shiro认证

最新推荐文章于 2024-08-24 14:38:34 发布
最新推荐文章于 2024-08-24 14:38:34 发布
阅读量62 收藏
点赞数
文章标签: spring java mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zsm030616/article/details/126541703
版权

这里写目录标题

一,Shiro认证

步骤:
1. pom依赖
2.web配置
3. 自定义Realm(重点)
4.对应mapper编写
5.Spring与shiro整合(注意)
6.登录测试

导入pom依赖

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-core</artifactId>
    <version>1.3.2</version>
</dependency>
 
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-web</artifactId>
    <version>1.3.2</version>
</dependency>
 
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId>
    <version>1.3.2</version>
</dependency>

web.xml配置

<!-- shiro过滤器定义 -->
<filter>
  <filter-name>shiroFilter</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  <init-param>
    <!-- 该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理 -->
    <param-name>targetFilterLifecycle</param-name>
    <param-value>true</param-value>
  </init-param>
</filter>
<filter-mapping>
  <filter-name>shiroFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

逆向生成对应的代码
在这里插入图片描述
在UserMapper.xml中新增

<select id="queryByName" resultType="com.javaxl.ssm.model.ShiroUser" parameterType="java.lang.String">
  select
  <include refid="Base_Column_List" />
  from t_shiro_user
  where userName = #{userName}
</select>

建立业务逻辑层

package com.zhouzhou.ssm.Biz;
 
import com.zhouzhou.ssm.model.User;
import org.apache.ibatis.annotations.Param;
 
public interface UserBiz {
    int deleteByPrimaryKey(Integer userid);
 
    int insert(User record);
 
    int insertSelective(User record);
 
    User selectByPrimaryKey(Integer userid);
 
    User queryByName(String userName);
 
    int updateByPrimaryKeySelective(User record);
 
    int updateByPrimaryKey(User record);
}

实现类

package com.zhouzhou.ssm.Biz.impl;
 
import com.zhouzhou.ssm.Biz.UserBiz;
import com.zhouzhou.ssm.mapper.UserMapper;
import com.zhouzhou.ssm.model.User;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;
 
**
 * @author周周
 * @company zsm
 * @create  2022-08-25 15:39
 */
@Service("userBiz")
public class UserBizImpl implements UserBiz {
   @Autowired
   private UserMapper userMapper;
 
    @Override
    public int deleteByPrimaryKey(Integer userid) {
        return userMapper.deleteByPrimaryKey(userid);
    }
 
    @Override
    public int insert(User record) {
        return userMapper.insert(record);
    }
 
    @Override
    public int insertSelective(User record) {
        return userMapper.insertSelective(record);
    }
 
    @Override
    public User selectByPrimaryKey(Integer userid) {
        return userMapper.selectByPrimaryKey(userid);
    }
 
    @Override
    public User queryByName(String userName) {
        return userMapper.queryByName(userName);
    }
 
    @Override
    public int updateByPrimaryKeySelective(User record) {
        return userMapper.updateByPrimaryKeySelective(record);
    }
 
    @Override
    public int updateByPrimaryKey(User record) {
        return updateByPrimaryKey(record);
    }
}

Myrealm
MyRealm要使用业务层,因为realm是属于shiro的,这样使得没办法使用Spring里面的@Autowired注解,同时也没办法直接交给Spring进行管理,所以我们需要通过实现类里的@Service里面添加标记(biz中的属性名)

package com.zhouzhou.ssm.shiro;
 
import com.zhouzhou.ssm.Biz.UserBiz;
import com.zhouzhou.ssm.mapper.UserMapper;
import com.zhouzhou.ssm.model.User;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
 
**
 * @author周周
 * @company zsm
 * @create  2022-08-25 15:57
 */
public class MyRealm extends AuthorizingRealm {
 
    private UserBiz userBiz;
 
 
    public UserBiz getUserBiz() {
        return userBiz;
    }
 
    public void setUserBiz(UserBiz userBiz) {
        this.userBiz = userBiz;
    }
 
    /**
     * 授权
     * @param principals
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }
 
    /**
     * 认证
     * @param token
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
       //拿到用户名
       String username = token.getPrincipal().toString();
       //拿到密码
       String password = token.getCredentials().toString();
        User user = userBiz.queryByName(username);
        //拿到数据库的用户信息,放入token凭证中,用于controler进行对比
//        需要进行传参
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(
        user.getUsername(),//用户
        user.getPassword(),//密码
        ByteSource.Util.bytes(user.getSalt()),//拿到盐
        this.getName()//realm的名字
    );
        return info;
    }
}

LoginController

package com.zhouzhou.ssm.controller;
 
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.subject.Subject;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
 
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
 
**
 * @author周周
 * @company zsm
 * @create  2022-08-25 20:57
 */
@Controller
public class LoginController {
    @RequestMapping("/login")
    public String login(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        //登入成功 需要保存用户信息
//        String uname = request.getParameter("uname");
//        if ("dengxiyan".equals(uname)) {
//            System.out.println("jsdjsa:"+uname);
//            request.getSession().setAttribute("uname", uname);
//        }
 
        try {
            //拿到用户名及密码
            String username = request.getParameter("username");
            String password = request.getParameter("password");
            UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(username, password);
            Subject subject = SecurityUtils.getSubject();
            subject.login(usernamePasswordToken);
//            request.getRequestDispatcher("main.jsp").forward(request,response);
            return "mian";
        }catch (Exception e){
            request.setAttribute("message","用户名或密码错误");
//          request.getRequestDispatcher("login.jsp").forward(request,response);
            return "login";
        }
    }
 
 
    @RequestMapping("/logout")
    public String logout(HttpServletRequest request,HttpServletResponse response) {
//        request.getSession().invalidate();
//        return "index";
        Subject subject = SecurityUtils.getSubject();
        subject.logout();
        try{
            response.sendRedirect(request.getContextPath()+"/login.jsp");
        }catch (Exception e){
            e.printStackTrace();
        }
        return null;
    }
}

效果图
在这里插入图片描述
在这里插入图片描述

二,盐加密

1.生成加密密码PasswordHelper类(盐加密)

2.修改applicationContext-shirod的自定义Realm配置

步骤:

1.获取用户及密码

2.传递啊到后台

3.利用 原始密码+生成随机的盐 得到加密后的密码最后执行insert语句

PasswordHelper类

package com.zhouzhou.shrio;
 
 
import org.apache.shiro.crypto.RandomNumberGenerator;
import org.apache.shiro.crypto.SecureRandomNumberGenerator;
import org.apache.shiro.crypto.hash.SimpleHash;
 
/**
 * 用于shiro权限认证的密码工具类
 */
public class PasswordHelper {
 
    /**
     * 随机数生成器
     */
    private static RandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator();
 
    /**
     * 指定hash算法为MD5
     */
    private static final String hashAlgorithmName = "md5";
 
    /**
     * 指定散列次数为1024次,即加密1024次
     */
    private static final int hashIterations = 1024;
 
    /**
     * true指定Hash散列值使用Hex加密存. false表明hash散列值用用Base64-encoded存储
     */
    private static final boolean storedCredentialsHexEncoded = true;
 
    /**
     * 获得加密用的盐
     *
     * @return
     */
    public static String createSalt() {
        return randomNumberGenerator.nextBytes().toHex();
    }
 
    /**
     * 获得加密后的凭证
     *
     * @param credentials 凭证(即密码)
     * @param salt        盐
     * @return
     */
    public static String createCredentials(String credentials, String salt) {
        SimpleHash simpleHash = new SimpleHash(hashAlgorithmName, credentials,
                salt, hashIterations);
        return storedCredentialsHexEncoded ? simpleHash.toHex() : simpleHash.toBase64();
    }
 
 
    /**
     * 进行密码验证
     *
     * @param credentials        未加密的密码
     * @param salt               盐
     * @param encryptCredentials 加密后的密码
     * @return
     */
    public static boolean checkCredentials(String credentials, String salt, String encryptCredentials) {
        return encryptCredentials.equals(createCredentials(credentials, salt));
    }
 
    public static void main(String[] args) {
        //盐
        String salt = createSalt();
        System.out.println(salt);
        System.out.println(salt.length());
        //凭证+盐加密后得到的密码
        String credentials = createCredentials("123456", salt);
        System.out.println(credentials);
        System.out.println(credentials.length());
        boolean b = checkCredentials("123456", salt, credentials);
        System.out.println(b);
    }
}

解析:
首先在方法中随机生成盐 ,拿到用户和密码,然后拿到密码进行盐加密,得到的是一个加密过后的盐,再获取长度,最后拿到加密后的密码和盐以及最初的密码进行比较,返回的是true则加密成功

applicationContext-shirod配置

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
 
    <!--配置自定义的Realm-->
    <bean id="shiroRealm" class="com.javaxl.ssm.shiro.MyRealm">
        <property name="shiroUserService" ref="shiroUserService" />
        <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--注意:重要的事情说三次~~~~~~此处加密方式要与用户注册时的算法一致 -->
        <!--以下三个配置告诉shiro将如何对用户传来的明文密码进行加密-->
        <property name="credentialsMatcher">
            <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
                <!--指定hash算法为MD5-->
                <property name="hashAlgorithmName" value="md5"/>
                <!--指定散列次数为1024次-->
                <property name="hashIterations" value="1024"/>
                <!--true指定Hash散列值使用Hex加密存. false表明hash散列值用用Base64-encoded存储-->
                <property name="storedCredentialsHexEncoded" value="true"/>
            </bean>
        </property>
    </bean>
 
    <!--注册安全管理器-->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="shiroRealm" />
    </bean>
 
    <!--Shiro核心过滤器-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- Shiro的核心安全接口,这个属性是必须的 -->
        <property name="securityManager" ref="securityManager" />
        <!-- 身份验证失败,跳转到登录页面 -->
        <property name="loginUrl" value="/login"/>
        <!-- 身份验证成功,跳转到指定页面 -->
        <!--<property name="successUrl" value="/index.jsp"/>-->
        <!-- 权限验证失败,跳转到指定页面 -->
        <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
        <!-- Shiro连接约束配置,即过滤链的定义 -->
        <property name="filterChainDefinitions">
            <value>
                <!--
                注:anon,authcBasic,auchc,user是认证过滤器
                    perms,roles,ssl,rest,port是授权过滤器
                -->
                <!--anon 表示匿名访问,不需要认证以及授权-->
                <!--authc表示需要认证 没有进行身份认证是不能进行访问的-->
                <!--roles[admin]表示角色认证,必须是拥有admin角色的用户才行-->
                /user/login=anon
                /user/updatePwd.jsp=authc
                /admin/*.jsp=roles[admin]
                /user/teacher.jsp=perms["user:update"]
               <!-- /css/**               = anon
                /images/**            = anon
                /js/**                = anon
                /                     = anon
                /user/logout          = logout
                /user/**              = anon
                /userInfo/**          = authc
                /dict/**              = authc
                /console/**           = roles[admin]
                /**                   = anon-->
            </value>
        </property>
    </bean>
 
    <!-- Shiro生命周期,保证实现了Shiro内部lifecycle函数的bean执行 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
</beans>

总结:

   1. pom依赖
   2.web配置
   3.  自定义Realm(重点)
   4.对应mapper编写
   5.Spring与shiro整合(注意)

            (1)shiro在加载的时候,Spring上下文还没有记载完毕,所以Component与@autowised是不能使用的

            (2)Spring-shiro,xml文件中,MyRealm需要依赖的业务类由于没有被Spring胚子,所以需要指定bean的id,通过Service(“具体名”)
   6.登录测试
 结论:doGetAuthorizationInfo认证方法是web层秩序subject.login出发的
zsm030616
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro认证授权
08-03
Apache Shiro 是一个强大且易用的 Java 安全框架,提供了认证、授权、加密和会话管理功能,可以非常方便地开发出足够安全的应用。本文将深入探讨 Shiro 的核心概念,包括认证和授权,并结合提供的 `shiro-demo` 代码...
shiro认证.pdf
08-13
本文档主要介绍Shiro认证的基本流程以及如何使用Shiro进行用户登录和退出操作。 首先,Shiro认证的过程可以简单概括为以下步骤: 1. 用户向应用程序提供其身份凭证,如用户名和密码。 2. 应用程序将这些凭证传递给...
shiro认证及授权demo
10-28
这个"shiro认证及授权demo"应该包含了设置Shiro环境、配置 Realm、创建 SecurityManager、定义用户角色和权限以及处理登录、登出等核心功能的示例代码。 1. **Shiro环境设置**:首先,需要在项目中引入Shiro的依赖...
Apache Shiro 使用手册(二) Shiro 认证
09-15
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份认证、授权和会话管理功能。本文主要关注其认证过程,即验证用户身份的环节。 在 Shiro认证过程中,用户需要提供实体信息(Principals)和凭据信息...
shiro认证.docx
06-23
Apache Shiro 是一个强大且易用的Java安全框架,它提供了认证、授权、会话管理和加密等功能,用于构建简单且健壮的应用安全控制层。Shiro认证部分是其核心功能之一,允许系统确认用户的身份。下面我们将详细讲解...
dynamic-datasource-spring-boot-starter多数据源配置
wyazyf
08-22 168
这种多数据源的配置方式可以不用区分包和扫描路径。放在同一路径下即可。默认在主数据库中加载。调用其他数据源的时候,只需要在mapper.java文件上配置@DS(“mainData”)即可。
java springboot 集成activeMQ(保姆级别教程)
m0_50641264的博客
08-23 138
java springboot 集成activeMQ(保姆级别教程)
SpringBoot整合MQ
最新发布
weixin_55772633的博客
08-24 409
springboot整合ActiveMQ提供了JmsMessagingTemplate对象作为客户端操作消息队列操作ActiveMQ需要配置ActiveMQ服务器地址,默认端口61616企业开发时通常使用监听器来处理消息队列中的消息,设置监听器使用注解@JmsListener配置jms的pub-sub-domain属性可以在点对点模型和发布订阅模型间切换消息模型。
Spring 中AbstractApplicationContext
小湘西的博客
08-20 845
Spring Framework 中的一个抽象类,位于包中。它带有一系列的实现,主要用于为 Spring 的应用上下文提供基本的功能。所有的 Spring 应用上下文实现(如等)通常都直接或间接地扩展该类。
Spring 中AbstractRefreshableWebApplicationContext
小湘西的博客
08-21 985
Spring Framework 中用于 Web 应用程序的一个抽象类,位于包中。它继承自,主要用于支持 Web 应用程序的上下文管理。
用基础项目来理解spring的作用
weixin_64922330的博客
08-20 576
用基础项目来理解spring的作用
Springboot与easypoi
游王子的博客
08-20 700
ApiModel("用户实体类")@Data@ApiModelProperty("用户id")@Excel(name = "用户id", orderNum = "0")@ApiModelProperty("用户名")@Excel(name = "用户名", orderNum = "1")@ApiModelProperty("密码")@Excel(name = "密码", orderNum = "2")@ApiModelProperty("年龄")
Java--SpringBoot工厂模式
qq_56438516的博客
08-20 874
Spring Boot是一个基于Spring框架的快速开发框架,它提供了许多便利的功能来简化企业级应用的开发。在Spring Boot中,工厂模式是一种常用的设计模式,它用于创建对象,但是不需要指定将要创建的具体类。工厂模式隐藏了实例化对象的具体细节,并且允许系统在不修改客户端代码的情况下引入新的类。
SpringBoot 注解指南
weixin_51582215的博客
08-23 541
基于 SpringBoot 平台开发的项目数不胜数,与常规的基于Spring开发的项目最大的不同之处,SpringBoot 里面提供了大量的注解用于快速开发,而且非常简单,基本可以做到开箱即用!那 SpringBoot 为开发者提供了多少注解呢?我们该如何使用?通常用于修饰controller层的组件,由控制器负责将用户发来的URL请求转发到对应的服务接口,通常还需要配合注解使用。提供路由信息,负责URL到Controller中具体函数的映射,当用于方法上时,可以指定请求协议,比如GETPOSTPUT。
linux使用nginx部署springboot + vue分离项目
技术分享
08-20 108
linux使用nginx部署springboot + vue分离项目。
springboot社区医疗服务系统--论文源码调试讲解
u014445459的博客
08-23 947
刚开始学习Java语言的时候,是不知道还有Tomcat这些东西的,各种语法各种输出在控制台进行输出结果,当Java网站开发的时候就不可避免的学习到了Tomcat服务器。Tomcat准确的来讲不算是服务器,可以说是vue引擎或者一个容器,这些都是学术上或者原理上都比较贴切的,但是实际工作中Tomcat就是作为一个web服务器来用的,因为可以实现网站的发布和运行。420
Spring ioc简易代码实现过程
kkkkkkkok的博客
08-20 597
Spring是一个轻量级Java开发框架,最早有Rod Johnson创建,目的是为了解决企业级应用开发的业务逻辑层和其他各层的耦合问题。它是一个分层的JavaSE/JavaEE full-stack(一站式)轻量级开源框架,为开发Java应用程序提供全面的基础架构支持。Spring负责基础架构,因此Java开发者可以专注于应用程序的开发。Spring最根本的使命是解决企业级应用开发的复杂性,即简化Java开发。
SpringBoot教程(二十五) | SpringBoot整合Sharding-JDBC分库分表
qq_20236937的博客
08-22 1076
SpringBoot整合Sharding-JDBC分库分表
如何使用 Java 记录简化 Spring Data 中的数据实体
08-20 617
Java 开发人员一直依赖Spring Data来实现高效的数据访问。但是,随着Java Records的引入,数据实体的管理方式发生了重大变化。在本文中,我们将讨论 Java Records 在 Spring Data 应用程序中的集成。我们将探讨使用 Java 记录创建健壮的数据实体的好处,并提供真实世界的示例来展示它们在 Spring Data 中的潜力。Java 记录的力量:概述J...
Shiro认证实现与核心组件解析
"Shiro认证实现和核心组件解析" Shiro是一个强大的Java安全框架,它提供了认证、授权、加密和会话管理功能,使得在开发应用时可以轻松处理安全性问题。Shiro认证流程简单易懂,主要涉及的核心组件包括Subject、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值