Shrio认证与盐加密

最新推荐文章于 2024-07-21 22:27:18 发布
最新推荐文章于 2024-07-21 22:27:18 发布
阅读量287 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangchang0516/article/details/124172766
版权

Shrio认证流程
主体(subject)需要携带身份信息和凭证信息,shiro在认证时会将这些信息打包成一个令牌,进入到安全管理器中进行认证。

 在 shiro 中,用户需要提供principals (身份)和credentials(凭证)给shiro,从而应用能验证用户身份。身份即帐号/凭证即密码
 

Shrio登录认证案例 SSM

1.导入Shrio相关依赖

  <!--  shiro核心包  -->
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-core</artifactId>
      <version>${shiro.version}</version>
    </dependency>
    <!--  添加shiro web支持  -->
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-web</artifactId>
      <version>${shiro.version}</version>
    </dependency>
    <!--  添加shiro spring支持  -->
    <dependency>
      <groupId>org.apache.shiro</groupId>
      <artifactId>shiro-spring</artifactId>
      <version>${shiro.version}</version>
    </dependency>

2.配置Shrio过滤器(web.xml)

<!--  shiro过滤器定义  -->
  <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
      <!--  该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理  -->
      <param-name>targetFilterLifecycle</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

3.通过逆向工程将五张表生成对应的 model、mapper

4.在SysUserMapper中加入登录的方法和对应的sql

 /**
     * 根据账号查询
     * @param username
     * @return
     */
    SysUser userLogin(@Param("username") String username);
 
----------------------------------------------------------------------------
  <select id="userLogin" resultType="com.zking.ssm.book.model.SysUser">
    select <include refid="Base_Column_List"/> from  t_sys_user
    where username=#{username}
  </select>

5.自定义数据源ShrioRealm

/**
 * 自定义Realm的安全数据源,采用数据库的方式
 */
public class ShiroRealm extends AuthorizingRealm {
 
    @Autowired
    private SysUserMapper sysUserMapper;
 
 
    /**
     *授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        
        return null;
    }
 
    /**
     * 认证
     * @param authenticationToken 传入的账号密码令牌Token
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //获取账号
        String username = authenticationToken.getPrincipal().toString();
        //获取密码
        String password = authenticationToken.getCredentials().toString();
 
        //根据账号查询数据库中的用户对象信息
        SysUser sysUser = sysUserMapper.userLogin(username);
        //判断账号是否存在
        if(sysUser ==null){
            throw new UnknownAccountException("账号不存在!!!");
        }
 
        //创建SimpleAuthenticationInfo,传入正确的账号和密码(来自于数据库)
        SimpleAuthenticationInfo simple=new SimpleAuthenticationInfo(
                sysUser.getUsername(),
                sysUser.getPassword(),
                this.getName()
        );
 
        return simple;
    }
}

6.配置数据源的管理文件spring-shrio.xml并加入spring.xml中

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
 
    <!--1、注册自定义的Realm 采用数据库方式-->
    <bean id="shiroRealm" class="com.zking.ssm.book.shiro.ShiroRealm">
        <!--配置Shiro明文密码如何进行加密-->
        <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--以下三个配置告诉shiro将如何对用户传来的明文密码进行加密-->
        <property name="credentialsMatcher">
            <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
                <!--指定hash算法为MD5-->
                <property name="hashAlgorithmName" value="md5"/>
                <!--指定散列次数为1024次-->
                <property name="hashIterations" value="1024"/>
                <!--true指定Hash散列值使用Hex加密存. false表明hash散列值用用Base64-encoded存储-->
                <property name="storedCredentialsHexEncoded" value="true"/>
            </bean>
        </property>
    </bean>
 
    <!--2、创建安全管理器,并更换Realm-->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="shiroRealm" />
        <property name="sessionManager" ref="sessionManager"/>
        <!--设置缓存管理器-->
        <property name="cacheManager" ref="cacheManager"/>
    </bean>
    <!--3、配置Shiro核心过滤器-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- Shiro的核心安全接口,这个属性是必须的 -->
        <property name="securityManager" ref="securityManager" />
        <!-- 身份验证失败,跳转到登录页面 -->
        <property name="loginUrl" value="/home/index.html"/>
        <!-- 身份验证成功,跳转到指定页面 -->
       <!-- <property name="successUrl" value="/index.jsp"/>
        &lt;!&ndash; 权限验证失败,跳转到指定页面 &ndash;&gt;
        <property name="unauthorizedUrl" value="/noauthorizeUrl.jsp"/>-->
        <!-- Shiro连接约束配置,即过滤链的定义 -->
        <property name="filterChainDefinitions">
            <value>
                <!--anon 表示匿名访问,不需要认证以及授权-->
                <!--authc表示需要认证 没有进行身份认证是不能进行访问的-->
                /user/userLogin=anon
                /book/**=authc
                <!-- /css/**               = anon
                 /images/**            = anon
                 /js/**                = anon
                 /                     = anon
                 /user/logout          = logout
                 /user/**              = anon
                 /userInfo/**          = authc
                 /dict/**              = authc
                 /console/**           = roles[admin]
                 /**                   = anon-->
            </value>
        </property>
    </bean>
 
    <!--4、配置Shiro的生命周期-->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/></bean>
 
</beans>




<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
        <!--引入mybatis与spring的集成配置-->
        <import resource="spring-mybatis.xml"/>
        <!--引入shiro与spring的集成配置-->
        <import resource="spring-shiro.xml"/>
</beans>

7.创建logincontorller

@Controller
@RequestMapping("/user")
public class LoginController {
 
    @Autowired
    private ISysUserService ISysUserService;
    /**
     * 跳转到登录页面
     * @return
     */
    @RequestMapping("tologin")
    public String toLogin(){
        return "login";
    }
 
    /**
     * 登录方法
     * @return
     */
    @RequestMapping("/userLogin")
    public String userLogin(SysUser sysuser, Model model){
        /*if("admin".equals(username)|| password.equals("123")){
           session.setAttribute("username",username);
            return "redirect:/";
        }
        model.addAttribute("msg","账号或者密码错误");
        return "login";*/
 
         //获取主体
        Subject subject = SecurityUtils.getSubject();
        //创建账号密码令牌
        UsernamePasswordToken token = new UsernamePasswordToken(
                    sysuser.getUsername(),
                    sysuser.getPassword()
                );
 
 
        //定义错误信息
        String msg=null;
        try {
            subject.login(token);
        }catch (UnknownAccountException e) {
            msg="账号错误";
            e.printStackTrace();
        }catch (IncorrectCredentialsException e) {
            msg="密码错误";
            e.printStackTrace();
        }catch (AuthenticationException e) {
            msg="账号或密码错误";
            e.printStackTrace();
        }
 
        //判断msg
        if(msg == null){
            return "redirect:/toIndex";
        }else{
            model.addAttribute("msg",msg);
            return "login";
        }
 
    }
 
    /**
     * 安全退出
     * @return
     */
    @RequestMapping("/userLogout")
    public String userLogout(){
        //获取主体
        Subject subject = SecurityUtils.getSubject();
        subject.logout();;
        return "redirect:/home/index.html";
    }
}

8.登录页面login.jsp

<body>
    <h1>登录</h1> <h2>${msg}</h2>
<form action="${ctx}/user/userLogin" method="post">
    账号:<input type="text" name="username"><br>
    密码:<input type="text" name="password"><br>
    <input type="submit" value="登录">
</form>
</body>

盐加密

1.什么是盐加密
盐加密是一种对系统登录口令的加密方式,它实现的方式是将每一个口令同一个叫做”盐“(salt)的n位随机数相关联。无论何时只要口令改变,随机数就改变。随机数以未加密的方式存放在口令文件中,这样每个人都可以读。不再只保存加密过的口令,而是先将口令和随机数连接起来然后一同加密,加密后的结果放在口令文件中。

2.使用盐加密
1.导入工具类PasswordHelper

/**
 * 用于shiro权限认证的密码工具类
 */
public class PasswordHelper {
 
    /**
     * 随机数生成器
     */
    private static RandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator();
 
    /**
     * 指定hash算法为MD5
     */
    private static final String hashAlgorithmName = "md5";
 
    /**
     * 指定散列次数为1024次,即加密1024次
     */
    private static final int hashIterations = 1024;
 
    /**
     * true指定Hash散列值使用Hex加密存. false表明hash散列值用用Base64-encoded存储
     */
    private static final boolean storedCredentialsHexEncoded = true;
 
    /**
     * 获得加密用的盐
     *
     * @return
     */
    public static String createSalt() {
        return randomNumberGenerator.nextBytes().toHex();
    }
 
    /**
     * 获得加密后的凭证
     *
     * @param credentials 凭证(即密码)
     * @param salt        盐
     * @return
     */
    public static String createCredentials(String credentials, String salt) {
        SimpleHash simpleHash = new SimpleHash(hashAlgorithmName, credentials,
                salt, hashIterations);
        return storedCredentialsHexEncoded ? simpleHash.toHex() : simpleHash.toBase64();
    }
 
 
    /**
     * 进行密码验证
     *
     * @param credentials        未加密的密码
     * @param salt               盐
     * @param encryptCredentials 加密后的密码
     * @return
     */
    public static boolean checkCredentials(String credentials, String salt, String encryptCredentials) {
        return encryptCredentials.equals(createCredentials(credentials, salt));
    }
 
    public static void main(String[] args) {
        //盐
        String salt = createSalt();
        System.out.println("随机生成的盐:"+salt);
        System.out.println("盐的长度:"+salt.length());
        //凭证+盐加密后得到的密码
        String credentials = createCredentials("123456", salt);
        System.out.println("凭证+盐加密后得到的密码:"+ credentials);
        System.out.println("凭证+盐加密后得到的密码的长度:"+ credentials.length());
        boolean b = checkCredentials("123456", salt, credentials);
        System.out.println("输入的密码是否能够通过盐+密码的验证:"+b);
 
    }
}

 

3.把生成的盐与密码加入数据库

 

4.在自定义ShrioRealm中的密码校验加上盐

//创建SimpleAuthenticationInfo,传入正确的账号和密码(来自于数据库)
        SimpleAuthenticationInfo simple=new SimpleAuthenticationInfo(
                sysUser.getUsername(),
                sysUser.getPassword(),
                //盐
                ByteSource.Util.bytes(sysUser.getSalt()),
                this.getName()
        );

5.去spring-shrio.xml中指明自定义ShrioRealm用的

<!--1、注册自定义的Realm 采用数据库方式-->
    <bean id="shiroRealm" class="com.zking.ssm.book.shiro.ShiroRealm">
        <!--配置Shiro明文密码如何进行加密-->
        <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--以下三个配置告诉shiro将如何对用户传来的明文密码进行加密-->
        <property name="credentialsMatcher">
            <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
                <!--指定hash算法为MD5-->
                <property name="hashAlgorithmName" value="md5"/>
                <!--指定散列次数为1024次-->
                <property name="hashIterations" value="1024"/>
                <!--true指定Hash散列值使用Hex加密存. false表明hash散列值用用Base64-encoded存储-->
                <property name="storedCredentialsHexEncoded" value="true"/>
            </bean>
        </property>
    </bean>

6.再次登录依然成功进入首页

畅畅子-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shrio认证&加密
qq_66924116的博客
08-25 105
加密辅助类导入pom.xml依赖web.xml配置文件 使用到的表数据 usermapper.xml配置 usermapper.java 创建一个用户接口UserBiz 实现类 配置文件applicationContext-shiro.xml 效果图:
Shiro认证及加加密
m0_67477525的博客
08-25 1071
*** @company xxx公司*/}}@Override}@OverrideSystem.out.println("身份认证...");// 拿到数据库中的用户信息,放入token凭证中,用于controler进行对比);}}
【基础框架】Shrio安全框架
博客包含书籍、B站、其他博主博客等内容,只为了记录笔记,作业,问题,软件配置等,为了以后方便查阅,如有侵权,请联系删除
03-16 2517
基于主页的权限管理(不同用户使用不同的主页,权限通过主页功能菜单进行限制)基于用户和权限的权限管理基于角色的访问控制认证:对用户的身份进行检查(登录验证)授权:对用户的权限进行检查(是否有对应的操作权限)流程示意图: 认证,验证用户是否有相应的身份—登录认证; 授权,即权限验证;对已经通过认证的用户检查是否具有某个权限或者角色,从而控制是否能够进行某种操作;会话管理,用户在认证成功之后创建会话,在没有退出之前,当前用户的所有信息都会保存在这个会话中;可以是普通的JavaSE应用,也可以是web应用;加密
Shiro安全框架入门学习
辰兮要努力
03-17 6186
Shiro安全框架入门学习
Shiro介绍与入门
weixin_57504000的博客
04-14 2057
一、Shiro简介 1.基本功能点 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。其基本功能点如下图所示: Authentication 身份认证 / 登录,验证用户是不是拥有相应的身份; Authorization 授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角
Shrio 微服务权限控制方案,完美实现!
架构文摘
03-10 1022
来自:blog.csdn.net/to10086/article/details/109573948一、微服务权限设计先说下为什么写这篇文章,因为实际项目需要,需要对我们现在项目页面小到每个部件都要做权限控制,然后查了下网上常用的权限框架,一个是shrio,一个是spring security,看了下对比,都说shrio比较轻量,比较好用。本文我们也选择了shrio来做整个项目的权限框架,同时结合...
初步了解shrio(笔记)
weixin_44801940的博客
04-17 2744
初步了解shrio
Springboot整合Shiro之加MD5加密的方法
08-26
在本文中,我们将介绍如何在 Spring Boot 项目中整合 Shiro 框架,并使用加 MD5 加密来实现身份认证。Shiro 是一个功能强大且灵活的安全框架,提供了身份认证、授权、会话管理、缓存等功能。在 Spring Boot 项目中...
shiro加密.7z
10-30
在Shiro中,我们可以自定义 Realm 类来实现加密的过程,通常是在认证过程中获取用户的值,并与密码一起进行加密。 这个项目中可能包含以下关键组件和流程: 1. **Shiro配置**:项目可能会包含一个Spring Boot...
Shiro入门.rar
06-12
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可以非常轻松地开发出足够安全的应用。在这个"Shiro入门"压缩包中,包含了笔记和源码,是学习Shiro基础知识的好资源。 **一...
ShiroDemo.zip
08-17
当SpringBoot与Shiro结合时,可以方便地实现应用的安全控制。以下将详细讲解如何在SpringBoot项目中整合Shiro,并实现用户登录认证和权限认证功能。 **一、Shiro基础概念** 1. **身份验证(Authentication)**:...
shiro jar包
05-13
Shiro还支持其他加密算法,如SHA-1、SHA-256等,以及值加哈希,提升安全性。此外,Shiro还提供了密钥生成、对称和非对称加密、消息摘要等功能。 4. **会话管理(Session Management)**: Shiro不仅可以在应用...
SpringBoot-30-shrio介绍、结构和快速实践
时光
08-23 1054
SpringBoot-30-shrio介绍、结构和快速实践
Shrio 权限管理
songbing_的博客
04-17 182
Shrio 权限管理原理及使用过程中遇到的一些问题
springmvc整合shiro权限控制
日拱一卒
12-11 9141
一、什么是Shiro  Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能:  认证 - 用户身份识别,常被称为用户“登录”;授权 - 访问控制;密码加密 - 保护或隐藏数据防止被偷窥;会话管理 - 每用户相关的时间敏感的状态。 对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro要简单的多。
Shrio安全框架简介
青藤的博客
08-20 1150
②从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。配置多个Realm是可以的,但是至少需要一个。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;Caching:缓存,比如用户登录后,其用户信息、拥有的角色 / 权限不必每次去查,这样可以提高效率;
Shrio权限管理框架
weixin_43153155的博客
10-14 318
Shrio权限管理框架 1.权限管理相关概念 1.1 权限管理概述 权限管理:凡是涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可访问而且只能访问自己已被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源,用户首先经过身份认证认证通过后用户具有该资源的访问权限方可访问。...
Java中间件-Shrio入门
weixin_43958460的博客
09-19 400
什么是Shiro Shrio是一个基于Java的开源安全框架,可以完成认证授权、会话管理、加密、缓存等功能。对比Spring security更加简单,更加独立,不仅可以在JavaSE中使用,还可以在JavaEE中使用,也能在分布式集群环境下使用。 Shrio的结构体系 Authentication 认证:验证用户是否合法,也就是登录校验。 Authorization 授权:对权限的管理,也就...
Java-Lambda
最新发布
lizhiwei21的博客
07-21 178
lambda表达式可以理解为对匿名内部类的一种简化 , 但是本质是有区别的面向对象思想 :强调的是用对象去完成某些功能函数式编程思想 :强调的是结果 , 而不是怎么去做。
理解Shiro认证: Realm与授权详解
3. Realm: Realm是Shiro与应用安全数据的桥梁,它从数据库或其他数据源获取用户身份和权限信息。每个Realm代表一个特定的数据源和身份验证策略,Shiro可以配置多个Realm以支持多数据源环境。 Shiro的认证过程如下...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值