shiro学习笔记：简单的入门，盐值加密

最新推荐文章于 2024-04-23 22:02:15 发布

紫枫叶520

最新推荐文章于 2024-04-23 22:02:15 发布

阅读量1.2k

点赞数 2

分类专栏： shiro 文章标签： spring boot shiro shiro盐值加密

本文链接：https://blog.csdn.net/zifengye520/article/details/121969672

版权

shiro 专栏收录该内容

3 篇文章 0 订阅

订阅专栏

一些理论知识：

https://blog.csdn.net/zifengye520/article/details/121969099

一、基本使用

官网的入门案例，使用的是ini配置文件来模拟用户的信息，这里直接跳过这个步骤，直接使用自定义的Realm来模拟数据库获取用户信息

1、创建一个springboot项目

2、添加shiro依赖

<dependency>
  <groupId>org.apache.shiro</groupId>
  <artifactId>shiro-core</artifactId>
  <version>1.5.3</version>
</dependency>

3、自定义Realm，继承AuthorizingRealm，模拟从数据库卡获取用户信息

public class MyRealm extends AuthorizingRealm {
    @Override
    //实现授权
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    @Override
    //实现认证
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String principal = (String) authenticationToken.getPrincipal();
        //如果输入的是test，表示这个用户存在
        if(principal.equals("test")){
            //返回一个假数据，模拟从数据库取出：test|123
            return new SimpleAuthenticationInfo("test","123",getName());
        }
        return null;
    }
}

4、创建测试类，执行main方法，模拟用户登录

public class MyReamTest {
    public static void main(String[] args) {
        DefaultSecurityManager securityManager = new DefaultSecurityManager();
        //设置realm为自定义的MyRealm
        securityManager.setRealm(new MyRealm());
        //给安全工具类，设置安全管理器
        SecurityUtils.setSecurityManager(securityManager);

        //从安全工具类中获取主体
        Subject subject = SecurityUtils.getSubject();
        //创建token
        UsernamePasswordToken token = new UsernamePasswordToken("test","123");

        try{
            //登录
            subject.login(token);
        }catch (UnknownAccountException e){
            System.out.println("登录账号不存在");
        }
        catch (IncorrectCredentialsException e){
            System.out.println("登录密码不正确");
        }
        //判断登录成功
        if(subject.isAuthenticated()){
            System.out.println("登录成功");
        }
    }
}

5、通过修改代码中用户名test，或者密码123，可以看到后台打印出对应账号或密码错误的日志

二、基本流程

1、首先，自定义的Realm，继承了AuthorizingRealm

2、在调用subject.login(token)的时候，通过断点调试，会一步一步执行到如下图中的方法

3、当info为null，就会调用自定义realm中的doGetAuthenticationInfo方法。

三、密码加盐

1、同样自定义一个realm，并继承AuthorizingRealm

在认证的方法doGetAuthenticationInfo中，返回SimpleAuthenticationInfo对象时，需要提供盐值

public class MySaltRealm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        String principal = (String) principalCollection.getPrimaryPrincipal();//主凭证，用来从数据库获取角色和权限等

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        info.addRoles(Arrays.asList("admin","user"));
        info.addStringPermissions(Arrays.asList("user:create"));

        return info;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String principal = (String) authenticationToken.getPrincipal();
        //test是模拟从数据库查出的账号，表示test账号存在数据库中
        if("test".equals(principal)){
            //894b3913a4a13b25dc6186d11835c209，是模拟从数据库查出的加密后的密码，该密码是经过MD5加密后的
            //加密方式：Md5Hash str = new Md5Hash("123","abc",1024);

            //参数：用户名、密码、盐值、realm名称
            //加上盐值的参数，shiro在验证密码的时候，会自动加上盐值
            return new SimpleAuthenticationInfo("test","894b3913a4a13b25dc6186d11835c209", ByteSource.Util.bytes("abc"),this.getName());
        }
        return null;
    }
}

2、写个测试类，模拟登录

要给realm设置一个凭证匹配器，并指定加密算法、盐值和散列次数

public class MySaltRealmTest {

    public static void main(String[] args) {
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();

        AuthorizingRealm myRealm = new MySaltRealm();
        //获取hash凭证匹配器
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        //设置hash凭证匹配器使用的算法（MD5）
        credentialsMatcher.setHashAlgorithmName("md5");
        //如果使用散列（加密次数），则需要设置散列的次数：1024次
        credentialsMatcher.setHashIterations(1024);

        //给自定义的realm设置密码匹配器
        myRealm.setCredentialsMatcher(credentialsMatcher);

        //设置realm为自定义的realm
        defaultSecurityManager.setRealm(myRealm);

        SecurityUtils.setSecurityManager(defaultSecurityManager);

        UsernamePasswordToken token = new UsernamePasswordToken("test","123");

        Subject subject = SecurityUtils.getSubject();
        try{
            //认证
            subject.login(token);
        }catch (UnknownAccountException e){
            e.printStackTrace();
            System.out.println("账号出错");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("密码出错");
        }

        if(subject.isAuthenticated()){
            System.out.println("认证成功");
            //判断权限
            System.out.println("角色权限"+subject.hasRole("admin"));
            System.out.println("资源权限"+subject.isPermitted("user:*"));
        }
    }
}

3、通过修改登录方法中的账号和密码，看控制台打印出对应的信息