Shiro【散列算法、过滤器 、Shiro会话、会话管理器、权限表设计】(三)-全面详解（学习总结---从入门到深化）

 

目录

Shiro认证_散列算法

Shiro认证_过滤器 

Shiro认证_获取认证数据

Shiro认证_Shiro会话

Shiro认证_会话管理器

Shiro认证_退出登录 

Shiro认证_Remember Me 

 Shiro授权_权限表设计

---

Shiro认证_散列算法

散列算法一般用于生成数据的摘要信息，是一种不可逆的算法，适 合于对密码进行加密。比如密码 admin ，产生的散列值是 21232f297a57a5a743894a0e4a801fc3 ，但在md5解密网站很容易的通过散列值 得到密码 admin 。所以在加密时我们可以加一些只有系统知道的干扰 数据，这些干扰数据称之为“盐”，并且可以进行多次加密，这样生 成的散列值相对来说更难破解。

 Shiro支持的散列算法：

Md2Hash、Md5Hash、Sha1Hash、Sha256Hash、 Sha384Hash、Sha512Hash

@SpringBootTest
public class Md5Test {
    @Test
    public void testMd5() {
        //使用MD5加密
        Md5Hash result1 = new Md5Hash("123");
        System.out.println("md5加密后的结果：" + result1);
        //加盐后加密,加密5次
        Md5Hash result2 = new Md5Hash("123","sxt",5);
        System.out.println("md5加盐加密后的结果：" + result2);
   }
}

接下来我们在项目中对密码进行加密：

1、修改数据库和实体类，添加盐字段，并修改数据库用户密码为加盐加密后的数据。

@Data
public class Users{
    private Integer uid;
    private String username;
    private String password;
    private String salt;
}

2、修改自定义Realm

@Component
public class MyRealm extends AuthorizingRealm {
    @Autowired
    private UserInfoMapper userInfoMapper;
    // 自定义认证方法
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        // 1.获取用户输入的用户名
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username = token.getUsername();
        // 2.根据用户名查询用户
        QueryWrapper wrapper = new QueryWrapper().eq("username",username);
        Users users = usersMapper.selectOne(wrapper);
        // 3.将查询到的用户封装为认证信息
        if (users == null) {
            throw new UnknownAccountException("账户不存在");
       }
        /**
         * 参数1：用户
         * 参数2：密码
         * 参数3：盐
         * 参数4：Realm名
         */
        return new SimpleAuthenticationInfo(users,
                users.getPassword(),
                ByteSource.Util.bytes(users.getSalt()),
                "myRealm");
   }
    // 自定义授权方法
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
   }
}

3、在注册自定义Realm时添加加密算法

// 配置加密算法
@Bean
public HashedCredentialsMatcher hashedCredentialsMatcher(){
    HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
  //加密算法
  hashedCredentialsMatcher.setHashAlgorithmName("md5");
    //加密的次数
  hashedCredentialsMatcher.setHashIterations(5);
    return hashedCredentialsMatcher;
}
// Realm
@Bean
public MyRealm getMyRealm(HashedCredentialsMatcher hashedCredentialsMatcher) {
    MyRealm myRealm = new MyRealm();
   // 设置加密算法
   myRealm.setCredentialsMatcher(hashedCredentialsMatcher);
    return myRealm;
}

4、启动项目，访问登录页http://localhost/login，测试登录功能。

Shiro认证_过滤器 

 在以上案例中，虽然有认证功能，但即使没有登录也可以访问系统 资源。如果要配置认证后才能访问资源，就需要使用过滤器拦截请 求。Shiro内置了很多过滤器：

 过滤器工厂配置过滤器链：

// 配置过滤器
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){
    // 1.创建过滤器工厂
    ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean();
    // 2.过滤器工厂设置SecurityManager
    filterFactory.setSecurityManager(securityManager);
    // 3.设置shiro的拦截规则
    Map filterMap=new HashMap<>();
    // 不拦截的资源
    filterMap.put("/login.html","anon");
    filterMap.put("/fail.html","anon");
    filterMap.put("/user/login","anon");
    filterMap.put("/css/**","anon");
    // 其余资源都需要用户认证
    filterMap.put("/**","authc");
   // 4.将拦截规则设置给过滤器工厂
    filterFactory.setFilterChainDefinitionMap(filterMap);
    // 5.登录页面
    filterFactory.setLoginUrl("/login.html");
    return filterFactory;
}

Shiro认证_获取认证数据

 用户认证通过后，有时我们需要获取用户信息，比如在网站顶部显 示：欢迎您，XXX。获取用户信息的写法如下：

@RequestMapping("/user/getUsername")
@ResponseBody
public String getUsername(){
    Subject subject = SecurityUtils.getSubject();
    // 获取认证数据
    Users users = (Users)subject.getPrincipal();
    return users.getUsername();
}

Shiro认证_Shiro会话

 Shiro提供了完整的企业级会话管理功能，不依赖于Web容器，不管 JavaSE还是JavaEE环境都可以使用。

// 使用Shiro提供的会话对象
@RequestMapping("/user/session")
@ResponseBody
public void session(){
    // 1.获取Subject
    Subject subject = SecurityUtils.getSubject();
    // 2.获取会话
    Session session = subject.getSession();
    // 会话id
    System.out.println("会话id:"+session.getId());
    // 会话的主机地址
    System.out.println("会话的主机地址:"+session.getHost());
    // 设置会话过期时间
    session.setTimeout(1000*10);
    // 获取会话过期时间
    System.out.println("会话过期时间:"+session.getTimeout());
    // 会话开始时间
    System.out.println("会话开始时间:"+session.getStartTimestamp());
    // 会话最后访问时间
    System.out.println("会话最后访问时间:"+session.getLastAccessTime());
    // 会话设置数据
    session.setAttribute("name","百战不败");
}
@RequestMapping("/user/getSession")
@ResponseBody
public void getSession(){
    Subject subject = SecurityUtils.getSubject();
    Session session = subject.getSession();
    System.out.println(session.getAttribute("name"));
}

Shiro认证_会话管理器

Shiro中提供了会话管理器，可以对会话对象进行配置和监听，用法如下：

1、创建会话监听器

@Component
public class MySessionListener implements SessionListener {
    //会话创建时触发
    @Override
    public void onStart(Session session) {
        System.out.println("会话创建：" + session.getId());
   }
    //会话过期时触发
    @Override
    public void onExpiration(Session session) {
        System.out.println("会话过期：" + session.getId());
   }
    //退出/会话过期时触发
    @Override
    public void onStop(Session session) {
       System.out.println("会话停止：" + session.getId());
   }
}

2、在会话管理器中配置会话监听器

// 会话管理器
@Bean
public SessionManager
sessionManager(MySessionListener sessionListener) {
    // 创建会话管理器
    DefaultWebSessionManager sessionManager = new DefaultWebSessionManager();
    // 创建会话监听器集合
    List listeners = new ArrayList();
    listeners.add(sessionListener);
    // 将监听器集合设置到会话管理器中
    sessionManager.setSessionListeners(listeners);
    // 全局会话超时时间（单位毫秒），默认30分钟,设置为5秒
    sessionManager.setGlobalSessionTimeout(5*1000);
    // 是否开启删除无效的session对象，默认为true
    sessionManager.setDeleteInvalidSessions(true);
    // 是否开启定时调度器进行检测过期session，默认为true
    sessionManager.setSessionValidationSchedulerEnabled(true);
    return sessionManager;
}

3、在SecurityManager中配置会话管理器

@Bean
public DefaultWebSecurityManager securityManager(MyRealm myRealm,MyRealm2
myRealm2,SessionManager sessionManager){
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    // 自定义Realm放入SecurityManager中
    // securityManager.setRealm(myRealm);
    // 设置Realm管理者(需要设置在Realm之前)
    securityManager.setAuthenticator(modularRealmAuthenticator());
    List realms = new ArrayList();
    realms.add(myRealm);
    //realms.add(myRealm2);
    securityManager.setRealms(realms);
    securityManager.setSessionManager(sessionManager);
    return securityManager;
}

Shiro认证_退出登录 

在系统中一般都有退出登录的操作。退出登录后Shiro会销毁会话和 认证数据。在Shrio中，退出登录的写法如下：

1、编写退出登录控制器

@RequestMapping("/user/logout")
public String logout(){
    Subject subject = SecurityUtils.getSubject();
    // 退出登录
    subject.logout();
    // 退出后跳转到登录页
    return "redirect:/login";
}

2、在主页面添加退出登录按钮

    
    


  
主页面
  
退出登录

Shiro认证_Remember Me 

Remember Me为“记住我”功能，即登录成功后，下次访问系统时无 需重新登录。当使用“记住我”功能登录后，Shiro会在浏览器Cookie 中保存序列化后的认证数据。之后浏览器访问项目时会携带该 Cookie数据，这样不登录也可以完成认证。

当然，为了安全起见，并不是所有资源都可以通过“记住我”访问。 比如在电商系统中，查询商品等操作可以不登录，但是支付时往往 需要重新登录，Shiro支持配置什么资源可以通过“记住我”访问。

 实现“记住我”功能的写法如下：

1、序列化所有实体类

@Data
public class Users implements Serializable
{
    private Integer uid;
    private String username;
    private String password;
    private String salt;
}

2、配置Cookie生成器和记住我管理器

// Cookie生成器
@Bean
public SimpleCookie simpleCookie() {
    SimpleCookie simpleCookie = new SimpleCookie("rememberMe");
    // Cookie有效时间，单位：秒
    simpleCookie.setMaxAge(20);
    return simpleCookie;
}
// 记住我管理器
@Bean
public CookieRememberMeManager cookieRememberMeManager(SimpleCookie simpleCookie) {
    CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager();
    // Cookie生成器
    cookieRememberMeManager.setCookie(simpleCookie);
    // Cookie加密的密钥
    cookieRememberMeManager.setCipherKey(Base64.decode("6ZmI6I2j3Y+R1aSn5BOlAA=="));
    return cookieRememberMeManager;
}
@Bean
public DefaultWebSecurityManager securityManager(MyRealm myRealm,
                                          
      MyRealm2 myRealm2,SessionManager sessionManager,
                                          
     CookieRememberMeManager rememberMeManager){
     DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
    // 自定义Realm放入SecurityManager中
    // securityManager.setRealm(myRealm);
    // 设置Realm管理者(需要设置在Realm之前)
    securityManager.setAuthenticator(modularRealmAuthenticator());
    List realms = new ArrayList();
    realms.add(myRealm);
    //realms.add(myRealm2);
    securityManager.setRealms(realms);
    securityManager.setSessionManager(sessionManager);
    securityManager.setRememberMeManager(rememberMeManager);
    return securityManager;
}

3、修改登录表单

    
    
    记住我

    登录

4、修改登录控制器

@RequestMapping("/user/login")
public String login(String username,String password,String rememberMe) {
    try {
        usersService.userLogin(username,password,rememberMe);
        return "main";
   } catch (DisabledAccountException e) {
        System.out.println("账户失效");
        return "fail";
   } catch (ConcurrentAccessException e){
        System.out.println("竞争次数过多");
        return "fail";
   } catch (ExcessiveAttemptsException e){
        System.out.println("尝试次数过多");
        return "fail";
   } catch (UnknownAccountException e) {
        System.out.println("用户名不正确");
        return "fail";
   } catch (IncorrectCredentialsException e) {
        System.out.println("密码不正确");
        return "fail";
   } catch (ExpiredCredentialsException e) {
        System.out.println("凭证过期");
        return "fail";
   }
}

5、修改登录Service

@Service
public class UsersService {
    @Autowired
    private DefaultWebSecurityManager securityManager;
    public void userLogin(String username,String password,String rememberMe) throws AuthenticationException
{
      SecurityUtils.setSecurityManager(securityManager);
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token=new UsernamePasswordToken(username,password);
        if (rememberMe != null){
       // 如果用户选择记住我，则生成记住我Cookie
            token.setRememberMe(true);
       }
        subject.login(token);
   }
}

6、配置过滤器，配置可以通过“记住我”访问的资源。

@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){
    // 1.创建过滤器工厂
    ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean();
    // 2.过滤器工厂设置SecurityManager
    filterFactory.setSecurityManager(securityManager);
    // 3.设置shiro的拦截规则
    Map filterMap=new HashMap<>();
    // 不拦截的资源
    filterMap.put("/login.html","anon");
    filterMap.put("/fail.html","anon");
    filterMap.put("/user/login","anon");
    filterMap.put("/static/**","anon");
    // 其余资源都需要认证，authc过滤器表示需要认证才能进行访问; 
    //user过滤器表示配置记住我或认证都可以访问
    //filterMap.put("/**","authc");
    filterMap.put("/user/pay","authc");
    filterMap.put("/**", "user");
    // 4.将拦截规则设置给过滤器工厂
    filterFactory.setFilterChainDefinitionMap(filterMap);
    // 5.登录页面
    filterFactory.setLoginUrl("/login.html");
    return filterFactory;
}

7、编写支付控制器

// 支付
@RequestMapping("/user/pay")
@ResponseBody
public String pay(){
    return "支付功能";
}