【shiro学习笔记（2）】在shiro中自定义登录策略使用MD5加密算法

shiro学习笔记

---

【shiro学习笔记（1）】shiro入门 shiro的第一个程序shiro Maven案例

---

shiro自定义策略

---

通过完成基础的shiro案例，发现shiro的默认认证策略为简单的equals比较，存在安全性问题，密码仅能通过明文的对比和存储，且数据源只能存储在.ini文件中，接下来将继续学习shiro的自定义策略。
根据第一篇入门程序步入的源码刨析分析shiro的认证过程
shiro的认证主要分为两个步骤：
1.用户名的比较（SimpleAccountRealm中）：
通过doGetAuthenticationInfo方法完成用户名的校验
2.密码的校验（AuthenticatingRealm中）：
通过assertCredentialsMatch方法完成密码的校验

可以发现shiro通过AuthenticatingRealm类中的doGetAuthenticationInfo方法来完成认证的过程。
            通过doGetAuthorizationInfo方法来完成授权的过程。
由此，在将来自定义realm的时候，只需要继承AuthorizingRealm类，
重写doGetAuthenticationInfo、doGetAuthorizationInfo方法即可。

使用自定义的Realm

通过自己编写Realm完成数据的自定义，并采用MD5+Salt+hash散列的方式进行身份验证
1.创建Md5Realm类，继承AuthorizingRealm类

package org.shiro.realm;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

/**
 * @author: FanJialong
 * @create: 2023/2/4
 * @FileName: Md5Realm
 * @Description: 使用MD5加密自定义Realm
 */
public class Md5Realm extends AuthorizingRealm {
    /**
     * @Author FanJialong
     * @Description 授权
     * @Date 21:41 2023/2/4
     * @param principalCollection
     * @return org.apache.shiro.authz.AuthorizationInfo
     **/
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    /**
     * @Author FanJialong
     * @Description 认证
     * @Date 21:41 2023/2/4
     * @param authenticationToken
     * @return org.apache.shiro.authc.AuthenticationInfo
     **/
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //获取用户名
        String principal = (String) authenticationToken.getPrincipal();
        //通过用户名获取数据库中的信息（这里为模拟数据，可自行连接数据库）
        String userName = "zhangsan";
        String password = "44bf90994bef310578e7758b3594b763";
        String salt = "%eGw#";
        //以用户输入信息进行比较
        if(userName.equals(principal)){
            //参数1：主体信息，可以是用户名，也可以是数据表对应的用户的实体类对象
            //参数2：数据库中的密码
            //参数3：盐值
            //参数4：当前Realm对象的name，调用父类的getName()方法即可
            SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(principal,
                    password,
                    ByteSource.Util.bytes(salt),
                    this.getName());
            return simpleAuthenticationInfo;
        }
        return null;
    }
}

创建测试类

package org.shiro;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;
import org.shiro.realm.Md5Realm;

import java.util.Scanner;

/**
 * @author: FanJialong
 * @create: 2023/2/4
 * @FileName: TestMd5
 * @Description: shiro的md5加密测试类
 */
public class TestMd5Realm {
    public static void main(String[] args) {
        //1.创建SecurityManager安全管理器对象
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        //2.为安全管理器设置我们自定义的Realm,读取配置文件
        Md5Realm realm = new Md5Realm(); // 创建realm对象
        //创建凭证匹配器（哈希凭证匹配器）
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        //设置哈希凭证匹配器的策略为MD5
        hashedCredentialsMatcher.setHashAlgorithmName("md5");
        //设置哈希凭证匹配器的散列次数
        hashedCredentialsMatcher.setHashIterations(1024);
        // 设置realm的凭证匹配器为该哈希匹配器
        realm.setCredentialsMatcher(hashedCredentialsMatcher);
        // 注入realm配置
        securityManager.setRealm(realm);
        //3.SecurityUtils为全局工具类设置安全管理器
        SecurityUtils.setSecurityManager(securityManager);
        //4.通过SecurityUtils获得Subject
        Subject subject = SecurityUtils.getSubject();
        //5.创建token令牌，获得用户名和密码
        //模拟用户登录，在控制台获取用户输入数据
        Scanner scanner = new Scanner(System.in);
        System.out.println("请输入用户名：");
        String username = scanner.nextLine();
        System.out.println("请输入密码：");
        String password = scanner.nextLine();
        UsernamePasswordToken token = new UsernamePasswordToken(username,password);
        //6.登录
        try {
            subject.login(token);
            System.out.println("认证状态：" + subject.isAuthenticated());
        } catch (UnknownAccountException e) {//UnknownAccountException异常为用户名错误异常
            e.printStackTrace();
            System.out.println("认证失败：用户名错误");
        } catch (IncorrectCredentialsException e) { //IncorrectCredentialsException异常为密码错误异常
            e.printStackTrace();
            System.out.println("认证失败：密码错误");
        }
    }
}

运行效果