Shiro【散列算法、过滤器 、Shiro会话、会话管理器、权限表设计】(三)-全面详解(学习总结---从入门到深化)

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: Shiro【散列算法、过滤器 、Shiro会话、会话管理器、权限表设计】(三)-全面详解(学习总结---从入门到深化)

Shiro认证_散列算法


散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,适 合于对密码进行加密。比如密码 admin ,产生的散列值是 21232f297a57a5a743894a0e4a801fc3 ,但在md5解密网站很容易的通过散列值 得到密码 admin 。所以在加密时我们可以加一些只有系统知道的干扰 数据,这些干扰数据称之为“盐”,并且可以进行多次加密,这样生 成的散列值相对来说更难破解。


Shiro支持的散列算法:

Md2Hash、Md5Hash、Sha1Hash、Sha256Hash、 Sha384Hash、Sha512Hash

@SpringBootTest
public class Md5Test {
    @Test
    public void testMd5() {
        //使用MD5加密
        Md5Hash result1 = new Md5Hash("123");
        System.out.println("md5加密后的结果:" + result1);
        //加盐后加密,加密5次
        Md5Hash result2 = new Md5Hash("123","sxt",5);
        System.out.println("md5加盐加密后的结果:" + result2);
   }
}


接下来我们在项目中对密码进行加密:


1、修改数据库和实体类,添加盐字段,并修改数据库用户密码为加盐加密后的数据。

@Data
public class Users{
    private Integer uid;
    private String username;
    private String password;
    private String salt;
}


2、修改自定义Realm

@Component
public class MyRealm extends AuthorizingRealm {
    @Autowired
    private UserInfoMapper userInfoMapper;
    // 自定义认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 1.获取用户输入的用户名
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username = token.getUsername();
        // 2.根据用户名查询用户
        QueryWrapper<Users> wrapper = new QueryWrapper<Users>().eq("username",username);
        Users users = usersMapper.selectOne(wrapper);
        // 3.将查询到的用户封装为认证信息
        if (users == null) {
            throw new UnknownAccountException("账户不存在");
       }
        /**
         * 参数1:用户
         * 参数2:密码
         * 参数3:盐
         * 参数4:Realm名
         */
        return new SimpleAuthenticationInfo(users,
                users.getPassword(),
                ByteSource.Util.bytes(users.getSalt()),
                "myRealm");
   }
    // 自定义授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
   }
}


3、在注册自定义Realm时添加加密算法

// 配置加密算法
@Bean
public HashedCredentialsMatcher hashedCredentialsMatcher(){
    HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
  //加密算法
  hashedCredentialsMatcher.setHashAlgorithmName("md5");
    //加密的次数
  hashedCredentialsMatcher.setHashIterations(5);
    return hashedCredentialsMatcher;
}
// Realm
@Bean
public MyRealm getMyRealm(HashedCredentialsMatcher hashedCredentialsMatcher) {
    MyRealm myRealm = new MyRealm();
   // 设置加密算法
   myRealm.setCredentialsMatcher(hashedCredentialsMatcher);
    return myRealm;
}


4、启动项目,访问登录页http://localhost/login,测试登录功能。


Shiro认证_过滤器



在以上案例中,虽然有认证功能,但即使没有登录也可以访问系统 资源。如果要配置认证后才能访问资源,就需要使用过滤器拦截请 求。Shiro内置了很多过滤器:


过滤器工厂配置过滤器链:

// 配置过滤器
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){
    // 1.创建过滤器工厂
    ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean();
    // 2.过滤器工厂设置SecurityManager
    filterFactory.setSecurityManager(securityManager);
    // 3.设置shiro的拦截规则
    Map<String,String> filterMap=new HashMap<>();
    // 不拦截的资源
    filterMap.put("/login.html","anon");
    filterMap.put("/fail.html","anon");
    filterMap.put("/user/login","anon");
    filterMap.put("/css/**","anon");
    // 其余资源都需要用户认证
    filterMap.put("/**","authc");
   // 4.将拦截规则设置给过滤器工厂
    filterFactory.setFilterChainDefinitionMap(filterMap);
    // 5.登录页面
    filterFactory.setLoginUrl("/login.html");
    return filterFactory;
}


Shiro认证_获取认证数据



用户认证通过后,有时我们需要获取用户信息,比如在网站顶部显 示:欢迎您,XXX。获取用户信息的写法如下:

@RequestMapping("/user/getUsername")
@ResponseBody
public String getUsername(){
    Subject subject = SecurityUtils.getSubject();
    // 获取认证数据
    Users users = (Users)subject.getPrincipal();
    return users.getUsername();
}


Shiro认证_Shiro会话



Shiro提供了完整的企业级会话管理功能,不依赖于Web容器,不管 JavaSE还是JavaEE环境都可以使用。

// 使用Shiro提供的会话对象
@RequestMapping("/user/session")
@ResponseBody
public void session(){
    // 1.获取Subject
    Subject subject = SecurityUtils.getSubject();
    // 2.获取会话
    Session session = subject.getSession();
    // 会话id
    System.out.println("会话id:"+session.getId());
    // 会话的主机地址
    System.out.println("会话的主机地址:"+session.getHost());
    // 设置会话过期时间
    session.setTimeout(1000*10);
    // 获取会话过期时间
    System.out.println("会话过期时间:"+session.getTimeout());
    // 会话开始时间
    System.out.println("会话开始时间:"+session.getStartTimestamp());
    // 会话最后访问时间
    System.out.println("会话最后访问时间:"+session.getLastAccessTime());
    // 会话设置数据
    session.setAttribute("name","百战不败");
}
@RequestMapping("/user/getSession")
@ResponseBody
public void getSession(){
    Subject subject = SecurityUtils.getSubject();
    Session session = subject.getSession();
    System.out.println(session.getAttribute("name"));
}


Shiro认证_会话管理器


Shiro中提供了会话管理器,可以对会话对象进行配置和监听,用法如下:


1、创建会话监听器

@Component
public class MySessionListener implements SessionListener {
    //会话创建时触发
    @Override
    public void onStart(Session session) {
        System.out.println("会话创建:" + session.getId());
   }
    //会话过期时触发
    @Override
    public void onExpiration(Session session) {
        System.out.println("会话过期:" + session.getId());
   }
    //退出/会话过期时触发
    @Override
    public void onStop(Session session) {
       System.out.println("会话停止:" + session.getId());
   }
}


2、在会话管理器中配置会话监听器

// 会话管理器
@Bean
public SessionManager
sessionManager(MySessionListener sessionListener) {
    // 创建会话管理器
    DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
    // 创建会话监听器集合
    List<SessionListener> listeners = new ArrayList();
    listeners.add(sessionListener);
    // 将监听器集合设置到会话管理器中
    sessionManager.setSessionListeners(listeners);
    // 全局会话超时时间(单位毫秒),默认30分钟,设置为5秒
    sessionManager.setGlobalSessionTimeout(5*1000);
    // 是否开启删除无效的session对象,默认为true
    sessionManager.setDeleteInvalidSessions(true);
    // 是否开启定时调度器进行检测过期session,默认为true
    sessionManager.setSessionValidationSchedulerEnabled(true);
    return sessionManager;
}


3、在SecurityManager中配置会话管理器

@Bean
public DefaultWebSecurityManager securityManager(MyRealm myRealm,MyRealm2
myRealm2,SessionManager sessionManager){
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    // 自定义Realm放入SecurityManager中
    // securityManager.setRealm(myRealm);
    // 设置Realm管理者(需要设置在Realm之前)
    securityManager.setAuthenticator(modularRealmAuthenticator());
    List<Realm> realms = new ArrayList();
    realms.add(myRealm);
    //realms.add(myRealm2);
    securityManager.setRealms(realms);
    securityManager.setSessionManager(sessionManager);
    return securityManager;
}


Shiro认证_退出登录


在系统中一般都有退出登录的操作。退出登录后Shiro会销毁会话和 认证数据。在Shrio中,退出登录的写法如下:


1、编写退出登录控制器

@RequestMapping("/user/logout")
public String logout(){
    Subject subject = SecurityUtils.getSubject();
    // 退出登录
    subject.logout();
    // 退出后跳转到登录页
    return "redirect:/login";
}


2、在主页面添加退出登录按钮

<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <title>主页面</title>
</head>
<body>
  <h1>主页面</h1>
  <h2><a href="/user/logout">退出登录</a></h2>
</body>
</html>


Shiro认证_Remember Me


Remember Me为“记住我”功能,即登录成功后,下次访问系统时无 需重新登录。当使用“记住我”功能登录后,Shiro会在浏览器Cookie 中保存序列化后的认证数据。之后浏览器访问项目时会携带该 Cookie数据,这样不登录也可以完成认证。


当然,为了安全起见,并不是所有资源都可以通过“记住我”访问。 比如在电商系统中,查询商品等操作可以不登录,但是支付时往往 需要重新登录,Shiro支持配置什么资源可以通过“记住我”访问。


实现“记住我”功能的写法如下:


1、序列化所有实体类

@Data
public class Users implements Serializable
{
    private Integer uid;
    private String username;
    private String password;
    private String salt;
}


2、配置Cookie生成器和记住我管理器

// Cookie生成器
@Bean
public SimpleCookie simpleCookie() {
    SimpleCookie simpleCookie = new SimpleCookie("rememberMe");
    // Cookie有效时间,单位:秒
    simpleCookie.setMaxAge(20);
    return simpleCookie;
}
// 记住我管理器
@Bean
public CookieRememberMeManager cookieRememberMeManager(SimpleCookie simpleCookie) {
    CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
    // Cookie生成器
    cookieRememberMeManager.setCookie(simpleCookie);
    // Cookie加密的密钥
    cookieRememberMeManager.setCipherKey(Base64.decode("6ZmI6I2j3Y+R1aSn5BOlAA=="));
    return cookieRememberMeManager;
}
@Bean
public DefaultWebSecurityManager securityManager(MyRealm myRealm,
      MyRealm2 myRealm2,SessionManager sessionManager,
     CookieRememberMeManager rememberMeManager){
     DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    // 自定义Realm放入SecurityManager中
    // securityManager.setRealm(myRealm);
    // 设置Realm管理者(需要设置在Realm之前)
    securityManager.setAuthenticator(modularRealmAuthenticator());
    List<Realm> realms = new ArrayList();
    realms.add(myRealm);
    //realms.add(myRealm2);
    securityManager.setRealms(realms);
    securityManager.setSessionManager(sessionManager);
    securityManager.setRememberMeManager(rememberMeManager);
    return securityManager;
}


3、修改登录表单

<form class="form" action="/user/login" method="post">
    <input type="text" placeholder="用户名" name="username">
    <input type="password" placeholder="密码" name="password">
    <input type="checkbox" name="rememberMe" value="on">记住我<br>
    <button type="submit" id="loginbutton">登录</button>
</form>


4、修改登录控制器

@RequestMapping("/user/login")
public String login(String username,String password,String rememberMe) {
    try {
        usersService.userLogin(username,password,rememberMe);
        return "main";
   } catch (DisabledAccountException e) {
        System.out.println("账户失效");
        return "fail";
   } catch (ConcurrentAccessException e){
        System.out.println("竞争次数过多");
        return "fail";
   } catch (ExcessiveAttemptsException e){
        System.out.println("尝试次数过多");
        return "fail";
   } catch (UnknownAccountException e) {
        System.out.println("用户名不正确");
        return "fail";
   } catch (IncorrectCredentialsException e) {
        System.out.println("密码不正确");
        return "fail";
   } catch (ExpiredCredentialsException e) {
        System.out.println("凭证过期");
        return "fail";
   }
}


5、修改登录Service

@Service
public class UsersService {
    @Autowired
    private DefaultWebSecurityManager securityManager;
    public void userLogin(String username,String password,String rememberMe) throws AuthenticationException
{
      SecurityUtils.setSecurityManager(securityManager);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token=new UsernamePasswordToken(username,password);
        if (rememberMe != null){
       // 如果用户选择记住我,则生成记住我Cookie
            token.setRememberMe(true);
       }
        subject.login(token);
   }
}


6、配置过滤器,配置可以通过“记住我”访问的资源。

@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){
    // 1.创建过滤器工厂
    ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean();
    // 2.过滤器工厂设置SecurityManager
    filterFactory.setSecurityManager(securityManager);
    // 3.设置shiro的拦截规则
    Map<String,String> filterMap=new HashMap<>();
    // 不拦截的资源
    filterMap.put("/login.html","anon");
    filterMap.put("/fail.html","anon");
    filterMap.put("/user/login","anon");
    filterMap.put("/static/**","anon");
    // 其余资源都需要认证,authc过滤器表示需要认证才能进行访问; 
    //user过滤器表示配置记住我或认证都可以访问
    //filterMap.put("/**","authc");
    filterMap.put("/user/pay","authc");
    filterMap.put("/**", "user");
    // 4.将拦截规则设置给过滤器工厂
    filterFactory.setFilterChainDefinitionMap(filterMap);
    // 5.登录页面
    filterFactory.setLoginUrl("/login.html");
    return filterFactory;
}


7、编写支付控制器

// 支付
@RequestMapping("/user/pay")
@ResponseBody
public String pay(){
    return "支付功能";
}
目录
相关文章
|
28天前
|
存储 算法 安全
2024重生之回溯数据结构与算法系列学习之串(12)【无论是王道考研人还是IKUN都能包会的;不然别给我家鸽鸽丟脸好嘛?】
数据结构与算法系列学习之串的定义和基本操作、串的储存结构、基本操作的实现、朴素模式匹配算法、KMP算法等代码举例及图解说明;【含常见的报错问题及其对应的解决方法】你个小黑子;这都学不会;能不能不要给我家鸽鸽丢脸啊~除了会黑我家鸽鸽还会干嘛?!!!
2024重生之回溯数据结构与算法系列学习之串(12)【无论是王道考研人还是IKUN都能包会的;不然别给我家鸽鸽丟脸好嘛?】
|
24天前
|
机器学习/深度学习 人工智能 自然语言处理
【EMNLP2024】基于多轮课程学习的大语言模型蒸馏算法 TAPIR
阿里云人工智能平台 PAI 与复旦大学王鹏教授团队合作,在自然语言处理顶级会议 EMNLP 2024 上发表论文《Distilling Instruction-following Abilities of Large Language Models with Task-aware Curriculum Planning》。
|
28天前
|
算法 安全 搜索推荐
2024重生之回溯数据结构与算法系列学习(8)【无论是王道考研人还是IKUN都能包会的;不然别给我家鸽鸽丢脸好嘛?】
数据结构王道第2.3章之IKUN和I原达人之数据结构与算法系列学习x单双链表精题详解、数据结构、C++、排序算法、java、动态规划你个小黑子;这都学不会;能不能不要给我家鸽鸽丢脸啊~除了会黑我家鸽鸽还会干嘛?!!!
|
28天前
|
存储 算法 安全
2024重生之回溯数据结构与算法系列学习之顺序表【无论是王道考研人还真爱粉都能包会的;不然别给我家鸽鸽丢脸好嘛?】
顺序表的定义和基本操作之插入;删除;按值查找;按位查找等具体详解步骤以及举例说明
|
28天前
|
算法 安全 搜索推荐
2024重生之回溯数据结构与算法系列学习之单双链表精题详解(9)【无论是王道考研人还是IKUN都能包会的;不然别给我家鸽鸽丢脸好嘛?】
数据结构王道第2.3章之IKUN和I原达人之数据结构与算法系列学习x单双链表精题详解、数据结构、C++、排序算法、java、动态规划你个小黑子;这都学不会;能不能不要给我家鸽鸽丢脸啊~除了会黑我家鸽鸽还会干嘛?!!!
|
28天前
|
存储 Web App开发 算法
2024重生之回溯数据结构与算法系列学习之单双链表【无论是王道考研人还是IKUN都能包会的;不然别给我家鸽鸽丢脸好嘛?】
数据结构之单双链表按位、值查找;[前后]插入;删除指定节点;求表长、静态链表等代码及具体思路详解步骤;举例说明、注意点及常见报错问题所对应的解决方法
|
28天前
|
算法 安全 NoSQL
2024重生之回溯数据结构与算法系列学习之栈和队列精题汇总(10)【无论是王道考研人还是IKUN都能包会的;不然别给我家鸽鸽丢脸好嘛?】
数据结构王道第3章之IKUN和I原达人之数据结构与算法系列学习栈与队列精题详解、数据结构、C++、排序算法、java、动态规划你个小黑子;这都学不会;能不能不要给我家鸽鸽丢脸啊~除了会黑我家鸽鸽还会干嘛?!!!
|
28天前
|
算法 安全 NoSQL
2024重生之回溯数据结构与算法系列学习之顺序表习题精讲【无论是王道考研人还真爱粉都能包会的;不然别给我家鸽鸽丢脸好嘛?】
顺序表的定义和基本操作之插入;删除;按值查找;按位查找习题精讲等具体详解步骤以及举例说明
|
28天前
|
存储 算法 安全
2024重生之回溯数据结构与算法系列学习【无论是王道考研人还真爱粉都能包会的;不然别给我家鸽鸽丢脸好嘛?】
数据结构的基本概念;算法的基本概念、特性以及时间复杂度、空间复杂度等举例说明;【含常见的报错问题及其对应的解决方法】
|
28天前
|
算法 安全 搜索推荐
2024重生之回溯数据结构与算法系列学习之王道第2.3章节之线性表精题汇总二(5)【无论是王道考研人还是IKUN都能包会的;不然别给我家鸽鸽丢脸好嘛?】
IKU达人之数据结构与算法系列学习×单双链表精题详解、数据结构、C++、排序算法、java 、动态规划 你个小黑子;这都学不会;能不能不要给我家鸽鸽丢脸啊~除了会黑我家鸽鸽还会干嘛?!!!