Shiro认证_多Realm认证策略
如果有多个Realm,怎样才能认证成功,这就是认证策略。认证策 略主要使用的是 AuthenticationStrategy 接口,这个接口有三个实现类:
// Realm管理者 @Bean public ModularRealmAuthenticator modularRealmAuthenticator(){ ModularRealmAuthenticator modularRealmAuthenticator = new ModularRealmAuthenticator(); //设置认证策略 modularRealmAuthenticator.setAuthenticationStrategy(new AtLeastOneSuccessfulStrategy()); return modularRealmAuthenticator; } // SecurityManager对象 @Bean public DefaultWebSecurityManager getDefaultWebSecurityManager(MyRealm realm,MyRealm2 realm2){ DefaultWebSecurityManager defaultSecurityManager = new DefaultWebSecurityManager(); // 设置Realm管理者(需要在设置Realm之前) defaultSecurityManager.setAuthenticator(modularRealmAuthenticator()); List<Realm> realms = new ArrayList(); realms.add(realm); realms.add(realm2); defaultSecurityManager.setRealms(realms); return defaultSecurityManager; }
在 ModularRealmAuthenticator 中的 doMultiRealmAuthentication 方法中添加断点可以 查看认证通过信息。
Shiro认证_异常处理
当Shiro认证失败后,会抛出 AuthorizationException 异常。该异常的子类分 别代表不同的认证失败原因,我们可以通过捕捉它们确定认证失败原因。
1、DisabledAccountException:账户失效
2、ConcurrentAccessException:竞争次数过多
3、ExcessiveAttemptsException:尝试次数过多4、UnknownAccountException:用户名不正确5、IncorrectCredentialsException:凭证(密码)不正确6、ExpiredCredentialsException:凭证过期
我们一般在Controller中处理认证异常:
@RequestMapping("/user/login2") public String login(String username, String password) { try { usersService.userLogin(username, password); return "main"; } catch (DisabledAccountException e) { System.out.println("账户失效"); return "fail"; } catch (ConcurrentAccessException e) { System.out.println("竞争次数过多"); return "fail"; } catch (ExcessiveAttemptsException e) { System.out.println("尝试次数过多"); return "fail"; } catch (UnknownAccountException e) { System.out.println("用户名不正确"); return "fail"; } catch (IncorrectCredentialsException e) { System.out.println("密码不正确"); return "fail"; } catch (ExpiredCredentialsException e) { System.out.println("凭证过期"); return "fail"; } }
注: 如果将异常信息提示给用户,尽量把异常信息表示的婉转一 些。比如不管用户名还是密码错误,都提示用户名或密码错误,这样有助于提升代码的安全性。
Shiro认证_散列算法
散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,适 合于对密码进行加密。比如密码 admin ,产生的散列值是 21232f297a57a5a743894a0e4a801fc3 ,但在md5解密网站很容易的通过散列值 得到密码 admin 。所以在加密时我们可以加一些只有系统知道的干扰 数据,这些干扰数据称之为“盐”,并且可以进行多次加密,这样生 成的散列值相对来说更难破解。
Shiro支持的散列算法:
Md2Hash、Md5Hash、Sha1Hash、Sha256Hash、 Sha384Hash、Sha512Hash
@SpringBootTest public class Md5Test { @Test public void testMd5() { //使用MD5加密 Md5Hash result1 = new Md5Hash("123"); System.out.println("md5加密后的结果:" + result1); //加盐后加密,加密5次 Md5Hash result2 = new Md5Hash("123","sxt",5); System.out.println("md5加盐加密后的结果:" + result2); } }
接下来我们在项目中对密码进行加密:
1、修改数据库和实体类,添加盐字段,并修改数据库用户密码为加盐加密后的数据。
@Data public class Users{ private Integer uid; private String username; private String password; private String salt; }
2、修改自定义Realm
@Component public class MyRealm extends AuthorizingRealm { @Autowired private UserInfoMapper userInfoMapper; // 自定义认证方法 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { // 1.获取用户输入的用户名 UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken; String username = token.getUsername(); // 2.根据用户名查询用户 QueryWrapper<Users> wrapper = new QueryWrapper<Users>().eq("username",username); Users users = usersMapper.selectOne(wrapper); // 3.将查询到的用户封装为认证信息 if (users == null) { throw new UnknownAccountException("账户不存在"); } /** * 参数1:用户 * 参数2:密码 * 参数3:盐 * 参数4:Realm名 */ return new SimpleAuthenticationInfo(users, users.getPassword(), ByteSource.Util.bytes(users.getSalt()), "myRealm"); } // 自定义授权方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { return null; } }
3、在注册自定义Realm时添加加密算法
// 配置加密算法 @Bean public HashedCredentialsMatcher hashedCredentialsMatcher(){ HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher(); //加密算法 hashedCredentialsMatcher.setHashAlgorithmName("md5"); //加密的次数 hashedCredentialsMatcher.setHashIterations(5); return hashedCredentialsMatcher; } // Realm @Bean public MyRealm getMyRealm(HashedCredentialsMatcher hashedCredentialsMatcher) { MyRealm myRealm = new MyRealm(); // 设置加密算法 myRealm.setCredentialsMatcher(hashedCredentialsMatcher); return myRealm; }
4、启动项目,访问登录页http://localhost/login,测试登录功能。
Shiro认证_过滤器
在以上案例中,虽然有认证功能,但即使没有登录也可以访问系统 资源。如果要配置认证后才能访问资源,就需要使用过滤器拦截请 求。Shiro内置了很多过滤器:
过滤器工厂配置过滤器链:
// 配置过滤器 @Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){ // 1.创建过滤器工厂 ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean(); // 2.过滤器工厂设置SecurityManager filterFactory.setSecurityManager(securityManager); // 3.设置shiro的拦截规则 Map<String,String> filterMap=new HashMap<>(); // 不拦截的资源 filterMap.put("/login.html","anon"); filterMap.put("/fail.html","anon"); filterMap.put("/user/login","anon"); filterMap.put("/css/**","anon"); // 其余资源都需要用户认证 filterMap.put("/**","authc"); // 4.将拦截规则设置给过滤器工厂 filterFactory.setFilterChainDefinitionMap(filterMap); // 5.登录页面 filterFactory.setLoginUrl("/login.html"); return filterFactory; }
Shiro认证_获取认证数据
用户认证通过后,有时我们需要获取用户信息,比如在网站顶部显 示:欢迎您,XXX。获取用户信息的写法如下:
@RequestMapping("/user/getUsername") @ResponseBody public String getUsername(){ Subject subject = SecurityUtils.getSubject(); // 获取认证数据 Users users = (Users)subject.getPrincipal(); return users.getUsername(); }
Shiro认证_Shiro会话
Shiro提供了完整的企业级会话管理功能,不依赖于Web容器,不管 JavaSE还是JavaEE环境都可以使用。
// 使用Shiro提供的会话对象 @RequestMapping("/user/session") @ResponseBody public void session(){ // 1.获取Subject Subject subject = SecurityUtils.getSubject(); // 2.获取会话 Session session = subject.getSession(); // 会话id System.out.println("会话id:"+session.getId()); // 会话的主机地址 System.out.println("会话的主机地址:"+session.getHost()); // 设置会话过期时间 session.setTimeout(1000*10); // 获取会话过期时间 System.out.println("会话过期时间:"+session.getTimeout()); // 会话开始时间 System.out.println("会话开始时间:"+session.getStartTimestamp()); // 会话最后访问时间 System.out.println("会话最后访问时间:"+session.getLastAccessTime()); // 会话设置数据 session.setAttribute("name","百战不败"); } @RequestMapping("/user/getSession") @ResponseBody public void getSession(){ Subject subject = SecurityUtils.getSubject(); Session session = subject.getSession(); System.out.println(session.getAttribute("name")); }
Shiro认证_会话管理器
Shiro中提供了会话管理器,可以对会话对象进行配置和监听,用法如下:
1、创建会话监听器
@Component public class MySessionListener implements SessionListener { //会话创建时触发 @Override public void onStart(Session session) { System.out.println("会话创建:" + session.getId()); } //会话过期时触发 @Override public void onExpiration(Session session) { System.out.println("会话过期:" + session.getId()); } //退出/会话过期时触发 @Override public void onStop(Session session) { System.out.println("会话停止:" + session.getId()); } }
2、在会话管理器中配置会话监听器
// 会话管理器 @Bean public SessionManager sessionManager(MySessionListener sessionListener) { // 创建会话管理器 DefaultWebSessionManager sessionManager = new DefaultWebSessionManager(); // 创建会话监听器集合 List<SessionListener> listeners = new ArrayList(); listeners.add(sessionListener); // 将监听器集合设置到会话管理器中 sessionManager.setSessionListeners(listeners); // 全局会话超时时间(单位毫秒),默认30分钟,设置为5秒 sessionManager.setGlobalSessionTimeout(5*1000); // 是否开启删除无效的session对象,默认为true sessionManager.setDeleteInvalidSessions(true); // 是否开启定时调度器进行检测过期session,默认为true sessionManager.setSessionValidationSchedulerEnabled(true); return sessionManager; }
3、在SecurityManager中配置会话管理器
@Bean public DefaultWebSecurityManager securityManager(MyRealm myRealm,MyRealm2 myRealm2,SessionManager sessionManager){ DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); // 自定义Realm放入SecurityManager中 // securityManager.setRealm(myRealm); // 设置Realm管理者(需要设置在Realm之前) securityManager.setAuthenticator(modularRealmAuthenticator()); List<Realm> realms = new ArrayList(); realms.add(myRealm); //realms.add(myRealm2); securityManager.setRealms(realms); securityManager.setSessionManager(sessionManager); return securityManager; }
Shiro认证_退出登录
在系统中一般都有退出登录的操作。退出登录后Shiro会销毁会话和 认证数据。在Shrio中,退出登录的写法如下:
1、编写退出登录控制器
@RequestMapping("/user/logout") public String logout(){ Subject subject = SecurityUtils.getSubject(); // 退出登录 subject.logout(); // 退出后跳转到登录页 return "redirect:/login"; }
2、在主页面添加退出登录按钮
<!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>主页面</title> </head> <body> <h1>主页面</h1> <h2><a href="/user/logout">退出登录</a></h2> </body> </html>
Shiro认证_Remember Me
Remember Me为“记住我”功能,即登录成功后,下次访问系统时无 需重新登录。当使用“记住我”功能登录后,Shiro会在浏览器Cookie 中保存序列化后的认证数据。之后浏览器访问项目时会携带该 Cookie数据,这样不登录也可以完成认证。
当然,为了安全起见,并不是所有资源都可以通过“记住我”访问。 比如在电商系统中,查询商品等操作可以不登录,但是支付时往往 需要重新登录,Shiro支持配置什么资源可以通过“记住我”访问。
实现“记住我”功能的写法如下:
1、序列化所有实体类
@Data public class Users implements Serializable { private Integer uid; private String username; private String password; private String salt; }
2、配置Cookie生成器和记住我管理器
// Cookie生成器 @Bean public SimpleCookie simpleCookie() { SimpleCookie simpleCookie = new SimpleCookie("rememberMe"); // Cookie有效时间,单位:秒 simpleCookie.setMaxAge(20); return simpleCookie; } // 记住我管理器 @Bean public CookieRememberMeManager cookieRememberMeManager(SimpleCookie simpleCookie) { CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager(); // Cookie生成器 cookieRememberMeManager.setCookie(simpleCookie); // Cookie加密的密钥 cookieRememberMeManager.setCipherKey(Base64.decode("6ZmI6I2j3Y+R1aSn5BOlAA==")); return cookieRememberMeManager; } @Bean public DefaultWebSecurityManager securityManager(MyRealm myRealm, MyRealm2 myRealm2,SessionManager sessionManager, CookieRememberMeManager rememberMeManager){ DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); // 自定义Realm放入SecurityManager中 // securityManager.setRealm(myRealm); // 设置Realm管理者(需要设置在Realm之前) securityManager.setAuthenticator(modularRealmAuthenticator()); List<Realm> realms = new ArrayList(); realms.add(myRealm); //realms.add(myRealm2); securityManager.setRealms(realms); securityManager.setSessionManager(sessionManager); securityManager.setRememberMeManager(rememberMeManager); return securityManager; }
3、修改登录表单
<form class="form" action="/user/login" method="post"> <input type="text" placeholder="用户名" name="username"> <input type="password" placeholder="密码" name="password"> <input type="checkbox" name="rememberMe" value="on">记住我<br> <button type="submit" id="loginbutton">登录</button> </form>
4、修改登录控制器
@RequestMapping("/user/login") public String login(String username,String password,String rememberMe) { try { usersService.userLogin(username,password,rememberMe); return "main"; } catch (DisabledAccountException e) { System.out.println("账户失效"); return "fail"; } catch (ConcurrentAccessException e){ System.out.println("竞争次数过多"); return "fail"; } catch (ExcessiveAttemptsException e){ System.out.println("尝试次数过多"); return "fail"; } catch (UnknownAccountException e) { System.out.println("用户名不正确"); return "fail"; } catch (IncorrectCredentialsException e) { System.out.println("密码不正确"); return "fail"; } catch (ExpiredCredentialsException e) { System.out.println("凭证过期"); return "fail"; } }
5、修改登录Service
@Service public class UsersService { @Autowired private DefaultWebSecurityManager securityManager; public void userLogin(String username,String password,String rememberMe) throws AuthenticationException { SecurityUtils.setSecurityManager(securityManager); Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token=new UsernamePasswordToken(username,password); if (rememberMe != null){ // 如果用户选择记住我,则生成记住我Cookie token.setRememberMe(true); } subject.login(token); } }
6、配置过滤器,配置可以通过“记住我”访问的资源。
@Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){ // 1.创建过滤器工厂 ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean(); // 2.过滤器工厂设置SecurityManager filterFactory.setSecurityManager(securityManager); // 3.设置shiro的拦截规则 Map<String,String> filterMap=new HashMap<>(); // 不拦截的资源 filterMap.put("/login.html","anon"); filterMap.put("/fail.html","anon"); filterMap.put("/user/login","anon"); filterMap.put("/static/**","anon"); // 其余资源都需要认证,authc过滤器表示需要认证才能进行访问; //user过滤器表示配置记住我或认证都可以访问 //filterMap.put("/**","authc"); filterMap.put("/user/pay","authc"); filterMap.put("/**", "user"); // 4.将拦截规则设置给过滤器工厂 filterFactory.setFilterChainDefinitionMap(filterMap); // 5.登录页面 filterFactory.setLoginUrl("/login.html"); return filterFactory; }
7、编写支付控制器
// 支付 @RequestMapping("/user/pay") @ResponseBody public String pay(){ return "支付功能"; }
