shiro之自定义Realm与盐加密

最新推荐文章于 2023-02-04 17:27:31 发布
最新推荐文章于 2023-02-04 17:27:31 发布
阅读量174 收藏
点赞数 1

1、自定义Realm
Shiro从Realm获取安全数据(如用户、角色、权限),就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作;可以把Realm看成DataSource,即安全数据源。

最基础的是Realm接口,CachingRealm负责缓存处理,AuthenticationRealm负责认证,AuthorizingRealm负责授权。通常自定义的realm继承AuthorizingRealm。

需要导入的依赖:

    <!--shiro相关依赖-->
    <shiro.version>1.3.2</shiro.version>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>${shiro.version}</version>
    </dependency>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-web</artifactId>
        <version>${shiro.version}</version>
    </dependency>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-spring</artifactId>
        <version>${shiro.version}</version>
    </dependency>

shiro提供的realm图:

一个自定义realm实例:

package com.zking.ssm.shiro;

import com.zking.ssm.model.User;
import com.zking.ssm.service.UserService;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

/**

  • @author LJ

  • @site www.lijun.com

  • @Date 2019年01月02日

  • @Time 19:27
    */
    public class MyRealm extends AuthorizingRealm {

    private UserService userService;

    public UserService getUserService() {
    return userService;
    }

    public void setUserService(UserService userService) {
    this.userService = userService;
    }

    /**

    • 此方法在用户进入一个没有权限的页面时调用
    • @author LJ
    • @Date 2019/1/3
    • @Time 17:11
    • @param principals
    • @return org.apache.shiro.authz.AuthorizationInfo
      */
      @Override
      protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
      System.out.println(“授权…”);
      return null;
      }

    /**

    • 此方法在进行身份认证时调用
    • @author LJ
    • @Date 2019/1/3
    • @Time 17:12
    • @param token
    • @return org.apache.shiro.authc.AuthenticationInfo
      */
      @Override
      protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
      System.out.println(“认证…”);
      String username = token.getPrincipal().toString();
      User user = this.userService.queryByName(username);
      //数据库中存在的账户、密码组合成唯一的认证标识
      AuthenticationInfo info = new SimpleAuthenticationInfo(user.getUsername(),user.getPassword(),this.getName());
      return info;
      }
      }
      2、Spring与Shiro集成
      (1)配置自定义Realm

(2)注册安全管理器

将自定义的Realm设置到Shiro的SecurityManager中,在Shiro授权和认证时使用自定义的Realm数据源进行校验

<!--注册安全管理器-->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="realm" ref="shiroRealm" />
</bean>

(3)配置Shiro核心过滤器

Shiro核心过滤器用于拦截请求,通过给定的授权认证机制对用户访问身份和权限进行认证识别

<!--Shiro核心过滤器-->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <!-- Shiro的核心安全接口,这个属性是必须的 -->
    <property name="securityManager" ref="securityManager" />
    <!-- 身份验证失败,跳转到登录页面 -->
    <property name="loginUrl" value="/login"/>
    <!-- 身份验证成功,跳转到指定页面 -->
    <!--<property name="successUrl" value="/index.jsp"/>-->
    <!-- 权限验证失败,跳转到指定页面 -->
    <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
    <!-- Shiro连接约束配置,即过滤链的定义 -->
    <property name="filterChainDefinitions">
        <value>
            <!--
            注:anon,authcBasic,auchc,user是认证过滤器
                perms,roles,ssl,rest,port是授权过滤器
            -->
            <!--anon 表示匿名访问,不需要认证以及授权-->
            <!--authc表示需要认证 没有进行身份认证是不能进行访问的-->
            <!--roles[admin]表示角色认证,必须是拥有admin角色的用户才行-->
            /user/login=anon
            /user/updatePwd.jsp=authc
            /admin/*.jsp=roles[admin]
            /user/teacher.jsp=perms["user:update"]
            <!-- /css/**               = anon
             /images/**            = anon
             /js/**                = anon
             /                     = anon
             /user/logout          = logout
             /user/**              = anon
             /userInfo/**          = authc
             /dict/**              = authc
             /console/**           = roles[admin]
             /**                   = anon-->
        </value>
    </property>
</bean>

anon 表示匿名访问,不需要认证以及授权
authc表示需要认证 没有进行身份认证是不能进行访问的
roles[admin]表示角色认证,必须是拥有admin角色的用户才行
user表示用户不一定已通过认证,只要曾被Shiro记住过登录状态的用户就可以正常发起请求,比如rememberMe
perms表示指定过滤规则,这个一般是扩展使用,不会使用原生的
port表示请求的URL端口验证
ssl表示安全的URL请求,协议为https
rest表示根据请求的方法,如post、get、delete等

(4)配置Shiro生命周期

<!-- Shiro生命周期,保证实现了Shiro内部lifecycle函数的bean执行 -->
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

3、修改web.xml文件,添加shiroFilter的配置

shiroFilter org.springframework.web.filter.DelegatingFilterProxy targetFilterLifecycle true shiroFilter /* 4、创建ShiroController实现Shiro身份认证登录 package com.zking.ssm.controller;

import com.zking.ssm.model.User;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;

import javax.servlet.http.HttpServletRequest;

/**

  • @author LJ

  • @site www.lijun.com

  • @Date 2019年01月02日

  • @Time 19:27
    */
    @Controller
    public class ShiroController {

    /**

    • 登录
    • @author LJ
    • @Date 2019/1/3
    • @Time 17:31
    • @param user
    • @param request
    • @return java.lang.String
      */
      @RequestMapping("/login")
      public String login(User user, HttpServletRequest request){
      Subject subject = SecurityUtils.getSubject();
      UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(), user.getPassword());
      try {
      subject.login(token);
      request.getSession().setAttribute(“username”,user.getUsername());
      return “main”;
      }catch (Exception e){
      request.setAttribute(“message”,“用户名或密码有误!”);
      return “login”;
      }
      }

    /**

    • 退出登录
    • @author LJ
    • @Date 2019/1/3
    • @Time 17:31
    • @param
    • @return java.lang.String
      */
      @RequestMapping("/logout")
      public String logout(){
      Subject subject = SecurityUtils.getSubject();
      subject.logout();
      return “redirect:login.jsp”;
      }
      }
      5、创建login.jsp
      <%@ page contentType=“text/html;charset=UTF-8” language=“java” %>
Title

用户登陆

${message}
帐号:
密码:
6、MD5盐加密 (1)生成加密密码PasswordHelper类(盐加密)

package com.zking.ssm.util;

import org.apache.shiro.crypto.RandomNumberGenerator;
import org.apache.shiro.crypto.SecureRandomNumberGenerator;
import org.apache.shiro.crypto.hash.SimpleHash;

/**

  • 用于shiro权限认证的密码工具类
    */
    public class PasswordHelper {

    /**

    • 随机数生成器
      */
      private static RandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator();

    /**

    • 指定hash算法为MD5
      */
      private static final String hashAlgorithmName = “md5”;

    /**

    • 指定散列次数为1024次,即加密1024次
      */
      private static final int hashIterations = 1024;

    /**

    • true指定Hash散列值使用Hex加密存. false表明hash散列值用用Base64-encoded存储
      */
      private static final boolean storedCredentialsHexEncoded = true;

    /**

    • 获得加密用的盐
    • @return
      */
      public static String createSalt() {
      return randomNumberGenerator.nextBytes().toHex();
      }

    /**

    • 获得加密后的凭证
    • @param credentials 凭证(即密码)
    • @param salt 盐
    • @return
      */
      public static String createCredentials(String credentials, String salt) {
      SimpleHash simpleHash = new SimpleHash(hashAlgorithmName, credentials,
      salt, hashIterations);
      return storedCredentialsHexEncoded ? simpleHash.toHex() : simpleHash.toBase64();
      }

    /**

    • 进行密码验证
    • @param credentials 未加密的密码
    • @param salt 盐
    • @param encryptCredentials 加密后的密码
    • @return
      */
      public static boolean checkCredentials(String credentials, String salt, String encryptCredentials) {
      return encryptCredentials.equals(createCredentials(credentials, salt));
      }

    public static void main(String[] args) {
    //盐
    String salt = createSalt();
    System.out.println(“盐:”+salt);
    System.out.println(salt.length());
    //凭证+盐加密后得到的密码
    String credentials = createCredentials(“123”, salt);
    System.out.println(“加盐后:”+credentials);
    System.out.println(credentials.length());
    boolean b = checkCredentials(“123”, salt, credentials);
    System.out.println(b);
    }
    }
    (2)修改applicationContext-shirod的自定义Realm配置,增加以下:

<!-配置Shiro明文密码如何进行加密->

(3)在自定义realm类里修改如下:

//数据库中存在的账户、密码组合成唯一的认证标识
AuthenticationInfo info = new SimpleAuthenticationInfo(user.getUsername(),user.getPassword(),ByteSource.Util.bytes(user.getSalt()),this.getName());

qq_43181626
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
定义Realm 认证 密码加密定义realm的授权功能
qq_55682798的博客
08-08 337
/什么时候执行该方法: 当你进行权限校验时会执行该方法//根据账号查询该用户具有哪些权限if(list!}}////1.根据token获取账号//2.根据账号查询用户信息if(user!=null){//从数据库中获取的密码}}}try {System.out.println("账号密码错误");}}}...
shiro 加密
快乐的小三菊的博客
05-17 804
shiro 加密
7.Shiro实现密码加密和解密
相互学习 共同进步
06-29 3839
Shiro实现密码加密和解密 常见的加密方式有很多,Shiro中提供的一套散列算法加密方式。散列算法,是一种不可逆的算法(自然是要不可逆的,因为可逆的算法破解起来也很容易,所以不可逆的算法更安全),常见的散列算法如MD5、SHA,但是网上看到很多破解MD5加密的网站,不是说散列算法是不可逆的吗?为什么还存在那么多破解密码的网站? 其实散列算法确实是不可逆的,即使是常见的MD5加密也是不可逆的加密方式,而网上的破解网站并不是能够逆向算出这个加密密码,而是通过大数据的方式得出来的,相当于,MD5解密的网站中存在
Shiro-02-自定义Realm加密功能
959
09-29 317
Shiro 的 自定义Realm 功能 和 加密功能
Spring配置shiro时自定义Realm中属性无法使用注解注入的解决办法
08-26
今天小编就为大家分享一篇关于Spring配置shiro时自定义Realm中属性无法使用注解注入的解决办法,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
用于测试shiro中自定义Realm的测试代码
04-05
这个程序是eclipse编写的,学习shiro框架,入门的,用于测试自定义Realm的小例子,仅仅用于学习,不得用于商业用途
SpringBoot Shiro配置自定义密码加密器代码实例
08-19
主要介绍了SpringBoot Shiro配置自定义密码加密器代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Springboot整合Shiro之加MD5加密的方法
08-26
主要介绍了Springboot整合Shiro之加MD5加密的方法,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
shiro权限框架自定义Realm示例
09-10
shiro权限框架自定义Realm示例
MD5加密工具包可配置salt值
06-27
MD5加密工具类,内置注释代码,可以调用配置文件,通过文件设置salt,增加破解难度。
Shiro定义加密、授权、缓存、session管理和退出
u014748504的博客
08-09 545
一、总结与计划 1.1 总结 SpringBoot整合Shiro完成权限管理 Shiro功能 认证 授权 SpringBoot项目部署 jar包 nohup java -jar *.jar layui使用 1.2 计划 shiro 加密(认证) 授权 过滤器 注解 java代码 ..
shiro学习笔记(2)】在shiro中自定义登录策略使用MD5加密算法
weixin_45921478的博客
02-04 187
通过完成基础的shiro案例,发现shiro的默认认证策略为简单的equals比较,存在安全性问题,密码仅能通过明文的对比和存储,且数据源只能存储在.ini文件中,接下来将继续学习shiro的自定义策略。根据第一篇入门程序步入的源码刨析分析shiro的认证过程shiro的认证主要分为两个步骤:通过doGetAuthenticationInfo方法完成用户名的校验通过assertCredentialsMatch方法完成密码的校验。
Shiro入门(五)Shiro定义Realm加密算法
jwang的博客
05-11 2123
前言 本章讲解shiro定义realm和它的加密算法 方法 1.概念 通过前面的讲解,我已经带入了自定义Realm的相关概念。那么为什么要自定义realm呢?显而易见,我们在数据库中创建的users表和它的字段受限于shiro自己的jdbcRealm,所以通常情况下我们需要使用自己的表,跟着必须使用自定义realm。 再者,在用户表中,密码字段的值是一个敏感的存在。我们需...
shiro定义密码加密验证
lovely960823的博客
03-08 780
现在数据库密码基本上没有明文存储的,基本上都是加过密之后的信息,今天我们来处理一下我们平时在整合shiro的时候如何处理密文的情况,shiro的登录认证的时候会获取到UsernamePasswordToken里面的password和你返回SimpleAuthenticationInfo(user, user.getPassword(), “”);里面传入的密码进行匹配,一致则通过验证。 那么我们如何自定义密码验证呢,下面我们以MD5加密作为实现 @Override protected Authentica
密码加密方式:MD5加密 & 加密
会飞的小蜗
09-18 3627
在我们项目开发中,对于密码的存储都会进行加密处理,我们可以自定义一个加密方式进行加解密后的字符串对比,也可以使用我们的md5加密(不可逆)。 //常用的MD5加密 String s = DigestUtils.md5Hex("123456"); System.out.println(s); 运行结果: e10adc3949ba59abbe56e057f20f883e MD5 经过摘要算法加密可以将任何长度的字符串转化成固定长度大小,无论加密前的字符串多大,即便是1G的数据,经过M
通俗易懂的Shiro教程(含配套资料)
07-21
本教程为授权出品教程Apache Shiro 是目前使用率较高的一个 Java 安全框架。本视频基于 Shiro 的新版本 1.3.2 录制。内容涵盖 Shiro 认证、加密、授权、安全标签、安全注解、会话管理、缓存、Rememberme 等 JavaEE 企业级开发的核心技术。视频讲授过程中通过分析源代码使学员知其然更知其所以然。
Shiro】3、Shiro实现自定义密码验证规则
热门推荐
Asurplus
05-22 20万+
我们在使用 Shiro 实现登录的时候,我们只需要将账号、密码,Shiro 会自动判断账户、密码是否正确,那么 Shiro 怎么会知道我们的密码加密规则呢?所以我们需要自定义密码的加密规则 1、自定义加密规则 /** * 凭证匹配器 * 执行login(token)后由securityManager调用,用于计算密码加密后的密文 * * @return */ @Bean public HashedCredentialsMatcher hashedCredentialsMatcher() { Has
shiro的使用详解
最新发布
06-01
Shiro是一个功能强大、易于使用的Java安全框架,提供了身份验证、授权、加密、会话管理等安全功能,可以帮助开发者快速构建安全的Web应用程序。 下面是Shiro的使用详解: 1. 引入Shiro依赖 在Maven项目中,需在pom.xml文件中添加Shiro的依赖: ```xml <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.7.1</version> </dependency> ``` 2. 配置Shiro 在项目中添加Shiro的配置文件shiro.ini,配置ShiroRealm加密方式、session等相关信息。 3. 自定义Realm RealmShiro的核心组件,用于认证和授权。需要自定义一个Realm,实现ShiroRealm接口,并重写其中的认证和授权方法。 4. 认证 在用户登录时,调用Shiro的Subject.login()方法进行认证。Shiro会调用自定义Realm中的doGetAuthenticationInfo()方法进行认证,并返回认证结果。 5. 授权 在需要进行授权的地方,调用Shiro的Subject.isPermitted()方法进行授权。Shiro会调用自定义Realm中的doGetAuthorizationInfo()方法进行授权,并返回授权结果。 6. Session管理 Shiro提供了Session管理功能,可以使用Shiro的Session API进行Session操作。 以上就是Shiro的使用详解。通过使用Shiro,可以方便地实现Web应用程序的安全功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值