Shiro会话管理和加密

最新推荐文章于 2022-06-21 10:30:10 发布
最新推荐文章于 2022-06-21 10:30:10 发布
阅读量301 收藏
点赞数
分类专栏: 笔记 文章标签: redis shiro 缓存
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50252185/article/details/108685166
版权

Shiro会话管理和加密

会话管理

Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如Tomcat),不管是J2SE还是J2EE环境都可以使用,提供了会话管理,会话事件监听,会话存储/持久化,容器无关的集群,失效/过期支持,对Web的透明支持,SSO 单点登录的支持等特性。

接下来我们从几个方面了解一下Shiro的会话管理。

会话相关的API

  • Subject.getSession():获取会话
  • session.setAttribute(key,val):设置会话属性
  • session.getAttribute(key):获取会话属性
  • session.removeAttribute(key):删除会话属性

SessionDAO

shiro提供SessionDAO用于会话持久化,提供CRUD操作。
在这里插入图片描述

  • AbstractSessionDAO:提供了SesionDAO的基础实现,如生成会话ID等。

  • CachingSessionDAO:提供了对开发者透明的会话缓存的功能,需要设置相应的CacheManager.

  • MemorySessionDAO:直接在内存中进行会话维护。

  • EnterpriseCacheSessionDAO:提供了缓存功能的会话维护,默认情况下使用MapCache 实现,内部使用ConcurrentHashMap保存缓存的会话。

在实际开发中,如果要用到SessionDAO组件,可以自定义类实现自EnterpriseCacheSessionDAO类,为其注入sessionldGenerator属性,如果用到缓存的话还可以注入一个缓存的实现。然后将这个SesionDAO组件注入给SessionManager (会话管理器),最后将SessionManager配置给SecurityManager。下一小节我们将实现数据缓存,将使用到该组件。

缓存

具体实现

  1. 添加依赖
<dependency>
            <groupId>org.crazycake</groupId>
            <artifactId>shiro-redis</artifactId>
            <version>3.1.0</version>
</dependency>
  1. application.properties配置文件中添加Redis
spring.redis.port=6379
spring.redis.host=localhost
spring.redis.password=8261
spring.redis.lettuce.pool.max-active=8
spring.redis.lettuce.pool.max-wait=-1
spring.redis.lettuce.pool.min-idle=0
spring.redis.lettuce.pool.max-idle=8
spring.redis.timeout=5000
  1. 改造ShiroConfig
@Configuration
public class ShiroConfig {
    @Value("${spring.redis.host}")
    private String host;
    @Value("${spring.redis.port}")
    private int port;
    @Value("${spring.redis.password}")
    private String password;
    @Value("${spring.redis.timeout}")
    private int timeout;

    @Resource
    private IRoleService roleService;

    @Bean(name = "shiroDialect")
    public ShiroDialect shiroDialect(){
        return new ShiroDialect();
    }

    @Bean
    public DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator(){
        DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator=new DefaultAdvisorAutoProxyCreator();
        advisorAutoProxyCreator.setProxyTargetClass(true);
        return advisorAutoProxyCreator;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor attributeSourceAdvisor(){
        AuthorizationAttributeSourceAdvisor advisor=new AuthorizationAttributeSourceAdvisor();
        advisor.setSecurityManager(securityManager());
        return advisor;
    }

    public RedisManager redisManager(){
        RedisManager redisManager=new RedisManager();
        redisManager.setHost(host);
        redisManager.setPort(port);
        redisManager.setTimeout(timeout);
        redisManager.setPassword(password);
        return redisManager;
    }

    public RedisCacheManager cacheManager(){
        RedisCacheManager cacheManager=new RedisCacheManager();
        cacheManager.setRedisManager(redisManager());
        cacheManager.setPrincipalIdFieldName("userName");
        cacheManager.setExpire(1800);
        return cacheManager;
    }
    //会话操作
    public RedisSessionDAO redisSessionDAO(){
        RedisSessionDAO redisSessionDAO=new RedisSessionDAO();
        redisSessionDAO.setRedisManager(redisManager());
        return redisSessionDAO;
    }
    //会话管理
    public DefaultWebSessionManager sessionManager(){
        DefaultWebSessionManager sessionManager=new DefaultWebSessionManager();
        sessionManager.setSessionDAO(redisSessionDAO());
        return sessionManager;
    }

    @Bean
    public MyShiroRealm myShiroRealm(){
        MyShiroRealm shiroRealm=new MyShiroRealm();
        //启动缓存,设置缓存名称
        shiroRealm.setCachingEnabled(true);
        shiroRealm.setAuthorizationCachingEnabled(true);
        shiroRealm.setAuthorizationCacheName("authorizationCache");
        shiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return shiroRealm;
    }

    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
        HashedCredentialsMatcher hashedCredentialsMatcher=new HashedCredentialsMatcher();
        hashedCredentialsMatcher.setHashAlgorithmName("md5");
        hashedCredentialsMatcher.setHashIterations(3);
        return hashedCredentialsMatcher;
    }


    @Bean
    public SecurityManager securityManager(){
        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();
        //注入Realm
        securityManager.setRealm(myShiroRealm());
        //注入缓存管理器
        securityManager.setCacheManager(cacheManager());
        //注入会话管理器
        securityManager.setSessionManager(sessionManager());
        return securityManager;
    }
    @Bean//Shiro过滤
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager){
        ShiroFilterFactoryBean shiroFilterFactory=new ShiroFilterFactoryBean();
        shiroFilterFactory.setSecurityManager(securityManager);
        shiroFilterFactory.setLoginUrl("/user/login");
        shiroFilterFactory.setSuccessUrl("/main");
        shiroFilterFactory.setUnauthorizedUrl("/403");
        Map<String,String> fileMap=new LinkedHashMap<String,String>();
        fileMap.put("/css/**","anon");
        fileMap.put("/fonts/**","anon");
        fileMap.put("/images/**","anon");
        fileMap.put("/js/**","anon");
        fileMap.put("/localcss/**","anon");
        fileMap.put("/localjs/**","anon");
        fileMap.put("/user/dologin","anon");
        fileMap.put("/user/logout","logout");
        //静态授权
//        fileMap.put("/user/list","perms[用户列表]");
//        fileMap.put("/user/add","perms[用户添加]");
//        fileMap.put("/user/edit/**","perms[用户编辑]");
//        fileMap.put("/user/del/**","perms[用户删除]");

        //动态授权
        List<Right> rights=roleService.findAllRights();
        for (Right right:rights){
            if (right.getRightUrl()!=null && !right.getRightUrl().trim().equals("")){
                fileMap.put(right.getRightUrl(),"perms["+right.getRightCode()+"]");
            }
        }

        fileMap.put("/**","authc");
        shiroFilterFactory.setFilterChainDefinitionMap(fileMap);
        return shiroFilterFactory;
    }
}

加密

哈希和盐

特点:

  1. 原始密码经过哈希函数计算后得到一个哈希值
  2. 改变原始密码,哈希函数计算出的哈希值也会相应改变
  3. 同样的密码,哈希值也是相同的
@Test
    public void testMd5Hash(){
        User user=new User("MyBatis-Plus","aaaaaa",null,null);
        Md5Hash md5Hash=new Md5Hash(user.getUserPassword(),"",1);
        String md5Salt=md5Hash.toString();
        Md5Hash md5=new Md5Hash(user.getUserPassword(),md5Salt,3);
        System.out.println(md5.toString());
    }

加密和验证

Shiro提供了PasswordService及CredentialsMatcher用于提供加密密码及验证密码服务。

具体实现

SimpleCredentialsMatcher

  1. 在UserService中添加加密方法
 @Override
    public String enctyptPassword(Object plaintextPassword) throws IllegalArgumentException{
        String salt=“czkt”;
        Md5Hash md5Hash=new Md5Hash(plaintextPassword,salt,2);
        return md5.toString();
    }
  1. 修改IndexController中的login方法
 @RequestMapping("/user/dologin")
    public String dologin(String userName, String userPassword, Model model, HttpSession session){
        try {
        	 userPassword=userService.enctyptPassword(userPassword);
            Subject subject= SecurityUtils.getSubject();
            UsernamePasswordToken token=new UsernamePasswordToken(userName,userPassword);
            subject.login(token);
            //.....
            }
}

HashedCredentialsMatcher

  1. 在配置类中创建HashedCredentialsMatcher并注入MyShiroRealm:
 @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
        HashedCredentialsMatcher hashedCredentialsMatcher=new HashedCredentialsMatcher();
        hashedCredentialsMatcher.setHashAlgorithmName("md5");
        hashedCredentialsMatcher.setHashIterations(3);
        return hashedCredentialsMatcher;
    }
  1. 修改MyShiroRealm对象中的代码
 @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("调用MyShiroRealm.doGetAuthenticationInfo获取身份信息");
        UsernamePasswordToken token=(UsernamePasswordToken)authenticationToken;
        String userName=token.getUsername();
        User user=userService.getUserByUserName(userName);
        if (user==null){
          throw new UnknownAccountException("账号错误");//账号错误
        }
        if (user.getUserFlag()==null || user.getUserFlag().intValue()==0){
            throw  new LockedAccountException("账号已锁定");//账号锁定
        }
        SimpleAuthenticationInfo info=new SimpleAuthenticationInfo(user,
                user.getUserPassword(),
                ByteSource.Util.bytes(“czkt”),
                getName());
        return info;
    }

登录次数限制

  1. 添加spring-boot-starter-data-redis依赖
<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
  1. 修改MyShiroRealm注入stringRedisTemplate,在doGetAuthenticationInfo控制登录次数
@Resource
    private IUserService userService;
    @Resource
    private StringRedisTemplate stringRedisTemplate;
    private String SHIRO_LOGIN_COUNT="shiro_login_count_";
    private String SHIRO_IS_LOCK="shiro_is_lock_";

 @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("调用MyShiroRealm.doGetAuthenticationInfo获取身份信息");
        UsernamePasswordToken token=(UsernamePasswordToken)authenticationToken;
        String userName=token.getUsername();
        ValueOperations<String,String> operations=stringRedisTemplate.opsForValue();
        operations.increment(SHIRO_LOGIN_COUNT+userName,1);
        if (Integer.parseInt(operations.get(SHIRO_LOGIN_COUNT+userName))>3){
            operations.set(SHIRO_IS_LOCK+userName,"LOCK",1, TimeUnit.HOURS);
            //stringRedisTemplate.expire(SHIRO_IS_LOCK+userName,1, TimeUnit.HOURS);
            stringRedisTemplate.delete(SHIRO_LOGIN_COUNT+userName);
        }
        if ("LOCK".equals(operations.get(SHIRO_IS_LOCK+userName))){
            throw new LockedAccountException();
        }
        User user=userService.getUserByUserName(userName);
        if (user==null){
          throw new UnknownAccountException("账号错误");//账号错误
        }
        if (user.getUserFlag()==null || user.getUserFlag().intValue()==0){
            throw  new LockedAccountException("账号已锁定");//账号锁定
        }
        Md5Hash md5Hash=new Md5Hash(new String(((UsernamePasswordToken)token).getPassword()),"",1);
        SimpleAuthenticationInfo info=new SimpleAuthenticationInfo(user,
                user.getUserPassword(),
                ByteSource.Util.bytes(md5Hash.toString()),
                getName());
        return info;
    }
  1. 修改IndexController注入stringRedisTemplate,在登录方法中登录成功时清空
@RequestMapping("/user/dologin")
    public String dologin(String userName, String userPassword, Model model, HttpSession session){
        try {
            Subject subject= SecurityUtils.getSubject();
            UsernamePasswordToken token=new UsernamePasswordToken(userName,userPassword);
            subject.login(token);
            stringRedisTemplate.delete(SHIRO_LOGIN_COUNT+userName);
            User user=(User) subject.getPrincipal();
            //省略其他代码..
            }
     }
  1. 测试:
    在这里插入图片描述
    在这里插入图片描述
len(陈憨憨)
关注
专栏目录
shiro实现免密登录,解决三方登录问题
知的IT成长之路
01-01 1万+
问题: 之前在一个项目中,需要实现短信快捷登录,当输入手机号获取验证码且验证码正确时,通过数据库查询出用户,而由于使用了shiro密码进行了加密,导致查询出来的用户密码加密的,不能够进行登录。 解决办法: 1.定义一个枚举代码如下 public enum LoginType { PASSWORD(&quot;password&quot;), // 密码登录 NOPASSWD(&quot;nopassword...
二、Shiro使用心得(完整样例)
weixin_30263277的博客
02-21 333
一、用户认证 1 Subject currentUser = SecurityUtils.getSubject(); 2 UsernamePasswordToken token = new UsernamePasswordToken(username, password.toCharArray()); 3 currentUser.login(token); 二、自定义Realm ...
4.SpringBoot+Shiro免密登录
qq_27860623的博客
06-21 2208
一、查看原有的代码首先我们看一下Shiro原有的账号密码登录关键代码,分析一下该如何改造, 从这两行代码看出,我们需要重写一个获得Token的方法。二、改造1.新建一个枚举类,这个也可以不建立,因为我这边的系统免密登录和账号密码登录的情况有存在,所以我加了一个枚举类进行判断,用户具体执行哪一个登录方法。枚举类具体代码如下: 2.新建自定义的UserRealem类继承AuthorizingRealm 3.修改ShiroUser 类的代码 4.修改ShiroDBRealm类的代码 5.修改L
shiro使用(密码加密以及加盐,附:加盐或者加密之后认证不通过的靠谱解决方案)
欢迎来到技术之旅的温馨驿站。让我们一同书写代码之美,分享技术之路的点滴。
08-24 832
既然要做,就做的细致一点,对得起自己! 一个应用最基本的职责就应该保护用户信息的安全,至于为什么登录密码或者相关的密码加密,不再赘述。 前台新增用户时,用户设置登录名和密码shiro用户输入的密码进行加密处理,由于最近在搞Springboot,所以以后shiro相关的配置都会以在springboot中的形式展示。 常见问题:1.如果在加密时,发现数据库里的密码还是没有加密成功,还是明文形式,请看第一步 2.如果加密,加盐之后,认证报错,报错如果为Submi...
Shiro自定义Realm时用注解的方式注入父类的credentialsMatcher
weixin_33671935的博客
04-30 322
Shiro做登录权限控制时,密码加密是自定义的。 数据库的密码通过散列获取,如下,算法为:md5,盐为一个随机数字,散列迭代次数为3次,最终将salt与散列后的密码保存到数据库内,第二次登录时将登录的令牌再进行同样的运算后再与数据库的做对比。 String algorithmName = "md5";String userName = "rose";...
Shiro 身份验证、授权、密码会话管理
05-07
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了身份验证、授权、密码管理会话管理等功能,简化了在 Java 应用程序中处理安全性的问题。Shiro 的设计目标是使开发者能够专注于应用程序的安全逻辑,而...
SpringBoot+Shiro学习之密码加密和登录失败次数限制示例
08-31
SpringBoot+Shiro学习之密码加密和登录失败次数限制示例 ...该示例可以帮助开发者更好地理解 SpringBoot 和 Shiro 框架的整合,并且提供了一个基于 SpringBoot 和 Shiro 框架的密码加密和登录失败次数限制的解决方案。
分享在SSM框架中用第三方登录怎么绕过shiro的认证
蓝星花
03-14 8206
问题描述:用ssm框架整合shiro管理系统,然后想实现第三方登录功能,比如(qq,微信等),但是遇到了一个棘手的问题,用第三方登录,我们怎么去实现对用户的授权,这个问题困扰了我很久,网上找了很多相关的资料,都没有一个很好答案,然后自己摸索了许久,终于搞定了,所以想很你们分享一哈,哈哈哈。(如果密码不用md5不可逆加密,那就非常好实现了)效果演示:我们看一下后台具体情况:然后我们可以拿到QQ用户信...
最简单的Shiro免密登陆(springboot)
yuer629
04-19 2494
思路比较简单,实现也简单,要的就是简单! 实际项目中可以此基础上封装 重写UsernamePasswordToken 中getCredentials() 方法。所以新增了类NoPwdToken 在UserRealm类中的 doGetAuthenticationInfo(AuthenticationToken authcToken) 方法执行时,判断参数authcToken的类型如果是NoPw...
shiro自定义密码匹配验证,密码加密验证
weixin_33962923的博客
03-30 408
2019独角兽企业重金招聘Python工程师标准>>> ...
SimpleCredentialsMatcher和HashedCredentialsMatcher的区别
ITWANGBOIT的博客
10-11 2422
如果不知道shiro的认证过程,可以先看这篇文章:https://blog.csdn.net/ITWANGBOIT/article/details/102500492 1:它们都是CredentialsMatcher的实现类,而且HashedCredentialsMatcher还是SimpleCredentialsMatcher的子类 2:SimpleCredentialsMatcher进...
Shiro 免密登录
weixin_34355881的博客
11-03 264
2019独角兽企业重金招聘Python工程师标准>>> ...
shiro学习之HashedCredentialsMatcher密码匹配过程
hxm_Code的专栏
12-01 2万+
1.加密 用户注册时,系统为输入的密码进行加密,此处使用MD5算法,“密码+盐(用户名+随机数)”的方式生成散列值: public class passwordEncry{ `````````````````````````````````````` ``````````````````````````````````````` //随机数生成器 private st
Shiro 自定义登录方式,非密码方式
Jerry
06-11 2076
主要绕过密码匹配,代码如下 ··· @Component public class MyHashedCredentialsMatcher extends HashedCredentialsMatcher { @Override public boolean doCredentialsMatch(AuthenticationToken token, Authentic...
shiro-根据JSESSIONID获取用户信息和判断是否登陆
热门推荐
Java_feng的博客
08-22 4万+
/** * 验证是否登陆 * * org.apache.shiro.subject.support.DefaultSubjectContext_AUTHENTICATED_SESSION_KEY ; true * org.apache.shiro.subject.support.DefaultSubjectContext_PRINCIPALS_SESSION
shiro实现免密登录 根据不同url跳转至不同登录页
mozun3的博客
07-11 2627
1.需求说明: 本次对接微信端,也可以是第三方系统接入,除了我们本身的系统登录之外,需要对微信端连接进行登录。用户绑定微信id,未绑定的需要登录并绑定,绑定过的则直接登录。登录依托shiro管理。主要问题是绑定过的如何进项shiro登录,从数据库查询出的用户密码是加盐过的。 2.思路一: 首先考虑到的是shiro登录成功后是如何记录用户已登录的,将查询的结果放到shiro的ses...
Shiro安全框架详解:身份认证、授权、会话管理加密
Shiro 安全框架是 ASF 旗下的一款开源强大而灵活的安全框架,提供了认证、授权、加密会话管理功能。Shiro 是一个功能强大且灵活的安全框架,能够满足各种应用程序的安全需求。 一、身份认证(Authentication) ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值