Shiro框架02(自定义realm、算法加密、授权)

最新推荐文章于 2022-03-19 14:51:34 发布
最新推荐文章于 2022-03-19 14:51:34 发布
阅读量322 收藏
点赞数
分类专栏: Shiro框架 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44911308/article/details/104480841
版权

Shiro框架02

1.自定义realm

[1]为什么使用自定义realm

我们使用JDBCRealm的时候发现,shiro的底层自己封装了数据库表的名称和字段的名称,这样就造成了使用起来非常不方便。

[2]自定义realm代码实现

自定义realm可以实现Realm接口,也可以实现Realm接口下的子方法,根据实际情况进行选择。这里以继承AuthorizingRealm 方法为例。
A、自定义realm

package cn.qt.shiro2;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import java.sql.*;

public class UserRealm extends AuthorizingRealm {

    //认证
    /*
    * 参数   AuthenticationToken authenticationToken
    * authenticationToken.getPrincipal()为登录的用户名,是
    * UsernamePasswordToken token = new UsernamePasswordToken("root1","1111");中的参数1,即客户端登录的用户名
    * */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        Connection  conn=null;
        PreparedStatement ps=null;
        ResultSet rs=null;
        try {
            Class.forName("com.mysql.jdbc.Driver");
            conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/shiro", "root", "1111");
           //查询数据库中的数据,把数据给SimpleAuthenticationInfo
            ps = conn.prepareStatement("select pwd from admin where uname=?");
            ps.setObject(1,authenticationToken.getPrincipal());
            rs = ps.executeQuery();
            while (rs.next()){
                //把数据给SimpleAuthenticationInfo,用于认证
            SimpleAuthenticationInfo info=new SimpleAuthenticationInfo(authenticationToken.getPrincipal(),rs.getString("pwd"),"userRealm") ;
                return info;
            }

        }catch (Exception e){
           e.printStackTrace();
        }finally {
            try {
                rs.close();
                ps.close();
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        return null;
    }
    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

}

B、ini文件

[main]
userRealm= cn.qt.shiro2.UserRealm
#把userRealm赋值给securityManager
securityManager.realms=$userRealm

C、测试文件

package cn.qt.shiro2;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;

public class TestB {
    public static void main(String[] args) {

        //[1]解析Shiro.ini文件
        Factory<SecurityManager> factory=new IniSecurityManagerFactory("classpath:shiro-jdbc2.ini");
        //[2]通过SecurityManager工厂获得SecurityManager实例
        SecurityManager securityManager = factory.getInstance();
        //[3]把SecurityManager对象设置到运行环境中
        SecurityUtils.setSecurityManager(securityManager);
        //[4]通过SecurityUtils获得Subject
        Subject subject = SecurityUtils.getSubject();
        //[5]书写自己的账户和密码----相当于用户自己输入的账户和密码
        //我们拿自己书写的账户和密码去和shiro.ini中的账户密码比较
        UsernamePasswordToken token = new UsernamePasswordToken("root","1111");
        //[6]进行身份的验证
        try {
            subject.login(token);
            //[7]通过方法判断是否登录成功
            if (subject.isAuthenticated()){
                System.out.println("登录成功");
            }
        } catch (UnknownAccountException e) {//用户名错误
            System.out.println("用户名错误");
        }catch (IncorrectCredentialsException e){//密码错误
            System.out.println("密码错误");
        }
    }
}

2.散列算法(算法加密)

[1]加密的介绍

在身份认证的过程中往往都会涉及到加密,如果不加密,信息就会非常不安全。Shiro中提供的加密算法比较多,如md5,sha等。
使用MD5进行加密
加密本身的设计是一个不可逆的过程,但是有些解密网站可以解开一些由简单的数据加密后的密文,如数字和字母的组合。因此密码的安全性取决于密码本身的复杂程度和加密次数。

		//用md5的方式加密1111
        Md5Hash md5=new Md5Hash("1111");

(1)把1111进行加密:得到结果为b59c67bf196a4758191e42f76670ceba
(2)把1111进行加盐(qt)加密:得到结果为f769a4dfcb50d34b2de500a4eb8eea74

		 //md5加盐,即把加密数据1111和盐qt,在一起加密
       	Md5Hash  md5=new Md5Hash("1111","qt");

盐一般经过设计后存储在数据库中。
如果盐中也是数字和字母的组合,仍会被解密网站成功破译。
加盐后破译结果为qt1111,即加密方式为:(盐+数据)加密。
(3)把(2)中的数据进行迭代加密,迭代次数为2:得到结果为9880b3c88f213fe936b0de904ccb598f

		//迭代
       Md5Hash   md5=new Md5Hash("1111","qt",2);

加密中的迭代指的是加密次数,迭代次数为2,就是把数据加密2次。
进行过迭代2次以上加密不容易被破解,迭代次数越多数据越安全,但是效率就越低。
影响数据安全的因素:
a.数据本身的复杂程度数字+字母+特殊字符。其中最主要的是特殊字符。
b.加密方式的保密性,即很少人知道用的是何种加密方式。
c.加盐
d.迭代次数

[2]使用shiro进行身份认证

Shiro中提供了多种加密方式
在这里插入图片描述
用户登录时进行加密操作(用户登录时输入的是未加密的密码)。
A、配置ini文件
在这里插入图片描述
B、自定义Realm文件中进行加盐操作
在这里插入图片描述

[3]代码实现

数据库中存放的是加密后的数据
A、ini文件

[main]
#把userRealm赋值给securityManager
credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher
credentialsMatcher.hashAlgorithmName=md5
credentialsMatcher.hashIterations=2

userRealm= cn.qt.shiro3.UserRealm
userRealm.credentialsMatcher=$credentialsMatcher
securityManager.realms=$userRealm

B、自定义Realm文件

package cn.qt.shiro3;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

import java.sql.*;

public class UserRealm extends AuthorizingRealm {

    //认证
    /*
    * 参数   AuthenticationToken authenticationToken
    * authenticationToken.getPrincipal()为登录的用户名,是
    * UsernamePasswordToken token = new UsernamePasswordToken("root1","1111");中的参数1,即客户端登录的用户名
    * */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        Connection  conn=null;
        PreparedStatement ps=null;
        ResultSet rs=null;
        try {
            Class.forName("com.mysql.jdbc.Driver");
            conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/shiro", "root", "1111");
           //查询数据库中的数据,把数据给SimpleAuthenticationInfo
            ps = conn.prepareStatement("select pwd from admin where uname=?");
            ps.setObject(1,authenticationToken.getPrincipal());
            rs = ps.executeQuery();
            while (rs.next()){
                //把数据给SimpleAuthenticationInfo,用于认证
                SimpleAuthenticationInfo info=new SimpleAuthenticationInfo
              (authenticationToken.getPrincipal(),rs.getString("pwd"), ByteSource.Util.bytes("qt"),"userRealm");
                return info;
            }

        }catch (Exception e){
           e.printStackTrace();
        }finally {
            try {
                rs.close();
                ps.close();
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        return null;
    }
    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }
}

C、Test文件

package cn.qt.shiro3;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;

public class TestA {
    public static void main(String[] args) {

        //[1]解析Shiro.ini文件
        Factory<SecurityManager> factory=new IniSecurityManagerFactory("classpath:shiro-jdbc3.ini");
        //[2]通过SecurityManager工厂获得SecurityManager实例
        SecurityManager securityManager = factory.getInstance();
        //[3]把SecurityManager对象设置到运行环境中
        SecurityUtils.setSecurityManager(securityManager);
        //[4]通过SecurityUtils获得Subject
        Subject subject = SecurityUtils.getSubject();
        //[5]书写自己的账户和密码----相当于用户自己输入的账户和密码
        //我们拿自己书写的账户和密码去和shiro.ini中的账户密码比较
        UsernamePasswordToken token = new UsernamePasswordToken("root","1111");
        //[6]进行身份的验证
        try {
            subject.login(token);
            //[7]通过方法判断是否登录成功
            if (subject.isAuthenticated()){
                System.out.println("登录成功");
            }
        } catch (UnknownAccountException e) {//用户名错误
            System.out.println("用户名错误");
        }catch (IncorrectCredentialsException e){//密码错误
            System.out.println("密码错误");
        }
    }
}

3.授权

[1]授权中名词的解释

授权:指给身份认证通过的人授予某些资源的访问权限。
权限的粒度:粗粒度、细粒度
粗粒度:如User具有CRUD的操作 通常指的是表的操作
细粒度:如只允许查询id=1的用户 通常使用业务代码实现
shiro的授权是细粒度

[2]shiro中授权的3种方式

A、编程式
ini文件

#指定具体的用户
[users]
zs=123,role1,role2
root=1111,role2
#角色的定义
[roles]
role1=add,delete,update
role2=find

判断方法

//[1]解析Shiro.ini文件
        Factory<SecurityManager> factory=new IniSecurityManagerFactory("classpath:shiro.ini");
        //[2]通过SecurityManager工厂获得SecurityManager实例
        SecurityManager securityManager = factory.getInstance();
        //[3]把SecurityManager对象设置到运行环境中
        SecurityUtils.setSecurityManager(securityManager);
        //[4]通过SecurityUtils获得Subject
        Subject subject = SecurityUtils.getSubject();
        //[5]书写自己的账户和密码----相当于用户自己输入的账户和密码
        //我们拿自己书写的账户和密码去和shiro.ini中的账户密码比较
        UsernamePasswordToken token = new UsernamePasswordToken("zs","123"); 
	 //[6]进行身份的验证
        try {
            subject.login(token);
        } catch (UnknownAccountException e) {//用户名错误
            System.out.println("用户名错误");
        }catch (IncorrectCredentialsException e){//密码错误
            System.out.println("密码错误");
        }


//授权的查询方法
        //【一】基于角色的授权,判断user中的角色
        //A、判断用户是否具有指定角色
        boolean flag = subject.hasRole("role1");
        boolean[] booleans = subject.hasRoles(Arrays.asList("role1", "role2"));
        for (boolean b:booleans) {
            System.out.println(b);
        }
        //B、检查User是否具有该角色
        //该方法为void类型,若不具备该权限则抛出异常UnauthorizedException
        subject.checkRole("role1");
        subject.checkRoles("role1","role2");

        //【二】基于资源授权,判断该角色中是否含有该资源
        //A、检查角色是否有指定资源
        boolean flag2 = subject.isPermitted("find");
        boolean permittedAll = subject.isPermittedAll("find", "update", "delete");
        System.out.println(permittedAll);
        //B、判断角色是否具有指定资源
        //该方法类型为void,若角色没有指定资源,则抛出异常UnauthorizedException
        subject.checkPermission("sa");
        subject.checkPermissions("find","update","add","delete");

B、注解式
一般应用于Web程序

@RequiresRoles("管理员")
    public void abc(){

    }

C、标签配置
在jsp页面

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@taglib prefix="shiro" uri="http://shiro.apache.org/tags" %>
<html>
  <head>
    <title>$Title$</title>
  </head>
  <body>
  <shiro:hasPermission name="update">
    <a>更新操作</a>
  </shiro:hasPermission>
  </body>
</html>
[3]自定义Realm实现授权

我们仅仅通过配置文件实现授权是非常不灵活的,在时机用户中我们将实际的用户信息和权限保存到数据库中,我们是从数据库中获得的用户信息,使用JDBCRealm进行用户授权。使用JDBCRealm进行的操作也不灵活,所以我们自定义realm进行授权。
我们在1.自定义realm的基础上进行授权操作
自定义的UserRealm方法
在这里插入图片描述
在登录时认证
在这里插入图片描述
自定义Realm代码

package cn.qt.shiro;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

import java.sql.*;
import java.util.ArrayList;
import java.util.List;

public class UserRealm extends AuthorizingRealm {

    //认证
    /*
    * 参数   AuthenticationToken authenticationToken
    * authenticationToken.getPrincipal()为登录的用户名,是
    * UsernamePasswordToken token = new UsernamePasswordToken("root1","1111");中的参数1,即客户端登录的用户名
    * */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        Connection  conn=null;
        PreparedStatement ps=null;
        ResultSet rs=null;
        try {
            Class.forName("com.mysql.jdbc.Driver");
            conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/shiro", "root", "1111");
           //查询数据库中的数据,把数据给SimpleAuthenticationInfo
            ps = conn.prepareStatement("select pwd from admin where uname=?");
            ps.setObject(1,authenticationToken.getPrincipal());
            rs = ps.executeQuery();
            while (rs.next()){
                //把数据给SimpleAuthenticationInfo,用于认证
                SimpleAuthenticationInfo info=new SimpleAuthenticationInfo(authenticationToken.getPrincipal(),rs.getString("pwd"), "userRealm") ;
                return info;
            }

        }catch (Exception e){
           e.printStackTrace();
        }finally {
            try {
                rs.close();
                ps.close();
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        return null;
    }

    //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获得用户登录时传入的用户名
        String username = principalCollection.getPrimaryPrincipal().toString();
        //获得username,然后去数据库查询这个角色对应的角色,根据角色查询角色对应的菜单
        //返回给指定角色下的所有菜单
        System.out.println(username);

        //模拟数据库查询到的菜单
        List<String> list =new ArrayList<>();
        list.add("findUser");
        list.add("updateUser");
        list.add("deleteUser");

        SimpleAuthorizationInfo simpleAuthorizationInfo=new SimpleAuthorizationInfo();
        for (String l:list) {
            simpleAuthorizationInfo.addStringPermission(l);
        }
        return simpleAuthorizationInfo;
    }

}
这锭银子三两三
关注
专栏目录
shiro权限框架 进阶 Realm 密码加密功能
不是程序员的程序员博客
12-14 283
自定义一个Realm 准备工作 自定义Realm一般直接继承AuthorizingRealm抽象类即可(里面包含身份认证与授权两个方法) /** * 自定义一个Realm */ public class MyRealm extends AuthorizingRealm { //获取到这个Realm的名称(随便取) @Override public String get...
Shiro框架详解
最新发布
qq_39756007的博客
02-21 853
Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权加密、会话管理、与 Web 集成、缓存等。记住一点,Shiro 不会去维护用户、维护权限;这些需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可。
Shiro自定义realm实现密码验证及登录、密码加密注册、修改密码的验证
bangheng4869的博客
01-26 311
一:先从登录开始,直接看代码 @RequestMapping(value="dologin",method = {RequestMethod.GET, RequestMethod.POST},produces="text/html;charset=UTF-8") @ResponseBody public ResultJson systemUserdolo...
Shiro验证策略-shiro自定义实现Realm来实现身份验证-shiro散列加密算法-shiro授权-shiro自定义Realm实现授权
pshdhx的博客
08-09 4280
Shiro验证策略 Authentication Strategy:认证策略,在shiro中有三种认证策略; AtleastOneSuccessfulStrategy【默认】 如果一个或多个Realm验证成功,则整体的尝试被认为是成功的。如果没有一个验证成功,则整体尝试失败; FirstSuccessfulStrategy 只有第一个成功地验证的Realm返回的信息将被使用。所有进一步的Realm将被忽略。如果没有一个验证成功,则整
shiro(五)散列算法加密算法
LDF_WICIQI的博客
07-30 244
1.在身份认证过程中往往会涉及加密。如果不加密那么数据部不安全。shiro内部实现了比较多的散列算法。如MD5,SHA等。并且提供了加盐功能,比如“1111”的MD5码为“b59c67bf196a4758191e42f76670ceba”,这个MD5码可以在很多破解网站上找到相对应的原密码。但是如果为“1111”+姓名 那么找到原密码的难度会增加。 2.测试MD5案例 package co...
Shiro----散列算法(算法加密)
qq_48788523的博客
01-11 3461
Shiro , 走一走,瞧一瞧,md5加密密码, 保护你
快速上手Shiro—Java认证和授权框架
03-19 6545
文章以官方指南为基础,包括快速上手,Shiro的架构以及如何使用Springboot整合Shiro实现简单登录认证Shiro的架构 快速入门 环境搭建 QuickStrat.java Springboot整合Shiro 两种方式引入Shiro依赖 Shiro登录原理 Shiro核心配置类 自定义RealmShiroConfig类
Apache Shiro框架教程:身份验证、授权、INI配置等
Shiro框架提供了REALM机制,允许开发者定义身份验证和授权的规则。REALM机制主要包括以下部分: * REALM * AUTHENTICATIONTOKEN * AUTHENTICATIONINFO * PRINCIPALCOLLECTION * AUTHORIZATIONINFO * SUBJECT 7. 与...
第五讲 散列算法加密算法
weixin_30530523的博客
05-30 215
1、在身份认证过程中往往会涉及加密。如果不加密那么数据信息不安全。Shiro内容实现比较多的散列算法。如MD5,SHA等。并且提供了加盐功能。比如"1111"的MD5码为"b59c67bf196a4758191e42f76670ceba",这个MD5码可以在很多破解网站上找到对应的原密码。但是如果为"1111"+姓名,那么能找到原密码的难度就会增加。 2、测试MD5案例 1 packag...
MD5加密解密2
梦想起飞的地方.........
05-21 799
import java.security.MessageDigest;   /**  * 采用MD5加密解密  * @author tfq  * @datetime 2011-10-13  */   public class MD5UtilTest {         /***      * MD5加码 生成32位md5码      */       pub
Shiro入门(五)Shiro自定义Realm加密算法
jwang的博客
05-11 2169
前言 本章讲解shiro自定义realm和它的加密算法 方法 1.概念 通过前面的讲解,我已经带入了自定义Realm的相关概念。那么为什么要自定义realm呢?显而易见,我们在数据库中创建的users表和它的字段受限于shiro自己的jdbcRealm,所以通常情况下我们需要使用自己的表,跟着必须使用自定义realm。 再者,在用户表中,密码字段的值是一个敏感的存在。我们需...
shiro自定义密码匹配验证,密码加密验证。
Kally_Wang的专栏
03-28 1万+
1.更改shiro安全管理配置 是jeesite写的,Spring自动注入。 2.自定义密码验证 /** * Description: 告诉shiro如何验证加密密码,通过SimpleCr
shiro简介,认证,认证流程,自定义realm,散列算法
wumengjie123的博客
11-15 1228
第一节:shiro简介 1.    重点:认识shiro,认识shiro架构及相关对象。 2.    课程实际内容 a)    简介:简单回顾rbac,引出权限管理框架shiro和spring security。 b)    简介:什么是shiro c)     简介:为什么要学习shiro d)    重点:shiro架构并将shiro的组成部分和rabc中关键对象进行对比 e) 
shiro 密码加密和解密
热门推荐
笨鸟快飞的专栏
08-15 2万+
前言:对于登录的密码信息加密,增加密码破解难度。在密码使用Shiro的hash加密方法和自定义方法加密算法。 步骤 1.告诉shiro密码使用何种加密方法 2.告诉shiro如何验证加密密码是否正确 1.告诉shiro密码使用何种加密方法 通过Credentials 和 CredentialsMatcher告诉shiro什么加密和密码校验 在配置文件
shiro自定义验证密码的方式
成长是一辈子的事
06-02 2443
1.更改shiro安全管理配置    &lt;!-- 定义Shiro安全管理配置 --&gt; &lt;bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"&gt; &lt;property name="realm" ref="systemAuthorizingRe.
Shiro入门7:修改自定义realm支持散列MD5密码对比
机智猫
03-27 1万+
需求:实际开发时realm要进行md5值(明文散列后的值)的对比 此文老猫原创,转载请加本文连接:http://blog.csdn.net/nthack5730/article/details/50971087 更多有关老猫的文章:http://blog.csdn.net/nthack5730 需要在配置文件中进行散列对比 shiro
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值