-
Shiro【散列算法、过滤器 、Shiro会话、会话管理器、权限表设计】(三)-全面详解(学习总结---从入门到深化)
目录
Shiro认证_散列算法
散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,适 合于对密码进行加密。比如密码 admin ,产生的散列值是 21232f297a57a5a743894a0e4a801fc3 ,但在md5解密网站很容易的通过散列值 得到密码 admin 。所以在加密时我们可以加一些只有系统知道的干扰 数据,这些干扰数据称之为“盐”,并且可以进行多次加密,这样生 成的散列值相对来说更难破解。
Shiro支持的散列算法:
Md2Hash、Md5Hash、Sha1Hash、Sha256Hash、 Sha384Hash、Sha512Hash
- @SpringBootTest
- public class Md5Test {
- @Test
- public void testMd5() {
- //使用MD5加密
- Md5Hash result1 = new Md5Hash("123");
- System.out.println("md5加密后的结果:" + result1);
- //加盐后加密,加密5次
- Md5Hash result2 = new Md5Hash("123","sxt",5);
- System.out.println("md5加盐加密后的结果:" + result2);
- }
- }
接下来我们在项目中对密码进行加密:
1、修改数据库和实体类,添加盐字段,并修改数据库用户密码为加盐加密后的数据。
- @Data
- public class Users{
- private Integer uid;
- private String username;
- private String password;
- private String salt;
- }
2、修改自定义Realm
- @Component
- public class MyRealm extends AuthorizingRealm {
- @Autowired
- private UserInfoMapper userInfoMapper;
- // 自定义认证方法
- @Override
- protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
- // 1.获取用户输入的用户名
- UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
- String username = token.getUsername();
- // 2.根据用户名查询用户
- QueryWrapper
wrapper = new QueryWrapper ().eq("username",username); - Users users = usersMapper.selectOne(wrapper);
- // 3.将查询到的用户封装为认证信息
- if (users == null) {
- throw new UnknownAccountException("账户不存在");
- }
- /**
- * 参数1:用户
- * 参数2:密码
- * 参数3:盐
- * 参数4:Realm名
- */
- return new SimpleAuthenticationInfo(users,
- users.getPassword(),
- ByteSource.Util.bytes(users.getSalt()),
- "myRealm");
- }
- // 自定义授权方法
- @Override
- protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
- return null;
- }
- }
3、在注册自定义Realm时添加加密算法
- // 配置加密算法
- @Bean
- public HashedCredentialsMatcher hashedCredentialsMatcher(){
- HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
- //加密算法
- hashedCredentialsMatcher.setHashAlgorithmName("md5");
- //加密的次数
- hashedCredentialsMatcher.setHashIterations(5);
- return hashedCredentialsMatcher;
- }
- // Realm
- @Bean
- public MyRealm getMyRealm(HashedCredentialsMatcher hashedCredentialsMatcher) {
- MyRealm myRealm = new MyRealm();
- // 设置加密算法
- myRealm.setCredentialsMatcher(hashedCredentialsMatcher);
- return myRealm;
- }
4、启动项目,访问登录页http://localhost/login,测试登录功能。
Shiro认证_过滤器
在以上案例中,虽然有认证功能,但即使没有登录也可以访问系统 资源。如果要配置认证后才能访问资源,就需要使用过滤器拦截请 求。Shiro内置了很多过滤器:
过滤器工厂配置过滤器链:
- // 配置过滤器
- @Bean
- public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){
- // 1.创建过滤器工厂
- ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean();
- // 2.过滤器工厂设置SecurityManager
- filterFactory.setSecurityManager(securityManager);
- // 3.设置shiro的拦截规则
- Map
- // 不拦截的资源
- filterMap.put("/login.html","anon");
- filterMap.put("/fail.html","anon");
- filterMap.put("/user/login","anon");
- filterMap.put("/css/**","anon");
- // 其余资源都需要用户认证
- filterMap.put("/**","authc");
- // 4.将拦截规则设置给过滤器工厂
- filterFactory.setFilterChainDefinitionMap(filterMap);
- // 5.登录页面
- filterFactory.setLoginUrl("/login.html");
- return filterFactory;
- }
Shiro认证_获取认证数据
用户认证通过后,有时我们需要获取用户信息,比如在网站顶部显 示:欢迎您,XXX。获取用户信息的写法如下:
- @RequestMapping("/user/getUsername")
- @ResponseBody
- public String getUsername(){
- Subject subject = SecurityUtils.getSubject();
- // 获取认证数据
- Users users = (Users)subject.getPrincipal();
- return users.getUsername();
- }
Shiro认证_Shiro会话
Shiro提供了完整的企业级会话管理功能,不依赖于Web容器,不管 JavaSE还是JavaEE环境都可以使用。
- // 使用Shiro提供的会话对象
- @RequestMapping("/user/session")
- @ResponseBody
- public void session(){
- // 1.获取Subject
- Subject subject = SecurityUtils.getSubject();
- // 2.获取会话
- Session session = subject.getSession();
- // 会话id
- System.out.println("会话id:"+session.getId());
- // 会话的主机地址
- System.out.println("会话的主机地址:"+session.getHost());
- // 设置会话过期时间
- session.setTimeout(1000*10);
- // 获取会话过期时间
- System.out.println("会话过期时间:"+session.getTimeout());
- // 会话开始时间
- System.out.println("会话开始时间:"+session.getStartTimestamp());
- // 会话最后访问时间
- System.out.println("会话最后访问时间:"+session.getLastAccessTime());
- // 会话设置数据
- session.setAttribute("name","百战不败");
- }
- @RequestMapping("/user/getSession")
- @ResponseBody
- public void getSession(){
- Subject subject = SecurityUtils.getSubject();
- Session session = subject.getSession();
- System.out.println(session.getAttribute("name"));
- }
Shiro认证_会话管理器
Shiro中提供了会话管理器,可以对会话对象进行配置和监听,用法如下:
1、创建会话监听器
- @Component
- public class MySessionListener implements SessionListener {
- //会话创建时触发
- @Override
- public void onStart(Session session) {
- System.out.println("会话创建:" + session.getId());
- }
- //会话过期时触发
- @Override
- public void onExpiration(Session session) {
- System.out.println("会话过期:" + session.getId());
- }
- //退出/会话过期时触发
- @Override
- public void onStop(Session session) {
- System.out.println("会话停止:" + session.getId());
- }
- }
2、在会话管理器中配置会话监听器
- // 会话管理器
- @Bean
- public SessionManager
- sessionManager(MySessionListener sessionListener) {
- // 创建会话管理器
- DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
- // 创建会话监听器集合
- List
listeners = new ArrayList(); - listeners.add(sessionListener);
- // 将监听器集合设置到会话管理器中
- sessionManager.setSessionListeners(listeners);
- // 全局会话超时时间(单位毫秒),默认30分钟,设置为5秒
- sessionManager.setGlobalSessionTimeout(5*1000);
- // 是否开启删除无效的session对象,默认为true
- sessionManager.setDeleteInvalidSessions(true);
- // 是否开启定时调度器进行检测过期session,默认为true
- sessionManager.setSessionValidationSchedulerEnabled(true);
- return sessionManager;
- }
3、在SecurityManager中配置会话管理器
- @Bean
- public DefaultWebSecurityManager securityManager(MyRealm myRealm,MyRealm2
- myRealm2,SessionManager sessionManager){
- DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
- // 自定义Realm放入SecurityManager中
- // securityManager.setRealm(myRealm);
- // 设置Realm管理者(需要设置在Realm之前)
- securityManager.setAuthenticator(modularRealmAuthenticator());
- List
realms = new ArrayList(); - realms.add(myRealm);
- //realms.add(myRealm2);
- securityManager.setRealms(realms);
- securityManager.setSessionManager(sessionManager);
- return securityManager;
- }
Shiro认证_退出登录
在系统中一般都有退出登录的操作。退出登录后Shiro会销毁会话和 认证数据。在Shrio中,退出登录的写法如下:
1、编写退出登录控制器
- @RequestMapping("/user/logout")
- public String logout(){
- Subject subject = SecurityUtils.getSubject();
- // 退出登录
- subject.logout();
- // 退出后跳转到登录页
- return "redirect:/login";
- }
2、在主页面添加退出登录按钮
- html>
- <html>
- <head>
- <meta charset="UTF-8">
- <title>主页面title>
- head>
- <body>
- <h1>主页面h1>
- <h2><a href="/user/logout">退出登录a>h2>
- body>
- html>
Shiro认证_Remember Me
Remember Me为“记住我”功能,即登录成功后,下次访问系统时无 需重新登录。当使用“记住我”功能登录后,Shiro会在浏览器Cookie 中保存序列化后的认证数据。之后浏览器访问项目时会携带该 Cookie数据,这样不登录也可以完成认证。
当然,为了安全起见,并不是所有资源都可以通过“记住我”访问。 比如在电商系统中,查询商品等操作可以不登录,但是支付时往往 需要重新登录,Shiro支持配置什么资源可以通过“记住我”访问。
实现“记住我”功能的写法如下:
1、序列化所有实体类
- @Data
- public class Users implements Serializable
- {
- private Integer uid;
- private String username;
- private String password;
- private String salt;
- }
2、配置Cookie生成器和记住我管理器
- // Cookie生成器
- @Bean
- public SimpleCookie simpleCookie() {
- SimpleCookie simpleCookie = new SimpleCookie("rememberMe");
- // Cookie有效时间,单位:秒
- simpleCookie.setMaxAge(20);
- return simpleCookie;
- }
- // 记住我管理器
- @Bean
- public CookieRememberMeManager cookieRememberMeManager(SimpleCookie simpleCookie) {
- CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
- // Cookie生成器
- cookieRememberMeManager.setCookie(simpleCookie);
- // Cookie加密的密钥
- cookieRememberMeManager.setCipherKey(Base64.decode("6ZmI6I2j3Y+R1aSn5BOlAA=="));
- return cookieRememberMeManager;
- }
- @Bean
- public DefaultWebSecurityManager securityManager(MyRealm myRealm,
- MyRealm2 myRealm2,SessionManager sessionManager,
- CookieRememberMeManager rememberMeManager){
- DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
- // 自定义Realm放入SecurityManager中
- // securityManager.setRealm(myRealm);
- // 设置Realm管理者(需要设置在Realm之前)
- securityManager.setAuthenticator(modularRealmAuthenticator());
- List
realms = new ArrayList(); - realms.add(myRealm);
- //realms.add(myRealm2);
- securityManager.setRealms(realms);
- securityManager.setSessionManager(sessionManager);
- securityManager.setRememberMeManager(rememberMeManager);
- return securityManager;
- }
3、修改登录表单
- <form class="form" action="/user/login" method="post">
- <input type="text" placeholder="用户名" name="username">
- <input type="password" placeholder="密码" name="password">
- <input type="checkbox" name="rememberMe" value="on">记住我<br>
- <button type="submit" id="loginbutton">登录button>
- form>
4、修改登录控制器
- @RequestMapping("/user/login")
- public String login(String username,String password,String rememberMe) {
- try {
- usersService.userLogin(username,password,rememberMe);
- return "main";
- } catch (DisabledAccountException e) {
- System.out.println("账户失效");
- return "fail";
- } catch (ConcurrentAccessException e){
- System.out.println("竞争次数过多");
- return "fail";
- } catch (ExcessiveAttemptsException e){
- System.out.println("尝试次数过多");
- return "fail";
- } catch (UnknownAccountException e) {
- System.out.println("用户名不正确");
- return "fail";
- } catch (IncorrectCredentialsException e) {
- System.out.println("密码不正确");
- return "fail";
- } catch (ExpiredCredentialsException e) {
- System.out.println("凭证过期");
- return "fail";
- }
- }
5、修改登录Service
- @Service
- public class UsersService {
- @Autowired
- private DefaultWebSecurityManager securityManager;
- public void userLogin(String username,String password,String rememberMe) throws AuthenticationException
- {
- SecurityUtils.setSecurityManager(securityManager);
- Subject subject = SecurityUtils.getSubject();
- UsernamePasswordToken token=new UsernamePasswordToken(username,password);
- if (rememberMe != null){
- // 如果用户选择记住我,则生成记住我Cookie
- token.setRememberMe(true);
- }
- subject.login(token);
- }
- }
6、配置过滤器,配置可以通过“记住我”访问的资源。
- @Bean
- public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){
- // 1.创建过滤器工厂
- ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean();
- // 2.过滤器工厂设置SecurityManager
- filterFactory.setSecurityManager(securityManager);
- // 3.设置shiro的拦截规则
- Map
- // 不拦截的资源
- filterMap.put("/login.html","anon");
- filterMap.put("/fail.html","anon");
- filterMap.put("/user/login","anon");
- filterMap.put("/static/**","anon");
- // 其余资源都需要认证,authc过滤器表示需要认证才能进行访问;
- //user过滤器表示配置记住我或认证都可以访问
- //filterMap.put("/**","authc");
- filterMap.put("/user/pay","authc");
- filterMap.put("/**", "user");
- // 4.将拦截规则设置给过滤器工厂
- filterFactory.setFilterChainDefinitionMap(filterMap);
- // 5.登录页面
- filterFactory.setLoginUrl("/login.html");
- return filterFactory;
- }
7、编写支付控制器
- // 支付
- @RequestMapping("/user/pay")
- @ResponseBody
- public String pay(){
- return "支付功能";
- }
-
相关阅读:
LeetCode 练习——剑指 Offer 66. 构建乘积数组
2014年3月13日 Go生态洞察:并发模式与管道取消技术
如何使用 Terraform 和 Git 分支有效管理多环境?
LeetCode·376.摆动序列·贪心·动态规划
【SpringBoot】整合第三方技术
安装anaconda时控制台conda-version报错
标志寄存器
Java方法的使用
视频号视频怎么保存?教你三种方法
专业课140+总分420+东南大学920专业综合考研,信息学院通信专业考研分享
- 原文地址:https://blog.csdn.net/m0_58719994/article/details/131670807
