渐进式 shiro - shiro + jwt+salt (二)

最新推荐文章于 2024-04-27 17:30:34 发布
最新推荐文章于 2024-04-27 17:30:34 发布
阅读量368 收藏
点赞数 1
分类专栏: java 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/win7583362/article/details/127899280
版权

本文简述:密码加盐,比较策略修改.关于密码加盐详解,见此文章

shiro 完整流程以及集成:

  1. 用户访问注册接口 /regester, 用户输入登录账号和密码,将密码加盐后存入数据库
  2. 用户访问登录接口 /login, 用户输入登录账号和密码被封装成 UsernamePasswordToken 对象,然后调用 subject.login() 方法
  3. 在 shiroConfig 设置filterChainDefinitionMap.put("/login", "anon");, 也就意味着将 /login登录请求交给 shiro提供的 anno 过滤器处理。
  4. 因此,登录服务中调用 subject.login() 方法,shiro 立即进入用户认证过程,此认证过程就是检验用户账号和密码是否正确,交给了 自定义Realm 来处理。
  5. 自定义Realm中,方法 doGetAuthenticationInfo(AuthenticationToken authenticationToken) 接收一个参数 authenticationToken
    此时注意第 2 步,登录账号和密码被封装成了 UsernamePasswordToken 对象,而 UsernamePasswordTokenAuthenticationToken 接口的实现类,因此这里的 authenticationToken内部就储存这用户输入的账号和密码.
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring-boot-web-starter</artifactId>
    <version>1.10.0</version>
</dependency>
<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-lang3</artifactId>
    <version>3.12.0</version>
</dependency>

流程例子

shiro 运行流程,使用此小例子简单说明。(由于此处做演示,为了代码可以运行,因此没有 subjet.login() 这一行代码)

@SpringBootTest
class UserControllerTest {
    @Test
    public void testShiroEncryptPassword(){
        // 第一步 (登录封装)
        String username = "ifredom";
        String password = "123456";
        String salt = RandomStringUtils.randomAlphanumeric(20);
        UserEntity userEntity = new UserEntity();
        userEntity.setUsername(username);
        userEntity.setPassword(password);
        AuthenticationToken token = new UsernamePasswordToken(username, password);

        // 第二步 (认证流程)
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                userEntity, //用户名
                password, //密码
                ByteSource.Util.bytes(salt),// salt
                "anyRealmName"  //realm name
        );
        
        // 第三步 (返回,shiro内部比较)
        // 比较
        SimpleCredentialsMatcher matcher = new SimpleCredentialsMatcher();
        boolean match = matcher.doCredentialsMatch(token, authenticationInfo);
        System.out.println(match);

        if (match) {
            System.out.println("密码相同");
        }else{
            System.out.println("密码不同");
        }

    }
}

controller 注册与登录

注册用户时,为了保护用户的密码,使用 MD5 算法对其进行一层加密,并将加密后的密码存入数据库。

public class UserVo extends UserEntity {}

将密码进行加盐(密)处理:

  • 使用 shiro 提供的类 SimpleHash ,对密码执行 MD5 hash 算法,加密后存入数据库
  • 使用第三方工具包 commons-lang3提供的方法生成一个随机字符串,取名为 salt 盐,并存入数据库
@RestController
public class UserController {

    @Autowired
    private UserService userService;

    /**
     * 注册新用户
     *
     */
    @PostMapping("/register")
    public AjaxResult registerUser(@RequestBody UserVo userVo) {

        UserEntity user = new UserEntity();

        String salt = RandomStringUtils.randomAlphanumeric(20);

        //加密
        SimpleHash simpleHash = new SimpleHash("md5",userVo.getPassword(),salt,1);
        String hashPassword = simpleHash.toString();

        user.setUsername(userVo.getUsername());
        user.setPassword(hashPassword);
        user.setSalt(salt);

        userService.save(user);
        return AjaxResult.success();
    }

    /**
     * 登录
     *
     */
    @PostMapping("/login")
    public String loginUser(@Validated @RequestBody UserVo userVo, BindingResult bindingResult) {
        Subject subject = SecurityUtils.getSubject();

        UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(userVo.getUsername(), userVo.getPassword());
        usernamePasswordToken.setRememberMe(true);

        try {
            subject.login(usernamePasswordToken);
            return "登录成功";
        } catch (AuthenticationException ae) {
            return "登录失败: " + ae.getMessage();
        }

        return "登录成功";
    }
}

@Configuration
public class ShiroConfig {
    /**
     * `SecurityManager`:安全管理器
     *
     */
    @Bean
    public DefaultWebSecurityManager getDefaultWebSecurityManager() {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        securityManager.setRealm(userRealm());
        return securityManager;
    }

    /**
     * `shiroFilter`:过滤器
     *
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager,ShiroFilterChainDefinition shiroFilterChainDefinition) {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // Shiro的核心安全接口,这个属性是必须的
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        // 定义过滤链
        Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
        // 对静态资源设置匿名访问
        filterChainDefinitionMap.put("/index.html", "anon");
        filterChainDefinitionMap.put("/favicon.ico**", "anon");
        filterChainDefinitionMap.put("/static/**","anon");

        // 登录,不需要拦截的访问
        filterChainDefinitionMap.put("/login", "anon");
        // 错误页面无需认证
        filterChainDefinitionMap.put("/error","anon");
        // 其余资源都需要认证
        filterChainDefinitionMap.put("/**","authc");

        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }
    /**
     * `Realm`:realm 认证流程
     *
     */
    @Bean
    public UserRealm userRealm() {
        UserRealm userRealm = new UserRealm();

        /**
        * 设置密码匹配策略
        * 因为在注册时,密码使用MD5算法执行了 1 次hash化
        *
        */
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        hashedCredentialsMatcher.setHashAlgorithmName("md5");
        userRealm.setCredentialsMatcher(hashedCredentialsMatcher);

        return userRealm;
    }
}

public class UserRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;

    /**
     * 授权
     *
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    /**
     * 验证:用户登录
     *
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken accessToken = (UsernamePasswordToken) authenticationToken;

        // 查询用户
        UserEntity user = Optional.ofNullable(userService.getOne(new LambdaQueryWrapper<UserEntity>().eq(UserEntity::getUsername, accessToken.getUsername())))
                .orElseThrow(() -> new UnknownAccountException("账号或密码不正确"));

        //  验证密码
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                user,
                user.getPassword(),
                ByteSource.Util.bytes(user.getSalt()),
                getName()
        );
        return authenticationInfo;
    }
}

到此,注册用户并对密码加盐就完成了,并且可以随时替换算法,只需要

  1. 在注册时,修改对密码执行的算法
  2. 在 shiroConfig 的 HashedCredentialsMatcher 中,匹配策略保持与注册时的算法一致即可
ifredom_
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
shiro salt
分享牛
05-23 9144
1.1 散列算法 散列算法一般用于生成一段文本的摘要信息,散列算法不可逆,将内容可以生成摘要,无法将摘要转成原始内容。散列算法常用于对密码进行散列,常用的散列算法有MD5、SHA。分享牛系列,分享牛专栏,分享牛一般散列算法需要提供一个salt(盐)与原始内容生成摘要信息,这样做的目的是为了安全性,比如:111111的md5值是:96e79218965eb72c92a549dd5a330112,拿着
渐进式 shiro - shiro + jwt+salt (三)
ifredom
11-17 1758
ShiroConfig 中,规定了只有登录接口(subjet.login())会使用UserRealm.需要携带token得接口与UserRealm 毫无关系Shiro将Realm设计为可拔插模块,而Realm认证,授权。两个单词非常相似。授权 doGetAuthorizationInfo: 处理角色是否能够访问相应的 web service 相关信息认证 doGetAuthenticationInfo: 处理角色登录相关信息/**
Shiro salt
爱软件-从懂得生活开始。
03-12 2723
public static class HashPassword { public String salt; public String password; } public HashPassword encrypt(String plainText) { HashPassword result = new HashPassword();
shiro----编码解码(密)(salt盐)
userzou的博客
05-21 358
<dependency> <groupId>commons-logging</groupId> <artifactId>commons-logging</artifactId> <version>1.1.3</version> </dependency> <dependency> <groupId>org.apache.s.
软件测试---知识点总结
weixin_44953554的博客
09-24 1513
你所熟悉的测试用例设计方法都有哪些?请分别以具体的例子来说明这些方法在测试用例设计工作中的应用。 答:有黑盒和白盒两种测试种类,黑盒有等价类划分法,边界分析法,因果图法和错误猜测法。白盒有逻辑覆盖法,循环测试路径选择,基本路径测试。 例子:在一次输入多个条件的完整性查询中。利用等...
springboot-mybatis-mybatis-plus-mysql-redis-liquibase-shiro-jwt-swagger-:springboot 框架搭建(mybatis+mybatis-plus+mysql+redis+liquibase+shiro+jwt+swagger)
05-14
(springboot+redis+mybatis+mybatis-plus+lombok+liquibase+shiro+jwt+swagger) 1.mybatis-plus: 几乎实现涵盖了所有的单表操作和分页操作 2.liquibase: 数据库迁移工具:初始化表和初始化数据,修改表字段和修改...
story-admin:Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案
05-14
story-admin本项目为前后端分离的Web应用后端程序,采用技术框架如下:springboot v2.1.2.RELEASEshirojwtredismybatis-plus v3.1.2包含代码生成器文档swagger2,使用jwt采用token有效期内刷新机制更新Token。...
ShiroJwt:API SpringBoot + Shiro + Java-Jwt + Redis(Jedis)
02-04
ShiroJwt 前端地址: : 疑问查看 项目相关 JavaDoc: : 关联文档: : 教程目录: : 可转换数据库形式(MySQL): : ... Shiro + Java-JWT实现无状态鉴权机制(令牌) 密码密(采用AES-128 + Base6
sping-boot-shiro-jwt-redis.zip
07-22
springboot整和jwtshiro、redis实现token自动刷新
jwt如何盐_JWT原理和使用
weixin_39586683的博客
01-17 2092
jwt原理和使用JSON Web Tokens,是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明。目前,jwt广泛的用在系统的用户认证方面,特别是前后端分离项目。1.jwt认证流程在项目开发中,一般回按照上图所示的过程进行认证,即:用户登陆成功之后,服务端给用户浏览器返回一个token,以后用户浏览器要携带token再去向服务端发送请求,服务端校验token的合法性,合法则给用户...
微服务项目 -- day06 密码密与微服务鉴权JWT
wingzhezhe的博客
07-15 1764
一、BCript、常见的认证机制三、基于JWT的Token认证机制实现四、Java的JJWT实现JWT五、项目中入鉴权功能
shiro入门学习--使用MD5和salt进行密|练气后期
qq_43788185的博客
10-10 212
写在前面 在上一篇文章《Shiro入门学习—使用自定义Realm完成认证|练气中期》当中,我们学会了使用自定义Realm实现shiro数据源的切换,我们可以切换成从关系数据库如MySQL中读取用户认证信息进行认证,亦可从非关系型数据库例如mongodb中读取用户认证信息进行认证。这是一个伟大的进度,这使得我们可以使用shiro来提升我们应用程序的安全度了, 那么,请大家思考一个问题,我们的应用程序真的安全了吗? 我把咱么上一篇文章当中的认证方法代码摘抄在下面给大家看看 /**认证 * @author 赖柄
shiro中对密码进行密和salt
qq_31162311的博客
05-08 1965
密的代码 对密码密后再盐 认证的时候盐的认证信息 直接上代码 /** * md5对密码密之后的数据 salt的值一般是随机数 */ public static void main(String[] args) { Md5Hash md5Hash = new Md5Hash("521314","文泽稳"); System.out.println(...
Shiro学习笔记(三):MD5和Salt的介绍和使用
weixin_47382783的博客
12-09 797
一、MD5算法的介绍 MD5算法用于保证信息传输完整的一致。MD5是一个不可逆的字符串变换算法,它将任意长度的“字节串”变换成一个128bit的大整数。即使看到源程序和算法描述,也无法将一个MD5的值变换回原始的字符串。从数学原理上说,是因为原始的字符串有无穷多个。 MD5的典型应用是对一段信息串产生签名,以防止被“篡改”。比方说,将一段内容写在一个文本文件中,并对这个文本文件产生一个MD5的值并进行记录,然后可以传播这个文件给别人,别人如果修改了文件中的任何内容,当我们...
shiro认证和盐
旺旺的博客
10-13 162
目录前言shiro和ssm整合配置文件:pom.xml配置文件:web.xml配置文件:applicationContext-shiro.xml重要java文件数据源过滤:MyRealm密工具类:PasswordHelper测试后记 前言 本章是在上一章了解shiro后,我们就需要运用到ssm项目中。 那么怎么把这个运用到ssm项目里,这就是我们此次的目的, 项目源码在最后。 shiro和...
shiro 盐值
快乐的小三菊的博客
05-17 747
shiro 盐值
java方法重写(重点讲),方法重载
weixin_46281068的博客
04-27 885
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
Day25-Java基础之常用类1
最新发布
m0_46053885的博客
04-27 863
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个进制数据,而是将这个将其转换成一个无限的。
shiro+springboot+jwt项目
05-23
Shiro是一个Java安全框架,可以提供身份验证、授权、密和会话管理等功能,Spring Boot是一个快速开发框架,可以帮助开发人员更快地构建和部署应用程序,JWT(JSON Web Token)是一种轻量级的身份验证和授权机制。将这三个框架结合起来,可以构建一个安全的Web应用程序。 以下是一个简单的Shiro+Spring Boot+JWT项目的实现步骤: 1.创建一个Spring Boot项目,并添ShiroJWT依赖项: ``` <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.7.1</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.10.7</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.10.7</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.10.7</version> <scope>runtime</scope> </dependency> ``` 2.创建一个Shiro配置类,配置Shiro的安全策略和过滤器链: ``` @Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) { ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean(); shiroFilterFactoryBean.setSecurityManager(securityManager); shiroFilterFactoryBean.setLoginUrl("/login"); shiroFilterFactoryBean.setUnauthorizedUrl("/unauthorized"); Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>(); filterChainDefinitionMap.put("/login", "anon"); filterChainDefinitionMap.put("/**", "jwt"); shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); return shiroFilterFactoryBean; } @Bean public DefaultWebSecurityManager securityManager(Realm realm) { DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); securityManager.setRealm(realm); return securityManager; } @Bean public Realm realm() { return new UserRealm(); } @Bean public JwtFilter jwtFilter() { return new JwtFilter(); } } ``` 3.创建一个自定义Realm类,实现Shiro的认证和授权逻辑: ``` public class UserRealm extends AuthorizingRealm { @Autowired private UserService userService; @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); User user = (User) principals.getPrimaryPrincipal(); authorizationInfo.addRole(user.getRole()); return authorizationInfo; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { String username = (String) token.getPrincipal(); User user = userService.findByUsername(username); if (user == null) { throw new UnknownAccountException(); } return new SimpleAuthenticationInfo(user, user.getPassword(), getName()); } } ``` 4.创建一个JwtFilter类,实现JWT的认证逻辑: ``` public class JwtFilter extends AuthenticatingFilter { @Autowired private UserService userService; @Override protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception { HttpServletRequest httpServletRequest = (HttpServletRequest) request; String token = httpServletRequest.getHeader("Authorization"); if (StringUtils.isEmpty(token)) { throw new UnauthorizedException(); } JwtToken jwtToken = new JwtToken(token); try { getSubject(request, response).login(jwtToken); } catch (AuthenticationException e) { throw new UnauthorizedException(); } return true; } @Override protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) { return false; } } ``` 5.创建一个JwtToken类,实现JWT的Token逻辑: ``` public class JwtToken implements AuthenticationToken { private String token; public JwtToken(String token) { this.token = token; } @Override public Object getPrincipal() { return JwtUtils.getSubject(token); } @Override public Object getCredentials() { return token; } } ``` 6.创建一个UserController类,实现用户登录和获取用户信息的逻辑: ``` @RestController public class UserController { @Autowired private UserService userService; @PostMapping("/login") public Result login(@RequestBody User user) { String token = userService.login(user); return Result.success(token); } @GetMapping("/user") public Result getUserInfo() { User user = (User) SecurityUtils.getSubject().getPrincipal(); return Result.success(user); } } ``` 7.创建一个UserService类,实现用户登录和生成JWT Token的逻辑: ``` @Service public class UserService { @Autowired private UserMapper userMapper; public User findByUsername(String username) { return userMapper.findByUsername(username); } public String login(User user) { User realUser = findByUsername(user.getUsername()); if (realUser == null || !realUser.getPassword().equals(user.getPassword())) { throw new UnauthorizedException(); } return JwtUtils.generateToken(realUser.getId(), realUser.getUsername(), realUser.getRole()); } } ``` 8.创建一个JwtUtils类,实现JWT的Token生成和解析逻辑: ``` public class JwtUtils { private static final String SECRET = "secret"; private static final long EXPIRATION_TIME = 86400000; // 24 hours public static String generateToken(String id, String username, String role) { Date now = new Date(); Date expirationDate = new Date(now.getTime() + EXPIRATION_TIME); return Jwts.builder() .setId(id) .setSubject(username) .claim("role", role) .setIssuedAt(now) .setExpiration(expirationDate) .signWith(SignatureAlgorithm.HS512, SECRET) .compact(); } public static String getSubject(String token) { return Jwts.parser() .setSigningKey(SECRET) .parseClaimsJws(token) .getBody() .getSubject(); } } ``` 这样,就可以使用Shiro+Spring Boot+JWT构建一个安全的Web应用程序了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值