spring整合shiro的认证

最新推荐文章于 2022-09-07 14:04:38 发布
最新推荐文章于 2022-09-07 14:04:38 发布
阅读量155 收藏 1
点赞数
分类专栏: 学习 shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43227109/article/details/87806543
版权

spring与shiro整合第一步要引入pom文件

(shiro-core  shiro-spring   shiro-web)三个shiro相关的文件 版本要一致

第二步在web.xml里配置过滤器 可跟其他过滤器放一起

<!-- shiro过滤器定义 -->
  <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
     <!--该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理 -->
      <param-name>targetFilterLifecycle</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

第三步写一个自定义realm 继承 AuthorizingRealm类 有以下两个方法 授权和认证

public class MyRealm extends AuthorizingRealm {
    //这里直接注入找不到这个类 所以在service前面加一个名字@Service("userService")
    //通过配置文件的形式注入service
    private UserService userService;

    public UserService getUserService() {
        return userService;
    }

    public void setUserService(UserService userService) {
        this.userService = userService;
    }

    /**
     * 授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection collection) {
      
        return info;//最后返回出去授权
    }

    /**
     * 认证  token是从controller层传过来 这边接收那边的用户名和密码
     * @param
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        String username = token.getPrincipal().toString();//通过token拿到那边传的用户名密码
       // String password =token.getCredentials().toString();
        User user = userService.OneUser(username);//根据名字去查询获得一个用户
        //里面装当前用户名和密码 还有当前realm名字
        AuthenticationInfo info=new SimpleAuthenticationInfo(
                user.getUsername(),user.getPassword(),
                ByteSource.Util.bytes(user.getSalt()),//解密操作 如果数据库是加密也可以输入自己的原始密码
                this.getName());
        return info;//返回这个会自动对比token里用户的密码
    }

认证就是通过方法参数里token拿到controller层那边传过来的用户名和密码 然后进行查询数据库

再进行认证把用户名密码放进去 还有当前realm 最后认证过滤器返回就是通过查询的名字自动对比密码进行登陆

中间有一个加盐加密的操作 使用工具类把数据库密码加密后 用 ByteSource.Util.bytes(user.getSalt())进行解密 就可以用以前

密码登陆 上面有解释 工具类生成加盐加密密码

package com.zking.ssm.book.shiro;


import org.apache.shiro.crypto.RandomNumberGenerator;
import org.apache.shiro.crypto.SecureRandomNumberGenerator;
import org.apache.shiro.crypto.hash.SimpleHash;

/**
 * 用于shiro权限认证的密码工具类
 */
public class PasswordHelper {

    /**
     * 随机数生成器
     */
    private static RandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator();

    /**
     * 指定hash算法为MD5
     */
    private static final String hashAlgorithmName = "md5";

    /**
     * 指定散列次数为1024次,即加密1024次
     */
    private static final int hashIterations = 1024;

    /**
     * true指定Hash散列值使用Hex加密存. false表明hash散列值用用Base64-encoded存储
     */
    private static final boolean storedCredentialsHexEncoded = true;

    /**
     * 获得加密用的盐
     *
     * @return
     */
    public static String createSalt() {
        return randomNumberGenerator.nextBytes().toHex();
    }

    /**
     * 获得加密后的凭证
     *
     * @param credentials 凭证(即密码)
     * @param salt        盐
     * @return
     */
    public static String createCredentials(String credentials, String salt) {
        SimpleHash simpleHash = new SimpleHash(hashAlgorithmName, credentials,
                salt, hashIterations);
        return storedCredentialsHexEncoded ? simpleHash.toHex() : simpleHash.toBase64();
    }


    /**
     * 进行密码验证
     *
     * @param credentials        未加密的密码
     * @param salt               盐
     * @param encryptCredentials 加密后的密码
     * @return
     */
    public static boolean checkCredentials(String credentials, String salt, String encryptCredentials) {
        return encryptCredentials.equals(createCredentials(credentials, salt));
    }

    public static void main(String[] args) {
        //盐
        String salt = createSalt();
        System.out.println(salt);
        System.out.println(salt.length());
        //凭证+盐加密后得到的密码
        String credentials = createCredentials("123456", salt);
        System.out.println(credentials);
        System.out.println(credentials.length());
        boolean b = checkCredentials("123456", salt, credentials);
        System.out.println(b);
    }
}

controller层

public class UserController {

    @RequestMapping("/login")
    public String OneUser(User user){
        //把用户名密码生成令牌
        UsernamePasswordToken token=new UsernamePasswordToken(user.getUsername(),user.getPassword());
        Subject subject = SecurityUtils.getSubject();
        try {
            subject.login(token);
            return "main";//如果登陆成功就进去
        }catch (Exception e){
            return "redirect:/login.jsp";//否则回到login登陆
        }
    }

认证查询那里要注入对应service 直接用注解会注入不了 所以就用set get 方法 service层虽然有注解 但是spring并不知道shiro引用的是哪一个service 所以就有一个文件applicationContext-shiro.xml 文件里引用相应service shiro就可找到引用的service了 

别忘了这个文件也要在spring context里引用 不然会报错 切记 本人有过!!

<import resource="applicationContext-shiro.xml"/>
 <!--配置自定义的Realm-->
    <bean id="shiroRealm" class="com.yy.ssm.shiro.MyRealm">
        <property name="userService" ref="userService" />
        <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--以下三个配置告诉shiro将如何对用户传来的明文密码进行加密 下面三个属性跟工具类上面属性要一致-->
       <property name="credentialsMatcher">
            <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
               <!-- &lt;!&ndash;指定hash算法为MD5&ndash;&gt;-->
                <property name="hashAlgorithmName" value="md5"/>
               <!-- &lt;!&ndash;指定散列次数为1024次&ndash;&gt;-->
                <property name="hashIterations" value="1024"/>
              <!--  &lt;!&ndash;true指定Hash散列值使用Hex加密存. false表明hash散列值用用Base64-encoded存储&ndash;&gt;-->
                <property name="storedCredentialsHexEncoded" value="true"/>
            </bean>
        </property>
    </bean>

    <!--注册安全管理器-->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="shiroRealm" />
    </bean>

    <!--Shiro核心过滤器-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- Shiro的核心安全接口,这个属性是必须的 -->
        <property name="securityManager" ref="securityManager" />
        <!-- 身份验证失败,跳转到登录页面 -->
        <property name="loginUrl" value="/login"/>
        <!-- 身份验证成功,跳转到指定页面 -->
        <!--<property name="successUrl" value="/index.jsp"/>-->
        <!-- 权限验证失败,跳转到指定页面 -->
        <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
        <!-- Shiro连接约束配置,即过滤链的定义 -->
        <property name="filterChainDefinitions">
            <value>
                <!--
                注:anon,authcBasic,auchc,user是认证过滤器
                    perms,roles,ssl,rest,port是授权过滤器
                -->
                <!--anon 表示匿名访问,不需要认证以及授权-->
                <!--authc表示需要认证 没有进行身份认证是不能进行访问的-->
                <!--roles[admin]表示角色认证,必须是拥有admin(4)角色的用户才行-->
                /user/login=anon
                /user/updatePwd.jsp=authc
                /admin/*.jsp=roles[4]
                /user/teacher.jsp=perms["user:update"]
               <!-- /css/**               = anon
                /images/**            = anon
                /js/**                = anon
                /                     = anon
                /user/logout          = logout
                /user/**              = anon
                /userInfo/**          = authc
                /dict/**              = authc
                /console/**           = roles[admin]
                /**                   = anon-->
            </value>
        </property>
    </bean>

    <!-- Shiro生命周期,保证实现了Shiro内部lifecycle函数的bean执行 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
</beans>

这样就可以测试不同用户进行登陆的验证了。

 

阿圆啊哈
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring+Shiro整合之身份认证
SUNxiaodui的博客
09-16 207
1.shiro Apache Shiro是一个强大且易用的Java安全框架。 shiro四大基石–身份验证,授权,会话管理,加密。 Authentication(身份认证):即我们平时所说的“登录”。 2.整合 2.1 整合说明 在spring项目中,都是通过spring来管理bean,如果想要使用shiro,就需要将shiro整合spring。集成Spring的核心就是把框架的核心类(Subject,SecurityManager,Realm)交给Spring管理。 2.2整合步骤 在pom.xml中
spring+springMVC+shiro认证和授权
limpiditysky的博客
08-05 659
导入shiro jar包 导入spring jar包 导入springMVC jar包 spring-webmvc-4.2.5.RELEASE.jar web.xml配置 <!-- 注册spring提供的针对POST请求的中文乱码问题 --> <filter> <filter-name>CharacterEncodingFilter...
shiro密码加密
input_out的博客
01-18 3022
shiro密码加密 文章目录shiro密码加密1 MD5加密2 MD5盐值加密 1 MD5加密 在配置文件中设置自定义Realm对象的属性开启MD5加密 @Bean public ShiroRealm userRealm(){ ShiroRealm realm = new ShiroRealm(); //设置加密算法为md5 HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
SpringBoot+Shiro实现免密登录
qq_38410795冰淇淋的博客
09-07 1916
3、shiro配置类设置加密规则。1、自定义登录认证规则。2、自定义登录认证方案。
2021-05-25
weixin_46625059的博客
05-25 322
shiro 加盐 构建 SimpleAuthenticationInfo 使用 ByteSource.Util.bytes(userInfo.getSalt()) 作为 盐 一定要和注册时保持一致 SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( userInfo, //用户名 userInfo.getPassword(), //...
详解Spring Boot 集成Shiro和CAS
08-30
Spring Boot 集成 Shiro 和 CAS 本文将详细介绍 Spring Boot 集成 Shiro 和 CAS 的知识点,帮助读者了解 Shiro 和 CAS 的概念、使用方法,以及它们在 Spring Boot 中的集成方式。 Shiro 介绍 Shiro 是一个开源的 ...
spring整合shiro
07-14
SpringShiro 是两个在Java Web开发中常用的框架,Spring 是一个全面的后端开发框架,而 Apache Shiro 是一个安全认证框架。Spring 整合 Shiro 主要是为了实现更高效、灵活的安全管理,包括身份验证...
详解springshiro集成
08-29
1. `shiro-spring` - Apache ShiroSpring整合模块。 2. `spring-context` - Spring的核心模块,用于配置和管理应用程序上下文。 这些依赖可以通过Maven或Gradle等构建工具引入到项目中,具体配置请参考项目的`pom...
spring boot shiro认证
09-10
Spring Boot中集成Shiro,我们可以按照以下步骤进行: 1. **添加依赖**:在项目`pom.xml`文件中,添加ShiroSpring Boot的相关依赖,例如`spring-boot-starter-web`、`shiro-spring-boot-starter`等。 2. **...
spring整合shiro框架的实现步骤记录
08-27
Spring整合Shiro时,需要配置Realm,这是一个定制化的数据源,用于处理特定认证请求。 **2. 授权(Authorization)** 授权是控制用户访问资源或执行操作的过程。Shiro允许基于角色的访问控制,用户可以被分配到不同...
java shiro盐值加密_shiro盐值加密并验证
weixin_34907135的博客
02-27 306
在数据表中存的密码不应该是123456,而应该是123456加密之后的字符串,而且还要求这个加密算法是不可逆的,即由加密后的字符串不能反推回来原来的密码,如果能反推回来那这个加密是没有意义的。著名的加密算法,比如 MD5,SHA1。下面就来介绍如何用shiro进行MD5加密并验证1.在注册的时候将前端传过来的密码入数据库之前进行加密public void encryptPassword(User ...
shiro 加密登录 密码加盐处理
dxyzhbb的博客
04-03 1293
密码加密登录是为了提高系统安全性,即使是管理员查看数据库也得不到密码 使用shiro可以很轻松的完成加密及登录操作 加密工具 此工具用于注册时对密码进行加密 public static final String md5(String password, String salt){ //加密方式 String hashAlgorithmName = "MD5"; /...
shiro认证以及盐加密
dyt0319_的博客
03-09 167
1、pom依赖 &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-core&lt;/artifactId&gt; &lt;version&gt;1.3.2&lt;/version&gt; &lt;/dependency&gt; &am
spring集成shiro实现登录认证自定义验证功能(认证采用国密SM4算法)
爱喝浓咖啡
12-20 1886
公司在建项目采用的开发框架为spring+springMvc+hibernate,安全框架采用的是shiro,安全认证沿用了shiro自带的HashedCredentialsMatcher,现客户(国企)要求用户密码必须采用国密SM4算法进行加密,因此需对安全认证模块进行改造。 SM4加密JAVA版可参考:http://blog.csdn.net/lemon_tree12138/...
Shiro+SpringMVC 实现更安全的登录(加密匹配&登录失败超次数锁定帐号)
热门推荐
小灯光环
09-17 4万+
关于shiro实现登录中的安全加密匹配与登录失败超次数锁定账户的功能。
SpringBoot+Shiro实现MD5密码加密认证
帅帅气气的黑猫警长
08-24 926
SpringBoot+Shiro实现MD5加密验证
shiro框架简介以及与spring整合搭建
qq_41644069的博客
10-26 1040
1.shiro框架简介 1.1.shiro是什么? Apache Shiro是Java的一个安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以完成:认证、授权、加密、会话管理、与Web 集成、缓存等。 1.2.shiro基本功能 Authentication:身份认证/登录,验证用户是不是拥有相应的身份; Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用
使用shiro的SimpleHash来生成常用的摘要串
weixin_33717298的博客
11-22 243
&lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-core&lt;/artifactId&gt; &lt;version&gt;1.2.4&lt;/version&gt; &lt;/dependency&gt; 引入上述的shiro的P
shiro框架示例--springshiro框架的整合
方圆几里的博客
06-27 1668
一 maven添加jar包依赖 &lt;!-- shiro --&gt; &lt;!-- shiro整合spring jar包 --&gt; &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&...
SpringShiro集成及EL表达式扩展实践
1. **Spring整合Shiro**: - 首先,开发人员需要在项目中引入shiro-spring模块(如1.4.0版本),这通过Maven或类似构建工具的依赖管理完成。 - Spring的集成使得Shiro可以无缝地与Spring的IoC容器协同工作,提供更...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值