 @Test public void testMD5() throws Exception{ Md5Hash hash = new Md5Hash("1","admin",3); System.out.println(hash);//f3559efea469bd6de83d27d4284b4a7a } 第一参数为需要加密的数字 第二个参数为加密的第一道程序(加盐) 第三个参数一般为加密的层数 不加层数会很容易简单的利用官网软件进行破解 2.在shiro框架中实现密码
浅谈JWT身份认证及其优缺点
江南烟雨却痴缠丶
03-27 5514
一、登录模式 在介绍JWT之前,我要先介绍一下常见的几种登录模式。 1、单一服务器模式(Session) 我们登录认证成功之后,将用户信息就存放在服务端(Session),然后将其对应的session_id存储在客户端(Cookie),从Cookie中取出session_id,服务端就可以根据这个session_id获取对应的Session,从而获取存储用户信息。 其优点是:Session自动续期,用户体验较好 其缺点是: ①没有分布式架构,无法支持横向扩展。即分布式架构的情况下,其他服务器是没有办法获取到
SpringSecurity - 使用matches方法匹配原密码来修改密码
江南烟雨却痴缠丶
02-07 4311
业务需求:修改密码,要求输入原密码和新密码进行修改密码。 原密码因为使用SpringSecurity中的PasswordEncoder的encode方法进行hash加密了,但我们表单传到后端的是没加密的密码。比如密码是123456,加密后是$10$qRyhbnCnQUkLPiX4J1GdwuaFOrLbWqSfw1mzE7/d7PxgX9Pc83rOq 这时,从数据库获取的是加密后的密码,要与...
SpringSecurity - 登录注册加密/登录拦截/失败信息回显详解(慢步骤解析)
江南烟雨却痴缠丶
01-24 3930
配置文件中form-login标签详解 login-page // 自定义登录页面的url,例如login.htmllogin-processing-url // 登录请求拦截的url,即form表单提交的url,默认值是/login // 以下2个需要配合使用,如果需要认证成功跳转的url,则always-use-d...
SpringBoot - SpringSecurity结合JWT的身份验证及动态权限解决方案
江南烟雨却痴缠丶
03-28 2292
花了点时间写了一个SpringSecurity集合JWT完成身份验证的Demo,并按照自己的想法完成了动态权限问题。在写这个Demo之初,使用的是SpringSecurity自带的注解权限,但是这样权限就显得不太灵活,在实现之后,感觉也挺复杂的,欢迎大家给出建议。Demo下载地址,见文末。 JWT是什么可以参考我另一篇博文:浅谈JWT身份认证及其优缺点 认证流程及授权流程 我画了个建议的认证授权流程图,后面会结合代码进行解释整个流程。 一、登录认证阶段 实现SpringSecurity的UsernameP
Shiro权限控制与身份验证详解
5. **编码/加密**:这部分涵盖了密码的编码、解码以及算法,以及如何使用PASSWORDSERVICE/CREDENTIALSMATCHER来进行安全的密码匹配。 6. **REALM及相关对象**:深入解析REALM的作用,包括AUTHENTICATIONTOKEN、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值