Shiro身份认证及盐加密(二)

最新推荐文章于 2024-04-06 23:17:42 发布
最新推荐文章于 2024-04-06 23:17:42 发布
阅读量256 收藏 1
点赞数 1
分类专栏: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43059674/article/details/102540988
版权

本章是在上一章了解shiro后,我们就需要运用到ssm项目中。
那么怎么把这个运用到ssm项目里,这就是我们此次的目的:
https://blog.csdn.net/qq_43059674/article/details/102526634

加盐加密

盐加密工具类,在做新增用户的时候使用,将加密后的密码、及加密时候的盐放入数据库;

PasswordHelper

package com.cpc.ssm.util;

import org.apache.shiro.crypto.RandomNumberGenerator;
import org.apache.shiro.crypto.SecureRandomNumberGenerator;
import org.apache.shiro.crypto.hash.SimpleHash;

/**
 * @Description:
 * @Author: cpc
 * @Date: 2019-10-13 16:14
 * @Version: V1.0
 */
public class PasswordHelper {

    /**
     * 随机数生成器
     */
    private static RandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator();

    /**
     * 指定hash算法为MD5
     */
    private static final String hashAlgorithmName = "md5";

    /**
     * 指定散列次数为1024次,即加密1024次
     */
    private static final int hashIterations = 1024;

    /**
     * true指定Hash散列值使用Hex(16进制)加密存. false表明hash散列值用用Base64-encoded存储
     */
    private static final boolean storedCredentialsHexEncoded = true;

    /**
     * 获得加密用的盐
     *
     * @return
     */
    public static String createSalt() {
        return randomNumberGenerator.nextBytes().toHex();
    }

    /**
     * 获得加密后的凭证
     *
     * @param credentials 凭证(即密码)
     * @param salt        盐
     * @return
     */
    public static String createCredentials(String credentials, String salt) {
        SimpleHash simpleHash = new SimpleHash(hashAlgorithmName, credentials,
                salt, hashIterations);
        return storedCredentialsHexEncoded ? simpleHash.toHex() : simpleHash.toBase64();
    }


    /**
     * 进行密码验证
     *
     * @param credentials        未加密的密码
     * @param salt               盐
     * @param encryptCredentials 加密后的密码
     * @return
     */
    public static boolean checkCredentials(String credentials, String salt, String encryptCredentials) {
        return encryptCredentials.equals(createCredentials(credentials, salt));
    }

    public static void main(String[] args) {
        //盐
        String salt = createSalt();
        System.out.println(salt);
        System.out.println(salt.length());
        //凭证+盐加密后得到的密码
        String credentials = createCredentials("123", salt);
        System.out.println(credentials);
        System.out.println(credentials.length());
        boolean b = checkCredentials("123", salt, credentials);
        System.out.println(b);
    }



}

ssm整合shiro和身份认证

shiro 整个ssm的mavn依赖

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.3.2</version>
</dependency>

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-web</artifactId>
    <version>1.3.2</version>
</dependency>

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.3.2</version>
</dependency>

数据库
这次我们不在想上篇博客一样在文件中获取数据了,而是将数据保持在数据库中。这要就能灵魂的分配权限了

在这里插入图片描述
这里只用到了用户表,其他表会在下次整合中才用带:

在这里插入图片描述
password 是md5加盐加密后生成的密码,salt就是加密的随机盐了。

MyRealm
这是我们自定义的数据源,目的是通过访问数据库来获取用户信息,来进行登录

package com.cpc.ssm.shiro;

import com.cpc.ssm.model.ShiroUser;
import com.cpc.ssm.service.ShiroUserService;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

/**
 * @Description: 自定义Realm
 * @Author: cpc
 * @Date: 2019-10-13 16:04
 * @Version: V1.0
 */
public class MyRealm extends AuthorizingRealm{

    private ShiroUserService shiroUserService;

    public ShiroUserService getShiroUserService() {
        return shiroUserService;
    }

    public void setShiroUserService(ShiroUserService shiroUserService) {
        this.shiroUserService = shiroUserService;
    }

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("开始身份认证");
        //获取用户名
        String username = token.getPrincipal().toString();
        //获取密码
        String password = token.getCredentials().toString();
        ShiroUser user = shiroUserService.queryByName(username);
        //将数据库中的数据和前台(token)
        //传入的数据放入到SimpleAuthenticationInfo,
        ///验证的任务是交给shiro去做的
        AuthenticationInfo info = new SimpleAuthenticationInfo(
                //用户名
                user.getUsername(),
                //密码
                user.getPassword(),
               //盐
                ByteSource.Util.bytes(user.getSalt()),
                this.getName()
        );
		//返回 AuthenticationInfo  
        return info;
    }
}

applicationContext-shiro.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">

    <!--配置自定义的Realm-->
    <bean id="shiroRealm" class="com.cpc.ssm.shiro.MyRealm">
        <property name="shiroUserService" ref="shiroUserService" />
        <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--以下三个配置告诉shiro将如何对用户传来的明文密码进行加密-->
        <property name="credentialsMatcher">
            <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
                <!--指定hash算法为MD5-->
                <property name="hashAlgorithmName" value="md5"/>
                <!--指定散列次数为1024次(这一定要和生成加密的工具类对应
                不然永远都验证不成功 )-->
                <property name="hashIterations" value="1024"/>
                <!--true指定Hash散列值使用Hex加密存. false表明hash散列值用用Base64-encoded存储-->
                <property name="storedCredentialsHexEncoded" value="true"/>
            </bean>
        </property>
    </bean>

    <!--注册安全管理器-->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="shiroRealm" />
    </bean>

    <!--Shiro核心过滤器-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- Shiro的核心安全接口,这个属性是必须的 -->
        <property name="securityManager" ref="securityManager" />
        <!-- 身份验证失败,跳转到登录页面 -->
        <property name="loginUrl" value="/login"/>
        <!-- 身份验证成功,跳转到指定页面 -->
        <!--<property name="successUrl" value="/index.jsp"/>-->
        <!-- 权限验证失败,跳转到指定页面 -->
        <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
        <!-- Shiro连接约束配置,即过滤链的定义 -->
        <property name="filterChainDefinitions">
            <value>
                <!--
                注:anon,authcBasic,auchc,user是认证过滤器
                    perms,roles,ssl,rest,port是授权过滤器
                -->
                <!--anon 表示匿名访问,不需要认证以及授权-->
                <!--authc表示需要认证 没有进行身份认证是不能进行访问的-->
                <!--roles[admin]表示角色认证,必须是拥有admin角色的用户才行-->
                /user/login=anon
                /user/updatePwd.jsp=authc
                /admin/*.jsp=roles[admin]
                /user/teacher.jsp=perms["user:update"]
                <!-- /css/**               = anon
                 /images/**            = anon
                 /js/**                = anon
                 /                     = anon
                 /user/logout          = logout
                 /user/**              = anon
                 /userInfo/**          = authc
                 /dict/**              = authc
                 /console/**           = roles[admin]
                 /**                   = anon-->
            </value>
        </property>
    </bean>

    <!-- Shiro生命周期,保证实现了Shiro内部lifecycle函数的bean执行 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
</beans>

applcationContext.xml
在这里插入图片描述

web.xml

<!-- shiro过滤器定义 -->
<filter>
  <filter-name>shiroFilter</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  <init-param>
    <!-- 该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理 -->
    <param-name>targetFilterLifecycle</param-name>
    <param-value>true</param-value>
  </init-param>
</filter>
<filter-mapping>
  <filter-name>shiroFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

ShiroUserController

package com.cpc.ssm.controller;

import com.cpc.ssm.model.ShiroUser;
import com.cpc.ssm.service.ShiroUserService;
import com.cpc.ssm.util.PasswordHelper;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * @Description:
 * @Author: cpc
 * @Date: 2019-10-13 16:12
 * @Version: V1.0
 */
@Controller
public class ShiroUserController {
    @Autowired
    private ShiroUserService shiroUserService;
	/**
	*登录
	*/
    @RequestMapping("/login")
    public String login(HttpServletRequest req, HttpServletResponse resp){
        //获取到用户名和密码
        String username = req.getParameter("username");
        String password = req.getParameter("password");
        //通过用户名和密码构造令牌
        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(username, password);
        //这是获取到主体对象
        Subject subject = SecurityUtils.getSubject();
        try {
            //登录
            subject.login(usernamePasswordToken);
            req.getRequestDispatcher("main.jsp").forward(req, resp);
        } catch (Exception e) {
            req.setAttribute("message", "您的用户名密码输入有误!!!");
            try {
                req.getRequestDispatcher("login.jsp").forward(req, resp);
            } catch (ServletException e1) {
                e1.printStackTrace();
            } catch (IOException e1) {
                e1.printStackTrace();
            }
        }
        return null;
    }
	
	/**
	*退出登录
	*/
    @RequestMapping("/logout")
    public String logout(HttpServletRequest req, HttpServletResponse resp){
        Subject subject = SecurityUtils.getSubject();
        //退出登录
        subject.logout();
        try {
            resp.sendRedirect(req.getContextPath()+"/login.jsp");
        } catch (IOException e) {
            e.printStackTrace();
        }
        return null;
    }


    /**
     * 用户注册
     * @return
     */
    @RequestMapping("/registered")
    public String registered(HttpServletRequest req, HttpServletResponse resp){
        //获取注册 用户名和密码
        String username = req.getParameter("username");
        String password = req.getParameter("password");
        //生成随机盐
        String salt = PasswordHelper.createSalt();
        //凭证+盐加密后得到的密码
        String credentials = PasswordHelper.createCredentials(password, salt);
        ShiroUser shiroUser = new ShiroUser(username, credentials, salt);
        shiroUserService.insert(shiroUser);
        try {
            resp.sendRedirect(req.getContextPath()+"/login.jsp");
        } catch (IOException e) {
            e.printStackTrace();
        }
        return null;
    }

}

将上篇博客的jsp页面cop过来
在这里插入图片描述
registered.jsp 新加的注册页面:

<%--
  Created by IntelliJ IDEA.
  User: 20190313
  Date: 2019/10/13
  Time: 16:19
  To change this template use File | Settings | File Templates.
--%>
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>用户注册</title>
</head>
<body>
<h1>用户注册</h1>
<form action="${pageContext.request.contextPath}/registered" method="post">
    帐号:<input type="text" name="username"><br>
    密码:<input type="password" name="password"><br>
    <input type="submit" value="确定">
    <input type="reset" value="重置">
    <a href="login.jsp">登录</a>
</form>
</body>
</html>

测试:

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

qq_43059674
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro登陆身份认证和权限管理 密码加密
01-23
shiro登陆,shiro登陆身份认证和权限管理 密码加密。自己写的demo。实用。希望大家多多支持。谢谢大家
高版本AES-GCM模式加密Shiro漏洞利用1
08-03
2. Shiro框架:Shiro是一个开源的Java安全框架,提供了身份验证、授权、会话管理和加密等功能。 3. 加密算法的变化:Shiro框架在高版本中更换了加密算法,从AES-CBC换成了AES-GCM。 4. GCM参数spec:GCM参数spec是指...
shiro身份认证加密
阳某的博客
10-13 1020
目录shiro认证,加密 shiro认证,加密 今天整合ssm和shiro,完成登录、注册的密码加密 首先一样需要导入pom依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <ve...
身份认证加salt
cccisi的博客
10-03 655
身份认证加salt注册时: 1)用户提供密码(以及其他用户信息); 2)系统为用户生成Salt值; 3)系统将Salt值和用户密码连接到一起; 4)对连接后的值进行散列,得到Hash值; 5)将Hash值和Salt值分别放到数据库中。登录时: 1)用户提供用户名和密码; 2)系统通过用户名找到与之对应的Hash值和Salt值; 3)系统将Salt值和用户提供的密码连接到一起; 4)
密钥技术简介及作用(含示例)_密钥体系的值是干嘛的
最新发布
m0_57472099的博客
04-06 904
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Shiro(三) 身份认证源码分析与 MD5 加密
Jack Li 的博客
06-18 464
Shiro 身份认证与 MD5 加密Shiro(三) 文章目录Shiro 身份认证与 MD5 加密 --- Shiro(三)1. 身份认证2. 身份验证的基本流程3. 身份验证实现3.1 在 `login.jsp` 添加登录表单3.2 添加表单提交的 Controller3.3 完善 Realm 的身份认证功能3.3.1 构造一个 MockDao 代替数据库提供用户信息3.3.2 将 UserDao 注入到 Realm3.3.3 实现自定义 Realm, 继承 AuthenticatingR
Shiro认证及加密
qq_44847231的博客
10-14 141
导入相关pom依赖: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.3.2</version> </dependency> <...
用户名加盐加密
Connie1451的博客
07-19 459
@Override @Transactional(rollbackFor = Exception.class) public void save(SysUserEntity user) { SysUserEntity s=sysUserDao.selByUser(user.getUsername()); if(s==null){ ...
shiro的使用demo
07-02
Shiro 可以轻松的完成:身份认证、授权、加密、会话管理等功能 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在 JavaEE 环境,功能强大且易用,可以快速轻松地保护任何应用程序 ( 从...
简单的介绍,简单的配置,简单的扩展 shiro入门学习手册 共35页.pptx
01-08
Apache Shiro是一个强大而灵活的开源安全框架,它能够干净利落地处理身份认证,授权,企业会话管理和加密。 以下是你可以用 Apache Shiro所做的事情: ? 验证用户 ? 对用户执行访问控制,如: ? 判断用户是否...
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
加密
黄啊码
09-09 1664
1         背景 涉及身份验证的系统都需要存储用户的认证信息,常用的用户认证方式主要为用户名和密码的方式,为了安全起见,用户输入的密码需要保存为密文形式,可采用已公开的不可逆的hash加密算法,比如SHA256, SHA512, SHA3等,对于同一密码,同一加密算法会产生相同的hash值,这样,当用户进行身份验证时,也可对用户输入的明文密码应用相同的hash加密算法,得出一个hash值
shiro笔记之----SimpleAuthenticationInfo 验证password
hubeilihao的专栏
05-28 8114
公司项目中用的是shiro做安全认证框架,从代码中看到了判断验证码的,也看到了判断用户名是否存在的,就是没有发现判断密码是否正确的,后从网上文章以及查看源码才大概了解shiro对于密码验证的流程。 自定义的shiroRealm public class ShiroRealm extends AuthorizingRealm { @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
JAVA 登录加盐验证和颁发身份令牌
qq_38438756的博客
03-24 2226
     加盐的目是:                 即使数据被拖库,攻击者也无法从中破解出用户的密码。             即使数据被拖库,攻击者也无法伪造登录请求通过验证。             即使数据被拖库,攻击者劫持了用户的请求数据,也无法破解出用户的密码。     思路:     1.先得到用户的账号和密码    String username = request.getPar...
、Spring Security之密码加密
热门推荐
panchang199266的博客
05-26 1万+
  在上一个Demo的基础之上,在 WebSecurityConfig 增加如下代码: @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth //配置 UserDetailsService 实现类,实现...
Shiro密码加密加盐
sky
02-19 357
一、Shiro配置添加: @Bean public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager){ ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); shiroF...
shiro自定义密码匹配验证,密码加密验证
weixin_33962923的博客
03-30 397
2019独角兽企业重金招聘Python工程师标准>>> ...
spring boot 解决Apache Shiro身份认证绕过漏洞(CVE-2023-22602)
06-02
对于Spring Boot项目中的Apache Shiro身份认证绕过漏洞(CVE-2023-22602),可以通过以下步骤进行解决: 1.升级Apache Shiro到1.7.1或更高版本。可以在项目的Maven或Gradle依赖中更新Apache Shiro的版本。 2.检查...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值