开发踩坑日志3 jpa表字段约束,shiro前后端分离中的注册,登录密码加密及缓存相关

最新推荐文章于 2020-08-05 14:07:05 发布
最新推荐文章于 2020-08-05 14:07:05 发布
阅读量251 收藏
点赞数
文章标签: jpa shiro md5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40079529/article/details/104669884
版权

1.JPA注解给添加唯一约束

@Table(uniqueConstraints = @UniqueConstraint(columnNames = {"role_name"}))

然后测试发现并没有生效,发现相同的名称可以多次插入,把控制台打印的sql语句直接拿去数据库运行报错了

ERROR 1071 (42000): Specified key was too long; max key length is 1000 bytes

意思是说字段长度太长,jpa在定义字段的时候如果没有设置默认类型和长度的话会自动默认为 varchar(250),也就是1000 bytes,而设置唯一键不能超过这个长度,所以要设置长度

@Column( name = "role_name", nullable = false, length = 20)

或者

@Column(name = "role_name",columnDefinition = "varchar(20) default '12345' ")

2.实体类序列化
在后续登录测试中,user对象需要存储在redis缓存里
在这里插入图片描述
要求user对象必须可序列化,否则会报错。实现Serializable即可

public class User implements Serializable

为什么要序列化

背景
1.java对象不能跨进程传递
2.byte数组可被各种stream处理所以,想传输java对象,就要把对象转换为byte数组。
概念
序列化:按照编码协议把java对象转化为byte数组。
反序列化:按照编码协议把byte数组转化为java对象。
编码协议:json 表单 protobuf thrift 等等,哪怕是你自定义的协议,能够编码解码就行。
传输协议:http ftp thrift grpc dubbo等,以及自定义。
网络五层:
应用层:就是传输协议加上编码协议,比如http+json
传输层:tcp udp 负责解析端口
网络层:负责解析ip地址
链路层 arp pppoe之类的 比如拨号上网物理层 光纤 卫星等传输01

作者:奋斗无底线 链接:https://www.zhihu.com/question/67037207/answer/358740300
来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

hibernate里,并非所有的实体类必须实现序列化接口,因为在hibernate中我们通常是将基本类型的数值映射为数据库中的字段。而基础类型都实现了序列化接口(String也实现了)。 所以,只有在想将一个对象完整存进数据库(存储为二进制码),而不是将对象的属性分别存进数据库,读取时再重新构建的话,就可以不用实现序列化接口。凡是可以序列化的对象都可以持久化,极端的说,我们可以只建立一个表Object(OID,Bytes),但基本上没有人这么做,因为一旦这样,我们就失去了关系数据库额外的统计分析功能。
serialVersionUID
serialVersionUID的作用就是保证对象一致性,虚拟机反序列化时会验证serialVersionUID。如果不写虚拟机会默认一个值,这样在不同服务器,不同平台上对象的serialVersionUID可能会不同,导致反序列失败。详情见下面链接。

讲真,下次打死我也不敢随便改serialVersionUID了

总的实体类代码

@Entity
@Table(uniqueConstraints = @UniqueConstraint(columnNames = {"role_name"}))
public class Role implements Serializable {
    private static final long serialVersionUID = 1L;
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Integer id;
    //角色名称
    @Column( name = "role_name", nullable = false, length = 20)
    private String roleName;
    @ManyToMany(mappedBy = "roleSet")
    private Set<User> userSet;

    @ManyToMany(cascade={CascadeType.PERSIST,CascadeType.MERGE})
    @JoinTable(name = "role_permission", joinColumns = @JoinColumn(name = "role_id", referencedColumnName = "id"), inverseJoinColumns = @JoinColumn(name = "permission_id", referencedColumnName = "id"))
    private Set<Permission> permissionSet;
}

shiro-redis包部署时报错

protected method redis.clients.jedis.JedisPool.returnResource
at org.crazycake.shiro.RedisManager.get(RedisManager.java:56)

自Jedis3.0版本后jedisPool.returnResource()遭弃用,官方重写了Jedis的close方法用以代替;
要么Jedis回退到2.9.0版本,要么将shiro-redis更新到新版本

shiro前后端分离登录测试
前后端不分离的项目,一般登录验证信息是通过表单传输,然后直接进入shiro验证后返回“index.html”。但是前后端分离项目则是通过json传输,不能进入shiro默认校验流程,因此首先在过滤器中将“/login”,设为不拦截。

 @Bean
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager){
        System.out.println("ShiroConfiguration.shirFilter()");
        ShiroFilterFactoryBean shiroFilterFactoryBean  = new ShiroFilterFactoryBean();

        // 必须设置 SecurityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        //拦截器.
        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String,String>();

        //配置退出过滤器,其中的具体的退出代码Shiro已经替我们实现了
        filterChainDefinitionMap.put("/logout", "logout");

        //<!-- 过滤链定义,从上向下顺序执行,一般将 /**放在最为下边 -->:这是一个坑呢,一不小心代码就不好使了;
        //<!-- authc:所有url都必须认证通过才可以访问; anon:所有url都都可以匿名访问-->
        filterChainDefinitionMap.put("/sign", "anon");
        filterChainDefinitionMap.put("/login", "anon");
        filterChainDefinitionMap.put("/**", "authc");

        // 如果不设置默认会自动寻找Web工程根目录下的"/login.jsp"页面
        // 配器shirot认登录累面地址,前后端分离中登录累面跳转应由前端路由控制,后台仅返回json数据, 对应LoginController中unauth请求
        //shiroFilterFactoryBean.setLoginUrl("/login");

        // 登录成功后要跳转的链接
//        shiroFilterFactoryBean.setSuccessUrl("/home");
        //未授权界面;
//        shiroFilterFactoryBean.setUnauthorizedUrl("/403");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

然后再controller中调用

 @PostMapping("/login")
    public String login(@RequestBody User user){
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(), user.getPassword());

        try {
            subject.login(token);
        }catch (Exception e){
            return "登录失败!";
        }
        return "登录成功!";
    }

SecurityUtils.getSubject()与当前线程绑定,从中可以获取登录信息,subject.login(token);可以调用Shiro的验证流程,具体验证规则在我们自定义的shiroRealm中。

 @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
            throws AuthenticationException {
        System.out.println("MyShiroRealm.doGetAuthenticationInfo()");
//        //获取用户的输入的账号.
        String username = (String) token.getPrincipal();
        System.out.println(token.getCredentials());
        //通过username从数据库中查找 User对象,如果找到,没找到.
        //实际项目中,这里可以根据实际情况做缓存,如果不做,Shiro自己也是有时间间隔机制,2分钟内不会重复执行该方法
        User user = userService.getUserByName(username);
//        System.out.println("----->>userInfo="+user.getUserName());
        if(user == null){
            return null;
        }
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                user, //user对象
                user.getPassword(), //数据库密码
                ByteSource.Util.bytes(user.getSalt()),//salt
                getName()  //realm name
        );
        return authenticationInfo;
    }

至于要不要将user信息置入缓存,我认为没什么必要,除非遭受攻击,否则不会太频繁调用用户数据(真的不是因为懒)
具体调用过程见下图,一直到校验密码那步在这里插入图片描述
为什么只到密码验证这步?因为对它爱得深沉。。。
在密码加密器这边用的网上抄的MD5算法,散列两次,然后注释写着md5(md5("")),旧版本也许可以,但是新版本这样不行

   @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        hashedCredentialsMatcher.setHashAlgorithmName("md5");//散列算法:这里使用MD5算法;
        hashedCredentialsMatcher.setHashIterations(2);//散列的次数,比如散列两次,相当于 md5(md5(""));
        return hashedCredentialsMatcher;
    }

然后注册成功后发现一直登录不上,报凭证错误也就是密码错了,然后看shiro源码发现其生成密码大致如下(盐暂时弄为空)

SimpleHash simpleHash = new SimpleHash(algorithmName, user.getPassword(), null,2);

其内部

protected byte[] hash(byte[] bytes, byte[] salt, int hashIterations) throws UnknownAlgorithmException {
        MessageDigest digest = this.getDigest(this.getAlgorithmName());
        if (salt != null) {
            digest.reset();
            digest.update(salt);
        }

        byte[] hashed = digest.digest(bytes);
        int iterations = hashIterations - 1;

        for(int i = 0; i < iterations; ++i) {
            digest.reset();
            hashed = digest.digest(hashed);
        }

        return hashed;
    }

也就是说md5(md5())并不能等价于

String newPassword1 = new SimpleHash(algorithmName, user.getPassword(), null,2).toHex();

而是等价于

String newPassword2 = new SimpleHash(algorithmName,  new SimpleHash(algorithmName, user.getPassword(), null, 1).toHex(), null, 1).toHex();


String newPassword2 = new SimpleHash(algorithmName, newPassword1, null, 1).toHex();

md5(md5())过程:
1.密码转为byte[],数组长度为密码长度
2.byte[]经digest即取摘要加密变成byte[16]
3.byte[16]转为byte[32]
4.byte[32]转为长度为32位字符串,如8b810750f6a3cea321b2146bf3367eca,第一次加密结束
5.32位字符串转为byte[32]
6.byte[32]经digest即取摘要加密变成byte[16]
7.byte[16]转为byte[32]
8.byte[32]转为长度为32位字符串,第二次加密结束

Shiro MD5加密过程,即new SimpleHash(algorithmName, user.getPassword(), null,2).toHex():
1.密码转为byte[],数组长度为密码长度
2.byte[]经digest加密变成byte[16]
6.byte[16]再次digest加密变成byte[16]
7.byte[16]转为byte[32]
8.byte[32]转为长度为32位字符串,第二次加密结束

区别在于md5(md5())是一次加密后将上一次加密的结果字符串当作参数重新在加密一次,而SimpleHash内部则是在加密的过程中直接再次加密,最后生成字符串。从安全角度考虑后者更安全些,不容易被解密网站破解。因此,在注册时密码加密不能使用md5(md5())加密。

md5:byte[16]转为byte[32]

public static String encode(byte[] bytes, boolean upperCase) {
        if (bytes == null) {
            return null;
        } else {
            char[] chars = upperCase ? UPPER_CHARS : LOWER_CHARS;
            char[] hex = new char[bytes.length * 2];

            for(int i = 0; i < bytes.length; ++i) {
                int b = bytes[i] & 255;
                hex[i * 2] = chars[b >> 4];
                hex[i * 2 + 1] = chars[b & 15];
            }

            return new String(hex);
        }
    }

注册加密(加盐)

@RestController
public class  UserController {

    @Autowired
    private UserService userService;

    @PostMapping("/sign")
    public String signUser(@RequestBody User user){
        if(null != userService.getUserByName(user.getUserName())){
            return "该用户名已注册!";
        } else {
//            new SimpleHash(algorithmName, user.getPassword(),  ByteSource.Util.bytes(user.getUsername()), hashIterations).toHex();
            user.setSalt(user.getUserName());
            String password = "";
            user.setPassword(new SimpleHash("md5", user.getPassword(),  ByteSource.Util.bytes(user.getUserName()), 2).toHex());
            if (null != userService.addUser(user)){
                return "注册成功!";
            } else {
                return "注册失败!";
            }
        }
    }

    @PostMapping("/login")
    public String login(@RequestBody User user){
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(), user.getPassword());

        try {
            subject.login(token);
        }catch (Exception e){
            return "登录失败!";
        }
        return "登录成功!";
    }

    public UserService getUserService() {
        return userService;
    }

    public void setUserService(UserService userService) {
        this.userService = userService;
    }
}
dancingliar
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一看就懂!Springboot +Shiro +VUE 前后端分离式权限管理系统
大誌的博客
04-15 6万+
前段日子写过一篇关于SpringBoot+Shiro的简单整合的例子,那个例子并不适用于我们目前的前后端分离开发的趋势。我之前写过一个项目也是用到了Shiro前后端分离,某度了许久也没找到解决方案,什么去掉shiroFilter.setLoginUrl();也阻止不了讨人厌的login.jsp的出现。直到我看到了renren-fast的源码...废话不多说,让我们来看看如何实现吧 前后端分离...
后台管理系统,前后端分离,后端SpringBoot+Shiro+MyBatis+Redis,前端Vue+Elemen.zip
最新发布
02-22
这是一个基于现代技术栈的后台管理系统实现,采用了前后端分离的架构模式。让我们深入探讨这个系统背后的各个技术组件及其重要性。 首先,后端的核心框架是SpringBoot,它是由Pivotal团队开发的Java轻量级框架,...
JavaWeb日记——Shiro密码加密
饥渴计科极客杰铿的博客
04-27 1632
一般我们把密码存在数据库里都是采用加密的方式,确保了即使数据库泄漏,不法分子也无法登录帐号。常见的加密算法有MD5,SHA1等,本篇博客将给大家讲解如何在Shiro使用MD5算法给密码加密。POM<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xml
JPA 给列加约束
venusdrogon的专栏
03-12 190
今天发现库存数量变成-1,研究如何通过jpa 给列加约束   使用columnDefinition  属性    /**  * Gets the 商品可用量.  *   * @return the 商品可用量  */ @Column(name = "AVAILABLE_QTY",nullable = false,columnDefinition = "int check(available...
shiro 前后端分离 seseeionId 问题
weixin_30496431的博客
09-07 98
http://www.cnblogs.com/cshhs/p/9269411.html https://www.w3cschool.cn/shiro/rmvk1if1.html http://www.myexception.org/software-architecture-design/1815507.html 转载于:https://www.cnblogs.com/che...
JPA调用函数加密解密password字段
续祥之家
05-10 2042
在我们使用JPA时,经常会遇到在存取或读取数据库某一字段的时候需要加密或者解密,例如 password 字段。 Hibernate 框架允许我们自定义一些 sql 达式来存取和读取列值,方法如下: [code="java"] import javax.persistence.Cacheable; import javax.persistence.Column; ...
shiro-jpa-realms:用于授权、身份验证和缓存管理器的 Shiro 示例,以及 Jse 的自定义 jpa 领域示例
06-21
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份验证、授权、会话管理和加密服务。在这个名为 "shiro-jpa-realms" 的项目,它结合了 JPA(Java Persistence API)来实现自定义的安全管理。下面我们将...
springboot集成shirojpa实现安全登录,权限校验
12-10
在Spring Boot应用,集成Apache Shiro或Spring Security可以实现用户认证和授权功能,而这里主要讨论的是如何结合ShiroJPA(Java Persistence API)来构建一个安全的登录及权限校验系统。Shiro是一个轻量级的...
Java对象序列化为什么要使用SerialversionUID
java_mdzy的博客
10-26 3万+
1、首先谈谈为什么要序列化对象把对象转换为字节序列的过程称为对象的序列化。   把字节序列恢复为对象的过程称为对象的反序列化。   对象的序列化主要有两种用途:   1) 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件;   2) 在网络上传送对象的字节序列。  在很多应用,需要对某些对象进行序列化,让它们离开内存空间,入住物理硬盘,以便长期保存。比如最常见的是Web服务器的S
serialVersionUID的作用
05-31 408
简单来说,Java的序列化机制是通过在运行时判断类的serialVersionUID来验证版本一致性的。在进行反序列化时,JVM会把传来的字节流的serialVersionUID与本地相应实体(类)的serialVersionUID进行比较,如果相同就认为是一致的,可以进行反序列化,否则就会出现序列化版本不一致的异常。(InvalidCastException) serialVersi
serialVersionUID的作用及生成方法
金戈铁马
10-26 1万+
小结一下: 1 值的作用: 用于判断序列化文件是否已经失效(过期)。 序列化的时候会把这个ID写到文件里。 读的时候会把这个ID和代码里的ID比较,如果不一致,示文件里的已经失效。(will result in an InvalidClassException.) 2 值写为多少: 你可以写为1L,也可以让ECLIPSE帮你生成一个。 3 不写会有什么问题? 不写的话,序列话的时...
Jpa设置默认值约束
段占彪的博客
07-06 1150
使用SpringDataJpa设置字段的默认值约束的2种方式 1、修改建时的列定义属性 @Column(columnDefinition="INT DEFAULT '1' COMMENT '状态,1:正常,0:冻结状态,2:删除'") private Integer status; 2、通过Hibernate(org.hibernate.annotations.ColumnDefault)下提供的注解进行设置默认值 @ColumnDefault("1") private Integer status;
JPA利用Column注释自定义约束
WangYe
06-08 4106
最近迷上了JPA,以至于什么东西都要用EJB3的一套外加JPA来做持久层。今天遇到一个小问题,就是怎么在Column注释里面进行check约束。看了看JPA的Doc,没有发现和check有关的属性,只找到了Column里面有一个columnDefinition,貌似是定义字段的,于是就望文生义,自己先把check约束写上试试:@Column(columnDefinition = "SMALLINT CHECK(available IS NOT NULL AND available >=0 AND avail
springboot+MD5实现注册登录密码加密解密
小庄的博客
08-05 1万+
需求:登录注册密码涉及到网络安全,对密码加密能够在一定程度上增加安全性 注册加密实现思路: 1.编写MD5加密的工具类 ==>2.注册时调用工具类,把密码作为参数传进去进行加密,然后存到数据库 登录解密思路: 解密其实是再次加密进行匹配,把前端传进来的密码进行再次加密,然后与数据库密码进行匹配 下面是我们的代码部分 一、配置pom.xml <!-- MD5加密依赖 --> <dependency> <groupId>c
spring MD5加密---简单加密
lelly52800的博客
02-12 1924
spring MD5加密: // spring 自带的 DigestUtils 工具类可以进行 MD5 加密        //导包      import org.springframework.util.DigestUtils;     //对密码进行 md5 加密     public static void  main(String[]args){         String pa...
shiro整合springboot,前后端分离项目记录
duagh7的博客
07-15 1054
一、重写过滤器 shiro自己帮我们封装了一系列过滤器,对于常见的一些操作,比如登陆,登出,认证不通过等,shiro会通过我们配置的url,找到相应过滤器,做完操作会跳转到我们配置的跳转url。但是对于前后端分离项目,前端通过ajax调用接口,获取返回值展示后再跳。比如展示“暂无权限”等提示语,友好一些。所以要对shiro已有的过滤器进行继承重写。 登出过滤器: public class...
gRPC 的协议分析
远远100的专栏
04-21 2021
http://www.udpwork.com/item/13900.html?utm_source=tuicool&utm_medium=referral gRPC 和通常的基于TCP的实现不同,是直接基于HTTP2 协议的。HTTP2 使得gRPC 能够更好的适用于移动客户端和服务端通信的使用场景,并且连接多路复用也保证了RPC 的效率。 gRPC 的协议设计
springboot自带MD5加密
热门推荐
bobo_supper的博客
05-31 4万+
Maven项目:第一步引包 org.springframework spring-core 5.1.2.RELEASE //导入包 import org.springframework.util.DigestUtils; //对密码进行 md5 加密 String md5Password = DigestUtils.md5DigestAsHex(user.getPassword().getB...
jpa前后端分离数据交互
08-28
JPA前后端分离的架构,数据交互通常通过RESTful API进行。以下是一般的数据交互流程: 1. 前端发送HTTP请求到后端,请求包含需要执行的操作(GET、POST、PUT、DELETE等)以及相关数据。 2. 后端接收到请求后,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值