• 你有多了解Shiro认证-SSM?

    目录

     一,盐加密

    前言

            1.1 发展史

            1.2 pom依赖

            1.3 web.xml配置

            1.4 测试

    在线加密工具:https://www.cmd5.com/

     二,shiro认证

            2.1 完成登陆的方法 Mapper层的编写 接着biz层

            2.2 完成自定义realm(重点)

            3 Spring与shiro的整合(注意)

            4.applicationContext-shiro.xml

            5 测试

     一,盐加密

    前言

    在面对这个网络世界的时候,密码安全总是各个公司和用户都非常关心的一个内容,毕竟现在大家不管是休闲娱乐还是学习购物都是通过网上的帐号来进行消费的,所以我们通常会给用户的密码进行加密。在加密的时候,经常会听到“加盐”这个词,这是什么意思呢?

    我们通常会将用户的密码进行 Hash 加密,如果不加盐,即使是两层的 md5 都有可能通过彩虹表的方式进行破译。彩虹表就是在网上搜集的各种字符组合的 Hash 加密结果。而加盐,就是人为的通过一组随机字符与用户原密码的组合形成一个新的字符,从而增加破译的难度。就像做饭一样,加点盐味道会更好。

            1.1 发展史

    数据库密码的发展史
    第一个阶段:明文密码
    第二个阶段:md5加密 
    第三个阶段:md5加盐加密
    第四个阶段:md5加盐加密加次数

    由于明文密码泄露出去后很容易会造成不好的影响,没有保密性,所以就有了之后的各种加密方式 本期我们使用的是md5加盐加密加次数的加密方式

            1.2 pom依赖

    2.     <groupId>org.apache.shirogroupId>
    3.     <artifactId>shiro-coreartifactId>
    4.     <version>1.3.2version>
    6.  
    7. <dependency>
    8.     <groupId>org.apache.shirogroupId>
    9.     <artifactId>shiro-webartifactId>
    10.     <version>1.3.2version>
    11. dependency>
    12.  
    13. <dependency>
    14.     <groupId>org.apache.shirogroupId>
    15.     <artifactId>shiro-springartifactId>
    16.     <version>1.3.2version>
    17. dependency>

            1.3 web.xml配置

    2. <filter>
    3.   <filter-name>shiroFilterfilter-name>
    4.   <filter-class>org.springframework.web.filter.DelegatingFilterProxyfilter-class>
    5.   <init-param>
    6.     
    7.     <param-name>targetFilterLifecycleparam-name>
    8.     <param-value>trueparam-value>
    9.   init-param>
    10. filter>
    11. <filter-mapping>
    12.   <filter-name>shiroFilterfilter-name>
    13.   <url-pattern>/*url-pattern>
    14. filter-mapping>

    1.4 测试

    导入一个测试类 PasswordHelper

    1. package com.ljj.shiro;
    2.  
    3.  
    4. import org.apache.shiro.crypto.RandomNumberGenerator;
    5. import org.apache.shiro.crypto.SecureRandomNumberGenerator;
    6. import org.apache.shiro.crypto.hash.SimpleHash;
    7.  
    8. /**
    9.  * 用于shiro权限认证的密码工具类
    10.  */
    11. public class PasswordHelper {
    12.  
    13.     /**
    14.      * 随机数生成器
    15.      */
    16.     private static RandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator();
    17.  
    18.     /**
    19.      * 指定hash算法为MD5
    20.      */
    21.     private static final String hashAlgorithmName = "md5";
    22.  
    23.     /**
    24.      * 指定散列次数为1024次,即加密1024次
    25.      */
    26.     private static final int hashIterations = 1024;
    27.  
    28.     /**
    29.      * true指定Hash散列值使用Hex加密存. false表明hash散列值用用Base64-encoded存储
    30.      */
    31.     private static final boolean storedCredentialsHexEncoded = true;
    32.  
    33.     /**
    34.      * 获得加密用的盐
    35.      *
    36.      * @return
    37.      */
    38.     public static String createSalt() {
    39.         return randomNumberGenerator.nextBytes().toHex();
    40.     }
    41.  
    42.     /**
    43.      * 获得加密后的凭证
    44.      *
    45.      * @param credentials 凭证(即密码)
    46.      * @param salt        盐
    47.      * @return
    48.      */
    49.     public static String createCredentials(String credentials, String salt) {
    50.         SimpleHash simpleHash = new SimpleHash(hashAlgorithmName, credentials,
    51.                 salt, hashIterations);
    52.         return storedCredentialsHexEncoded ? simpleHash.toHex() : simpleHash.toBase64();
    53.     }
    54.  
    55.  
    56.     /**
    57.      * 进行密码验证
    58.      *
    59.      * @param credentials        未加密的密码
    60.      * @param salt               盐
    61.      * @param encryptCredentials 加密后的密码
    62.      * @return
    63.      */
    64.     public static boolean checkCredentials(String credentials, String salt, String encryptCredentials) {
    65.         return encryptCredentials.equals(createCredentials(credentials, salt));
    66.     }
    67.  
    68.     public static void main(String[] args) {
    69.         //盐
    70.         String salt = createSalt();
    71.         System.out.println(salt);
    72.         System.out.println(salt.length());
    73.         //凭证+盐加密后得到的密码
    74.         String credentials = createCredentials("123456", salt);
    75.         System.out.println(credentials);
    76.         System.out.println(credentials.length());
    77.         boolean b = checkCredentials("123456", salt, credentials);
    78.         System.out.println(b);
    79.     }
    80. }

    测试结果:

    结果解析:

    测试方法中的原密码:123456
    随机获得的盐:b837c1697d811401c6ecb857083fa7b8 
    长度:32
    加密后的密码:    ba73e39bee3b55f925f57e6c4e3cb577
    长度 32
    与原密码匹配是否成功:    true 

    在线加密工具:https://www.cmd5.com/

     二,shiro认证

            上一期我们的数据为定死的死数据,这次我们使用数据库数据

            

            2.1 完成登陆的方法 Mapper层的编写 接着biz层

            使用前端代码自动生成器

    2.         <table schema="" tableName="t_shiro_permission" domainObjectName="Permission"
    3.                enableCountByExample="false" enableDeleteByExample="false"
    4.                enableSelectByExample="false" enableUpdateByExample="false">
    5.         table>
    7.         <table schema="" tableName="t_shiro_user" domainObjectName="User"
    8.                enableCountByExample="false" enableDeleteByExample="false"
    9.                enableSelectByExample="false" enableUpdateByExample="false">
    10.         table>
    12.         <table schema="" tableName="t_shiro_role" domainObjectName="Role"
    13.                enableCountByExample="false" enableDeleteByExample="false"
    14.                enableSelectByExample="false" enableUpdateByExample="false">
    15.         table>
    17.         <table schema="" tableName="t_shiro_user_role" domainObjectName="UserRole"
    18.                enableCountByExample="false" enableDeleteByExample="false"
    19.                enableSelectByExample="false" enableUpdateByExample="false">
    20.         table>
    22.         <table schema="" tableName="t_shiro_role_permission" domainObjectName="RolePermission"
    23.                enableCountByExample="false" enableDeleteByExample="false"
    24.                enableSelectByExample="false" enableUpdateByExample="false">
    25.         table>

       生成成功

     在UserMapper.xml中编写一个按用户账号查询的方法

    1. !--  通过用户名进行查询-->
    2.   <select id="queryUserByserName" resultType="com.ljj.ssm.model.User" parameterType="java.lang.String" >
    3.     select
    4.     <include refid="Base_Column_List" />
    5.     from t_shiro_user
    6.     where username = #{userName}
    7.   select>

    UserMapper.java

        User queryUserByserName(@Param("userName") String userName);

    Biz层:UserBiz

    1. package com.ljj.ssm.biz;
    2.  
    3. import com.ljj.ssm.model.User;
    4.  
    5. public interface UserBiz {
    6.     int deleteByPrimaryKey(Integer userid);
    7.  
    8.     int insert(User record);
    9.  
    10.     int insertSelective(User record);
    11.  
    12.     User selectByPrimaryKey(Integer userid);
    13.  
    14.     User queryUserByserName(String userName);
    15.  
    16.     int updateByPrimaryKeySelective(User record);
    17.  
    18.     int updateByPrimaryKey(User record);
    19. }

    UserBizImpl:

    1. package com.ljj.ssm.biz.impl;
    2.  
    3. import com.ljj.ssm.biz.UserBiz;
    4. import com.ljj.ssm.mapper.UserMapper;
    5. import com.ljj.ssm.model.User;
    6. import org.springframework.beans.factory.annotation.Autowired;
    7. import org.springframework.stereotype.Service;
    8.  
    9. /**
    10.  * @author ljj
    11.  * @site www.ljj.com
    12.  * @create 2022-08-25 16:54
    13.  */
    14. @Service("userBiz")
    15. public class UserBizImpl implements UserBiz {
    16.     @Autowired
    17.     private UserMapper userMapper;
    18.     @Override
    19.     public int deleteByPrimaryKey(Integer userid) {
    20.         return userMapper.deleteByPrimaryKey(userid);
    21.     }
    22.  
    23.     @Override
    24.     public int insert(User record) {
    25.         return userMapper.insert(record);
    26.     }
    27.  
    28.     @Override
    29.     public int insertSelective(User record) {
    30.         return userMapper.insertSelective(record);
    31.     }
    32.  
    33.     @Override
    34.     public User selectByPrimaryKey(Integer userid) {
    35.         return userMapper.selectByPrimaryKey(userid);
    36.     }
    37.  
    38.     @Override
    39.     public User queryUserByserName(String userName) {
    40.         return userMapper.queryUserByserName(userName);
    41.     }
    42.  
    43.     @Override
    44.     public int updateByPrimaryKeySelective(User record) {
    45.         return userMapper.updateByPrimaryKeySelective(record);
    46.     }
    47.  
    48.     @Override
    49.     public int updateByPrimaryKey(User record) {
    50.         return userMapper.updateByPrimaryKey(record);
    51.     }
    52. }

    2.2 完成自定义realm(重点)

    1. package com.ljj.ssm.shiro;
    2.  
    3. import com.ljj.ssm.biz.UserBiz;
    4. import com.ljj.ssm.model.User;
    5. import org.apache.shiro.authc.AuthenticationException;
    6. import org.apache.shiro.authc.AuthenticationInfo;
    7. import org.apache.shiro.authc.AuthenticationToken;
    8. import org.apache.shiro.authc.SimpleAuthenticationInfo;
    9. import org.apache.shiro.authz.AuthorizationInfo;
    10. import org.apache.shiro.realm.AuthorizingRealm;
    11. import org.apache.shiro.subject.PrincipalCollection;
    12. import org.apache.shiro.util.ByteSource;
    13.  
    14. /**
    15.  * @author ljj
    16.  * @site www.ljj.com
    17.  * @create 2022-08-25 17:04
    18.  */
    19. public class MyRealm extends AuthorizingRealm {
    20.  
    21.     public UserBiz userBiz;
    22.  
    23.     public UserBiz getUserBiz() {
    24.         return userBiz;
    25.     }
    26.  
    27.     public void setUserBiz(UserBiz userBiz) {
    28.         this.userBiz = userBiz;
    29.     }
    30.  
    31.     /**
    32.      * 授权
    33.      * @param principals
    34.      * @return
    35.      * 相当于上一期中shiro_web.ini
    36.      */
    37.     @Override
    38.     protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
    39.         return null;
    40.     }
    41.  
    42.     /**
    43.      * 认证
    44.      * @param token
    45.      * @return
    46.      * @throws AuthenticationException
    47.      * 相当于上一期中shiro.ini
    48.      */
    49.     @Override
    50.     protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
    51.         String userName = token.getPrincipal().toString();
    52.         User user = userBiz.queryUserByserName(userName);
    53.         AuthenticationInfo info = new SimpleAuthenticationInfo(
    54.             user.getUsername(),
    55.             user.getPassword(),
    56.                 ByteSource.Util.bytes(user.getSalt()),
    57.                 this.getName() //realm的名字
    58.         );
    59.         return info;
    60.     }
    61. }
    62.

    3 Spring与shiro的整合(注意)

    3.1 shiro在加载的时候,Spring上下文还没有加载完毕,所以@component与@autowised是不能使用的 所以此次要编写get set方法

     3.2 spring-shiro.xml文件中,MyRealm需要依赖的业务类:
        由于没有被Spring配置,所以需要指定bean的id 通过@Service("具体的名字")

    4.applicationContext-shiro.xml

    配置自定义的Realm&指定算法&Shiro核心过滤器

    1. "1.0" encoding="UTF-8"?>
    2. <beans xmlns="http://www.springframework.org/schema/beans"
    3.        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    4.        xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    5.  
    6.     
    7.     <bean id="shiroRealm" class="com.ljj.ssm.shiro.MyRealm">
    8.         <property name="userBiz" ref="userBiz" />
    9.         
    10.         
    11.         
    12.         
    13.         <property name="credentialsMatcher">
    14.             <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
    15.                 
    16.                 <property name="hashAlgorithmName" value="md5"/>
    17.                 
    18.                 <property name="hashIterations" value="1024"/>
    19.                 
    20.                 <property name="storedCredentialsHexEncoded" value="true"/>
    21.             bean>
    22.         property>
    23.     bean>
    24.  
    25.     
    26.     <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    27.         <property name="realm" ref="shiroRealm" />
    28.     bean>
    29.  
    30.     
    31.     <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    32.         
    33.         <property name="securityManager" ref="securityManager" />
    34.         
    35.         <property name="loginUrl" value="/login"/>
    36.         
    37.         
    38.         
    39.         <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
    40.         
    41.         <property name="filterChainDefinitions">
    42.             <value>
    43.                 
    44.                 
    45.                 
    46.                 
    47.                 /user/login=anon
    48.                 /user/updatePwd.jsp=authc
    49.                 /admin/*.jsp=roles[admin]
    50.                 /user/teacher.jsp=perms["user:update"]
    51.                
    52.             value>
    53.         property>
    54.     bean>
    55.  
    56.     
    57.     <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
    58. beans>

    5 测试

     测试成功

     

     结论:DoGetAuthenticationInfo认证方法是web层执行subject.ligin出发的;


      

  • 相关阅读:
    【SA8295P 源码分析 (二)】109 - QNX 如何实现显示图片到 Screen 显示屏上
    类和对象的初步介绍
    使用Oracle SQL Developer管理Oracle Database Express Edition (XE)
    AIS数据下载并处理(python)
    基于jmeter的性能全流程测试
    SpringBoot使用redis解决分页查询大量数据慢的情况
    Vue2.7 + Vite3.2 + Rollup 组件库开发指南
    连接器使用四大注意要点
    DNS(二)
    神经网络的数学原理
  • 原文地址:https://blog.csdn.net/weixin_64313980/article/details/126526522