Java研学-Shiro安全框架(六)

于 2024-08-28 14:41:27 发布
阅读量506 收藏 7
点赞数 12
分类专栏: # Java研学 文章标签: java 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhlyxx/article/details/141561707
版权

八 SpringBoot集成Shiro使用Ehcache缓存

1 缓存流程图

缓存流程图

2 集成EhCache

  每当应用程序进行鉴权的时候,都会调用Realm中的doGetAuthorizationInfo来获取用户的角色信息/权限信息,这个方法是需要访问数据库的. 而用户的角色信息/权限信息基本上是不变的, 所以目前我们的程序是每次鉴权都需要访问数据库,而且返回的数据都是一样的.
  因此可以集成EhCache,将角色信息/权限信息都缓存起来,只有用户第一次鉴权的时候才会查询数据库,后续的鉴权都直接从缓存中获取.

  页面每有一个需要判断权限显示或操作的选项,就需要进行一次判断查询数据库,因此会出现访问一个页面判断几十次的情况,此时应将数据存入缓存,这样同一条数据只查询一次数据库,之后访问缓存即可

3 缓存淘汰策略

策略说明
LRU默认,最近最少使用,距离现在最久没有使用的元素将被清出缓存
FIFO先进先出, 如果一个数据最先进入缓存中,则应该最早淘汰掉
LFU较少使用,意思是一直以来最少被使用的,缓存的元素有一个hit 属性(命中率),hit 值最小的将会被清出缓存

4 导入依赖

<!-- Shiro使用EhCache缓存框架(默认集成) -->
<dependency>
	<groupId>org.apache.shiro</groupId>
	<artifactId>shiro-ehcache</artifactId>
	<version>${shiro.version}</version>
</dependency>

5 在resource目录下新建ehcache/ehcache-shiro.xml文件

<?xml version="1.0" encoding="UTF-8"?>
<ehcache>
    <defaultCache
            maxElementsInMemory="1000"
            eternal="false"
            timeToIdleSeconds="600"
            timeToLiveSeconds="600"
            memoryStoreEvictionPolicy="LRU">
    </defaultCache>
</ehcache>

6 配置属性说明

参数说明
maxElementsInMemory缓存对象最大个数
eternal对象是否永久有效,一但设置了,timeout 将不起作用。(此后被淘汰的数据将持久化到磁盘中)
timeToIdleSeconds对象空闲时间,指对象在多长时间没有被访问就会失效(单位:秒)。仅当 eternal=false 对象不是永久有效时使用,可选属性,默认值是 0,也就是可闲置时间无穷大。
timeToLiveSeconds对象存活时间,指对象从创建到失效所需要的时间(单位:秒)。仅当 eternal=false 对象不是永久有效时使用,默认是 0,也就是对象存活时间无穷大。
memoryStoreEvictionPolicy当达到 maxElementsInMemory 限制时,Ehcache 将会根据指定的策略去清理内存。

7 ShiroConfig中添加缓存管理器

  生成 EhCacheManager 的 Bean,设置给Realm(Realm本身在安全管理器中)即可

@Configuration
public class ShiroConfig {
	// 略
	// 缓存管理器
    @Bean
    public EhCacheManager ehCacheManager(){
        EhCacheManager ehCacheManager=new EhCacheManager();
        // 读取配置文件中的缓存规则
        ehCacheManager.setCacheManagerConfigFile("classpath:ehcache/ehcache-shiro.xml");
        return ehCacheManager;
    }

	// 配置数据源
    @Bean
    public EmployeeRealm employeeRealm(EhCacheManager ehCacheManager){
        EmployeeRealm realm=new EmployeeRealm();
        //设置缓存管理器
        realm.setCacheManager(ehCacheManager);
        return realm;
    }
}

九 SpringBoot集成Shiro完成加盐加密

1 数据库表加盐

  此时password中存放密文密码

CREATE TABLE `employee` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT,
  `username` varchar(255) DEFAULT NULL,
  `name` varchar(255) DEFAULT NULL,
  `password` varchar(255) DEFAULT NULL,
  `email` varchar(255) DEFAULT NULL,
  `age` int(11) DEFAULT NULL,
  `admin` bit(1) DEFAULT NULL,
  `dept_id` bigint(20) DEFAULT NULL,
  `salt` varchar(20) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=8 DEFAULT CHARSET=utf8;

2 员工实体类加盐

@Data
public class Employee {
    private Long id;
    private String username;
    private String name;
    private String password;
    private String email;
    private Integer age;
    private boolean admin;
    private Department dept;
    // 添加盐字段
    private String salt;
}

3 员工Mapper映射加盐

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="cn.tj.mapper.EmployeeMapper" >
  <resultMap id="BaseResultMap" type="cn.tj.domain.Employee" >
    <id column="id" property="id" />
    <result column="username" property="username" />
    <result column="name" property="name" />
    <result column="password" property="password" />
    <result column="email" property="email" />
    <result column="age" property="age" />
    <result column="admin" property="admin" />
    <result column="salt" property="salt" />
    <association columnPrefix="d_" property="dept" javaType="department">
      <result column="id" property="id" />
      <result column="name" property="name" />
      <result column="sn" property="sn" />
    </association>

  </resultMap>
  <delete id="deleteByPrimaryKey" >
    delete from employee
    where id = #{id}
  </delete>
  <delete id="deleteRelation">
    delete from employee_role where employee_id = #{employeeId}
  </delete>
  <insert id="insert" useGeneratedKeys="true" keyProperty="id" >
    insert into employee (username, name, password, email, age, admin, dept_id,salt
      )
    values (#{username}, #{name}, #{password}, #{email}, #{age}, #{admin}, #{dept.id},#{salt}
      )
  </insert>
    <insert id="insertRelationBatch">
      insert into employee_role(employee_id, role_id) values
      <foreach collection="roleIds" separator="," item="roleId">
        (#{employeeId},#{roleId})
      </foreach>
    </insert>
    <update id="updateByPrimaryKey" >
    update employee
    set
      name = #{name},
      email = #{email},
      age = #{age},
      admin = #{admin},
      dept_id = #{dept.id}
    where id = #{id}
  </update>
  <select id="selectByPrimaryKey" resultMap="BaseResultMap" >
    select e.id, e.username, e.name, e.password, e.email, e.age, e.admin,d.id d_id,d.name d_name,d.sn d_sn,e.salt
    from employee e left join department d on e.dept_id = d.id
    where e.id = #{id}
  </select>
  <select id="selectAll" resultMap="BaseResultMap" >
      select id, username, name, password, email, age, admin, dept_id,salt
      from employee
  </select>

  <sql id="where_sql">
    <where>
      <if test="keyword != null and keyword != ''">
        and (e.name like concat('%',#{keyword},'%') or e.email like concat('%',#{keyword},'%'))
      </if>
      <if test="deptId != null">
        and e.dept_id = #{deptId}
      </if>
    </where>
  </sql>

  <select id="selectForList" resultMap="BaseResultMap">
    select e.id, e.username, e.name, e.password, e.email, e.age, e.admin,d.id d_id,d.name d_name,d.sn d_sn,e.salt
    from employee e left join department d on e.dept_id = d.id
    <include refid="where_sql"/>
  </select>
    <select id="checkUsername" resultType="java.lang.Integer">
      select count(*) from employee where username=#{username}
    </select>
  <select id="getByUsernameAndPassword" resultMap="BaseResultMap">
    select e.id, e.username, e.name, e.password, e.email, e.age, e.admin,d.id d_id,d.name d_name,d.sn d_sn,e.salt
    from employee e left join department d on e.dept_id = d.id
    where username=#{username} and password=#{password}
  </select>
    <select id="getByUsername" resultMap="BaseResultMap">
      select e.id, e.username, e.name, e.password, e.email, e.age, e.admin,d.id d_id,d.name d_name,d.sn d_sn,e.salt
      from employee e left join department d on e.dept_id = d.id
      where username=#{username}
    </select>
</mapper>

4 EmployeeRealm 认证加盐

public class EmployeeRealm extends AuthorizingRealm {
    @Autowired
    private IEmployeeService employeeService;
    @Autowired
    private IPermissionService permissionService;
    @Autowired
    private IRoleService roleService;
    //授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        Employee currentEmployee= (Employee) principalCollection.getPrimaryPrincipal();
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();
        if(currentEmployee.isAdmin()){
            List<Role> roles=roleService.listAll();
            for(Role role:roles){
                info.addRole(role.getSn());
            }
            info.addStringPermission("*:*");
        }else{
            List<Role> roleList=roleService.queryByEmployeeId(currentEmployee.getId());
            for(Role role:roleList){
                info.addRole(role.getSn());
            }
            //查询该用户的权限集合
            List<String> permissionList=permissionService.queryByEmployeeId(currentEmployee.getId());
            info.addStringPermissions(permissionList);
        }
        return info;
    }
    //认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 根据token获取用户名
        String username = (String) authenticationToken.getPrincipal();
        // 根据用户名查询用户
        Employee currentEmployee=employeeService.getByUsername(username);
        // 根据查询结果返回对应数据
        if(currentEmployee==null){
            return null;
        }
        // 将盐返回
        return new SimpleAuthenticationInfo(currentEmployee,currentEmployee.getPassword()
                , ByteSource.Util.bytes(currentEmployee.getSalt()),getName());
    }
}

5 设置凭证匹配器 – ShiroConfig

@Configuration
public class ShiroConfig {
	// 略
    // 设置凭证匹配器
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
    	// 创建对象设置规则为MD5
        HashedCredentialsMatcher matcher=new HashedCredentialsMatcher("MD5");
        // 设置加密次数为3次
        matcher.setHashIterations(3);
        return matcher;
    }
	
	// 将凭证匹配器设置给数据源
	//数据源
    @Bean
    public EmployeeRealm employeeRealm(EhCacheManager ehCacheManager,HashedCredentialsMatcher hashedCredentialsMatcher){
        EmployeeRealm realm=new EmployeeRealm();
        //设置缓存管理器
        realm.setCacheManager(ehCacheManager);
        //设置凭证匹配器(加密)
        realm.setCredentialsMatcher(hashedCredentialsMatcher);
        return realm;
    }
}

6 修改添加操作

  此时应对明文密码进行加密后存储

@Service
public class EmployeeServiceImpl implements IEmployeeService {
    @Autowired
    private EmployeeMapper employeeMapper;
    // 略
	@Override
    @Transactional
    public void save(Employee employee, Long[] roleIds) {
        //对明文密码进行加密
        String salt= UUID.randomUUID().toString().substring(0,4);
        // 明文密码,盐,加密次数
        Md5Hash hash=new Md5Hash(employee.getPassword(),salt,3);
        // 设置密文密码
        employee.setPassword(hash.toString());
        // 设置盐
        employee.setSalt(salt);
        //新增员工的数据
        employeeMapper.insert(employee);
        //维护中间表的关系
        if(!employee.isAdmin()&&roleIds!=null&&roleIds.length>0){
            employeeMapper.insertRelationBatch(employee.getId(),roleIds);
        }
    }
}
泰勒疯狂展开
关注
  • 12
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java研学-Shiro安全框架(一)
zhlyxx的博客
06-25 1681
我们需要使用的账户信息通常来自程序或者数据库中, 而不是前面使用到的 ini 文件的配置,因此要做到想去哪里查,就去那里查。此处使用 DataMapper 作为一组假数据模拟数据库static{//初始化数据//提供静态方法,模拟数据库返回数据实体类@Setter@Getter@ToString//用户名//密码UserRealm// 继承Realm下的接口 实现两个方法 一般来说do开头的方法就是模板设计模式。
Java---Shiro框架
weixin_67224308的博客
07-31 1509
Apache Shiro 是一个功能强大且易于使用的 Java 安全(权限)框架Shiro 可以完成:认证、授权、加密、会话管理、与 Web 集成、缓存 等。借助 Shiro 您可以快速轻地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。下载地址。
简单易上手- Shiro 权限框架
oyang的博客
08-24 907
shiro是apache的一个开源框架,是一个权限控制器框架,在应用程序角度来观察如何使用Shiro, securityManager:安全管理器,域:Realm(与开发相关的)-> 主要负责安全数据,安全管理器:securityManager -> 管理系统中的所有用户,主体:subject -> 当前用户,认证 -> 接管了用户登录操作,授权 -> 接管管理系统资源的分配,Spring web 集成 监听器ContextLoadListener
一个Java的权限框架-Shiro
奔走的王木木Sir的博客
06-14 3341
Shiro可以做什么?可以完成认证、授权、加密、会话管理等
Java代码审计-shiro反序列化漏洞分析
qq_44780157的博客
08-08 1011
Shiro550反序列化的漏洞原理分析。
Shiro框架集成EhCaChe实现缓存用户的权限和身份信息提高系统性能------Shiro框架
春风若有怜花意,可否许我再少年
06-13 943
Shiro框架集成EhCaChe实现缓存用户的权限和身份信息提高系统性能------Shiro框架
权限认证框架---Shiro
qq_60067835的博客
12-07 1176
带你从0到1开始学习安全认证框架,采用图文结合和案例分析的模式,实操体验认证全流程
Java 安全框架 - Shiro
Robot
03-07 1728
简介Apache Shiro 官网 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。主要特性Authentication(验证) Authorization(授权) Session Management(会话管理) Cryptog
JAVA安全框架shiro
xindongyuni666的博客
09-28 1471
一个容易,简单,安全,易上手的框架shiro
浅析安全框架-Shiro和Spring Security
m0_67942533的博客
09-04 5102
浅析安全框架-Shiro和Spring Security
基于Java的Apache Shiro安全框架设计源码
06-01
本源码是基于Java开发的Apache Shiro安全框架设计,包含1040个文件,其中包括724个.java文件,92个.groovy文件,72个.xml文件,36个.jsp文件,以及23个.properties文件,16个.ini文件,10个.md文件,7个.css文件和5...
FEBS-Shiro-jht:FEBS-Shiro个人适应版
02-19
原因:主要是因为懒,想找个技术较新,干净的项目作为开发的基础框架,于是找到了FEBS-Shiro初步技术不考虑,前端使用layui解决所有是我最喜欢的 个人适应版修改点: 1.html js css分离,考虑到实际业务的复杂性,...
springboot-shiro认证系统框架--成型框架
09-17
- Shiro是一个强大且易用的Java安全框架,处理认证、授权、会话管理和加密等安全相关任务。 - 认证:验证用户身份,即"你是谁"。 - 授权:确定用户可以访问哪些资源,即"你能做什么"。 - 会话管理:支持跨请求的...
Java-Shiro学习思维导图.zip
08-20
Java Shiro 是一个强大且灵活的开源安全框架,用于身份认证、授权和会话管理等安全领域的应用开发。学习 Java Shiro 可以通过思维导图来梳理核心概念和学习路径,以下是一个简要的 Java Shiro 学习思维导图。 Java ...
阿里云服务器 篇七:服务器热备份/定时备份
生活在别处
08-24 118
Python 客户端用于百度云(个人云存储)百度云/百度网盘 Python 客户端。它主要用于在 Linux 环境下通过命令行操作百度云盘的 2TB 存储空间。是一个Github开源项目,这是一个百度云/百度网盘Python客户端。: 列出百度 PCS 中的 ‘remotepath’ 目录。: 从本地目录同步到远程目录。: 在百度云中创建一个目录。
启动Application 报错:no mapping for GET /(已解决)
最新发布
qq_3512323979的博客
08-26 179
no mapping for GET /因为我使用的是框架嘛,然后生成了一个SpringBoot项目后,resources下面就会有一个static的类,用于存放静态资源类,后面我把静态资源放在里面,但是启动启动类后,报错一直匹配不到。: 正常的话,我们使用SpringBoot框架,他会给我们提供许多便利,包括静态资源的自动服务,默认的话,他会去。报这个错可能还有其他原因,我的是因为这个,大家可以根据日志信息一步步检查,肯定可以解决的!类并覆盖其方法时,就会失去静态资源的自动服务
开发多线程程序时,需要注意那些问题
OO_SEN的博客
08-23 609
线程安全 竞态条件(Race Condition):当多个线程同时访问和修改共享资源时,可能会出现竞态条件,导致不确定的行为。需要通过同步机制(如互斥锁、读写锁、原子操作)来保护共享资源。 死锁(Deadlock):当两个或多个线程相互等待对方释放锁时,程序会陷入死锁状态。避免死锁的一些策略包括:避免嵌套锁、确保加锁顺序一致、使用超时机制等。 活锁(Livelock):与死锁不同,活锁是指线程不断地尝试获取资源但总是失败,导致无法继续执行。避免频繁重试操作或使用退避算法可以减少活锁的发生。 优先级反转(P
笔记redis
风止的博客
08-22 1104
Redis(Remote Dictionary Server)是用C语言开发的一个基于的数据库。
linux上datax 安装以及使用
寂夜了无痕的博客
08-24 985
linux上datax 安装以及使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

泰勒疯狂展开

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值