Shiro框架盐值加密配合Springboot进行权限管理

已于 2022-06-19 16:52:22 修改
阅读量221 收藏
点赞数
分类专栏: Springboot的项目经验 文章标签: spring boot spring java
于 2022-06-19 16:50:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58291481/article/details/125358388
版权

问题描述

使用Shiro框架实现权限管理进行并盐值加密是工作开发最常用的代码,我这里总结成对应的模板,做到即用即拿,CV开发效率变快!

解决方案:

创建springboot项目,创建时选择导入springboot webthmyeleaf(不用不导)

并且导入springshiro的整合包,这里依赖版本要一样,不同版本配置稍微不同

<!--
	Subject用户
	SecurityManager管理所有用户
	Realm连接数据
-->
<!--shiro-spring-->
<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-spring</artifactId>
	<version>1.8.0</version>
</dependency>

数据库模拟,这里用到了权限字段perms,别的具体看自己的业务开发

CREATE TABLE `user`(
	id INT PRIMARY KEY AUTO_INCREMENT,
	username VARCHAR(20),
	pwd VARCHAR(32),
	email VARCHAR(200),
	perms VARCHAR(20)
);

 下面就是基于perms这个权限字段来进行书写

ShiroConfig配置类、UserRealm授权认证类、登录注册类(这个也是重点,如果你用盐值加密注册要盐值加密对应起来,不然检查不了登录不上)

首先ShiroConfig配置类(主要下面的加密配置和引入)

/**
 * @author mrs
 * @create 2022-04-30 17:53
 */
@Configuration
public class ShiroConfig{
    /**
     * MD5或者MD5盐值加密都要注入对应的加密的配置
     * 只要加密都要配!
     * 重点!!
     * @return
     */
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        //setHashAlgorithmName设置使用的加密算法的名称
        hashedCredentialsMatcher.setHashAlgorithmName("MD5");
        //设置加密的次数
        hashedCredentialsMatcher.setHashIterations(1024);//这个要与注册那边对应
        return hashedCredentialsMatcher;
    }

    //第一步:创建realm对象,导入对应的加密方式配置
    @Bean
    public UserRealm userRealm(HashedCredentialsMatcher hashedCredentialsMatcher){
        UserRealm userRealm = new UserRealm();
        //替换当前realm对象的credentialsMatcher属性进行密码比对,hashedCredentialsMatcher中对密码加密。
        userRealm.setCredentialsMatcher(hashedCredentialsMatcher);
        return userRealm;
    }
    //第二步:创建安全对象
    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager(UserRealm userRealm){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        //关联userRealm
        securityManager.setRealm(userRealm);
        return securityManager;
    }
    //第三步:创建过滤工厂ShiroFilerFactoryBeanShiro过滤的一些对象
    @Bean
    public ShiroFilterFactoryBean getShiroFilterFactoryBean(DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
        //设置安全管理器
        bean.setSecurityManager(defaultWebSecurityManager);
		/*
			添加内置shiro过滤器
			anon:无需认证就可以访问
			authc:必须认证了才能访问
			user:必须拥有记住我功能才能用
			perms:拥有对某个资源的权限才能访问
			role:拥有某个角色权限才能访问
		*/
        Map<String,String> filterMap = new LinkedHashMap();//这里一定要使用LinkedHashMap!
        //这里一定要放行静态资源!
        //先写小的放行,再写大的放行
        filterMap.put("/static/**","anon");
        filterMap.put("/logout","logout");//设置退出登录请求
        filterMap.put("/bad/vip/**","perms[vip]");//中括号里面就是表示对应权限字段perms的值,进行区分权限!
        filterMap.put("/bad/**","authc");

        bean.setFilterChainDefinitionMap(filterMap);
        bean.setLoginUrl("/index.html");//如果没有登录就调到登陆页面
        bean.setUnauthorizedUrl("/bad/noauth");//权限不够的跳转页面,俗称充钱页面
        return bean;
    }
}

UserRealm授权认证类(设置对应MD5/MD5盐值加密对应的检查机制)

/**
 * @author mrs
 * @create 2022-04-30 17:54
 */
public class UserRealm extends AuthorizingRealm {
    @Autowired
    UserService userService;
    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection){
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //拿到当前登录的这个对象
        Subject subject = SecurityUtils.getSubject();
        User currentUser = (User)subject.getPrincipal();
        info.addStringPermission(currentUser.getPerms());
        return info;
    }
    //认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken)
            throws AuthenticationException{
        //上面的参数就是authenticationToken就是Controller获取的token
        UsernamePasswordToken userToken = (UsernamePasswordToken)authenticationToken;
        //连接真实的数据库
        User user = userService.queryUserByName(userToken.getUsername());
        if(user==null){//没有这个人
            return null;//抛出异常UnknownAccountException
        }
        /**
         * 密码认证shiro自动配置
         * 密码加密:MD5/MD5盐值加密(建议MD5盐值加密,已经在shiroConfig配置类配置了对应的加密方式)
         * 返回的对象new SimpleAuthenticationInfo(
         *   用户对象,
         *   用户密码(是数据库中查到的注册MD5/MD5盐值加密的加密过的密码),
         *   盐值加密的对象(设置检查对应MD5盐值加密密码的正确性,后面注册是要加密方式一样,不然会验证不了,如果使用MD5加密不写这个参数因为在shiro中已经设置了MD5,这个参数可以省略),
         *   对应的Realm的值(作用不大,一般是对应用户的账号名));
         */
        //创建对应的盐值加密对象,在里面设置对应的盐值,这里加入了对应用户名的大写字符串
        ByteSource bytes = ByteSource.Util.bytes(user.getUsername().toUpperCase());
        return new SimpleAuthenticationInfo(user,user.getPwd(),bytes,user.getUsername());
    }
}

对应写的请求参数的Controller类,其中包括登录、注册、用户权限不够跳转的页面

/**
 * @author mrs
 * @create 2022-04-30 22:07
 */
@Controller
public class IndexController {
    @Autowired
    UserService service;
    @RequestMapping("/tologin")
    public String toLogin(){
        return "index";
    }
    @RequestMapping("/login")
    public String login(String username, String password, Model model, HttpSession session){
        //获取当前用户
        Subject subject = SecurityUtils.getSubject();
        //封装用户的登录数据
        UsernamePasswordToken token = new UsernamePasswordToken(username,password);
        try{
            subject.login(token);//执行登录的方法,如果没有异常就说明ok了
            session.setAttribute("loginUser",username);
            return "beddings/dashboard";
        }catch(UnknownAccountException uae){//用户名不对提示
            model.addAttribute("msg","用户名错误");
            return "index";
        }catch(IncorrectCredentialsException ice){//密码不对提示
            model.addAttribute("msg","密码错误");
            return "index";
        }
    }

    /**
     * 俗称,权限不够的请求,跳转充钱页面的请求
     * @return
     */
    @RequestMapping("/bad/noauth")
    public String unauthorized(){
        return "jurisdiction";
    }
    //注册
    @RequestMapping("/regist")
    public String regist(User user,Model model){
        if(service.existsUsername(user.getUsername())){
            /**
             * 这里是注册的重点,在我的shiro检查对应盐值加密的密码时
             * 1、在ShiroConfig类中设置了对应的密码加密设置,参数就是"MD5"和1024
             * 2、在UserRealm类中设置了对应用户名的大写字符串当盐值
             * 所以这四个参数为:MD5、前端接收的密码、用户名的大写字符串(对应的盐值)、1024(对应的加密次数)
             */

            String md5 = new SimpleHash("MD5", user.getPwd(),user.getUsername().toUpperCase(), 1024).toHex();
            user.setPwd(md5);
            service.saveUser(user);
            return "index";
        }else {
           model.addAttribute("msg","用户名重复");
           model.addAttribute("email",user.getEmail());
            return "register";
        }
    }
}

博客中的代码原型是狂神的Shiro框架视频中的结构,这里进行改进加入了一些实际的应用,比如MD5盐值加密等等。如果理解难可以收藏再看B站的狂神Shiro视频,再回来查看会好一点。

孤岛&岛屿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot】23、SpringBoot中整合Shiro实现权限管理
Asurplus
07-12 21万+
之前在 SSM 项目中使用过 shiro,发现 shiro权限管理做的真不错,但是在 SSM 项目中的配置太繁杂了,于是这次在 SpringBoot 中使用了 shiro,下面一起看看吧 一、简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 三个核心组件: 1、Subject: 即“当前操作用户”。但是,在 Shiro 中,Subje
Shiro教程(二):Springboot整合Shiro全网最全教程
最新发布
WwLK123的博客
07-12 1555
Apache Shiro是一个Java的安全权限框架Shiro可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环境。- Shiro可以完成认证、授权、加密、会话管理、Web集成、缓存等。这里是SpringBoot整合Shiro最完整最详细教程。
Shiro加密方式-yellowcong
m0_67402731的博客
04-07 2006
Shiro加密验证,是通过自身的方式来进行验证的。有无加密加密的两种验证方式。在密码的生成方面,我们可以通过SimpleHash来生成密码。 源码下载地址 https://gitee.com/yellowcong/shior-dmeo/tree/master/test 1、密码比对方式 Shiro中密码的比对,是由Shiro中的AuthenticatingRealm.getCredentialsMatcher 的方法来进行比对的,我们只需要在AuthorizingRealm的继承类中,复写验证asse.
shiro安全框架
asmall_cat的博客
04-10 1133
shiro安全框架
shiro实现密码加密
qq_45053091的博客
11-03 2229
1shiro实现MD5加密 @Test public void testMD5() throws Exception{ Md5Hash hash = new Md5Hash("1","admin",3); System.out.println(hash);//f3559efea469bd6de83d27d4284b4a7a } 第一参数为需要加密的数字 第二个参数为加密的第一道程序(加盐) 第三个参数一般为加密的层数 不加层数会很容易简单的利用官网软件进行破解 2.在shiro框架中实现密码加
SpringBoot整合shiro盐值加密详解
和我一起学习吧
04-04 1万+
盐值是什么首先我们来探讨一下关于密码安全的问题在一个系统中我们通常会将用户名和密码存在数据库中,如果我们直接将密码存入数据库,会存在很大的安全隐患,比如:数据库被盗,传输过程中被黑客拦截,这都是很常见的问题,数据库所在的服务并不是绝对的安全,传输过程中也有可能被黑客拦截得到你传输的数据获得一些隐私的数据,并篡改后发往服务器。那么针对这种问题我们如何解决呢,安全在升级,骇客的技术同样也在进步,一个网...
Springboot整合Shiro-实现MD5盐值加密
weixin_47208793的博客
09-10 470
mysql创建用户表 DROP TABLE IF EXISTS `t_user`; CREATE TABLE `t_user` ( `id` int(10) unsigned NOT NULL AUTO_INCREMENT, `user_id` varchar(255) NOT NULL COMMENT '用户名', `name` varchar(255) NOT NULL, `password` varchar(255) NOT NULL COMMENT '密码', `state`
springboot+shiro+mybatis+Thymeleaf实现用户权限框架
11-29
通过以上技术的整合,这个框架实现了请求拦截、表单验证、盐值加密、用户管理、用户组管理、权限分配等功能。开发者可以根据需求快速套用前端框架,如Bootstrap、Vue或React,构建出一个完整的Web应用程序。项目中的...
Spring Boot2整合Shiro:BCrypt加密密码,springsecurity+BCryptPasswordEncoder实现加密注册登录 加密问题
qq_44970883的博客
12-13 1462
Spring Boot2+Shiro加密密码注册, 登陆验证实现 一.前言 我在这与大家分享一下登陆验证时的一些问题和实现。应用考虑到安全,绝不能明文的方式保存密码(数据库不能存看得懂的秘密,一定程度也保证了用户的安全,同时也让很多攻破数据库的程序员没法瞎搞,比如 玩游戏出现用户的账号异地登陆之类的。。。) 有很多标准的算法比如SHA或者MD5(MD5可以用彩虹表暴力破解 后面会讲解如何破解),MD5结合salt(盐)是一个不错的选择,j 项目使用Shiro框架做密码验证时的改进。 学习内容: 提示:这里
springboot+shiro+redis实现博客权限管理(前后端分离)
qq_41066066的博客
08-25 551
博客地址:https://www.lqnb.xyz/ 源码地址:https://github.com/memo012/ac-blog springboot+shiro+redis实现博客权限管理(前后端分离) 一. 背景 现如今,项目的安全权限问题越来越受重视,比如springsecurity,shiro…都可以用于权限管理,被称为权限框架。此博客介绍spring boot整合shiro。 二...
小威老师脚手架解析五
weixin_51609456的博客
03-18 1417
#### 安全管理框架shiro的配置解析 ShiroConfig的配置 任务一:配置ShiroFilterFactoryBean类的对象实例。** 1、创建一个LinkedHashMap对象,把文件访问的方式添加到hash对象中。 filterChainDefinitionMap.put("/css/", “anon”); filterChainDefinitionMap.put("/fonts/", “anon”); filterChainDefinitionMap.put("/img/", “anon
FilterChainDefinitionMap_参数说明
热门推荐
maqingbin8888的专栏
10-02 4万+
其实就是构造一个Map&lt;String,String&gt; 通过DefaultShiroFilterChainDefinition的add设置 DefaultShiroFilterChainDefinition chain = new DefaultShiroFilterChainDefinition(); chain.addPathDefinition("/**", "jwt[perm...
springboot 整合shiro的简单使用
lovely960823的博客
09-25 215
闲着无聊动手整理一下shiro的简单使用。 <!-- shiro --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.1</version> </dependency
springboot+shiro前后端分离实现!!
weixin_42375707的博客
12-13 7278
本文章参考两位大佬写的博客完成的 https://blog.csdn.net/weixin_42236404/article/details/89319359 https://blog.csdn.net/qq_42109746/article/details/97102231 1、前言 1.1、唠嗑部分 学习shiro之前,建议先学习springsecurity,将两个框架进行对比的方式学习,会有更加深的印象。我之前写过一篇关于springsecurity的博客,你可以参考参考,个人感觉挺详细.
SpringBoot2集成Shrio需要注意的坑
qq_43060870的博客
07-16 548
配置时需要注意以下细节问题不然会发生配置不生效、302等问题 使用LinkedHashMap而不是HashMap anon必须在authc之前定义 shrio配置类: ​ @Configuration public class ShiroConfig { /** * 配置自己的验证 * @return */ @Bean public EmployeeRealm employeeRealm() { EmployeeRealm employeeRealm = new Employ
Shiro专栏》新手入门
蜀山小师叔
12-15 246
引言 温故而知新,可以为师矣。Shiro一直在看,并且自己也写了个Demo,总是说抽时间整理整理,该死的拖延症一直拖拖拖。。。果然人还是不能太安逸,特别是程序员这职业。废话不说,仅作为笔记,有不对的地方,下方评论共同讨论学习。 还是从最开始的灵魂三问入手,Shiro是什么,为什么用Shiro,怎么用Shiro。 一、Shiro介绍 Shiro是一个强大,简单易用的Java安全框架,主要做认...
springboot+shiro密码验证【MD5加密+盐值验证不匹配(不正确)】解决办法
konglingjun1224的博客
11-30 1672
shiro登陆验证,始终提示密码不匹配,密码也是正确的,添加的时候也是正确的,这是什么原因呢?原因就在于创建bean的时候出的问题。下面是我测试通过的代码贴出来,希望对跟我一样的新手有帮助。 /** * Spring的一个bean , 由Advisor决定对哪些类的方法进行AOP代理 . * @return */ @Bean @Condit...
springboot开启自动部署devtools
勇心在馨
10-02 633
1、在pom.xml中添加如下配置 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-devtools</artifactId> <scope>runtime</scope> <optional>true</optional> </dependenc
SpringBoot+Shiro对密码MD5盐值加密及校验
Brave_heart4pzj的博客
08-15 336
简单点说就是 注册账号的时候,把用户密码进行盐值MD5处理,并存入库中 登录的时候,把用户密码进行同样的盐值MD5处理,存入Shiro中 这样,Shiro在验证的时候,就可以把数据库的MD5密码和页面传来的密码MD5操作后 比对通过了 参考: https://blog.csdn.net/zhaolulu916/article/details/102766041 ...
SpringBoot2.0与Shiro整合的权限管理实战教程
"本文主要探讨如何在SpringBoot2.0项目中整合Apache Shiro框架,以实现用户权限管理。通过示例代码详细讲解了整合过程和关键配置,旨在帮助开发者理解和掌握这一技术,以提升应用的安全性和用户体验。" 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值