目录
Shiro认证_散列算法
Shiro认证_过滤器
Shiro认证_获取认证数据
Shiro认证_Shiro会话
Shiro认证_会话管理器
Shiro认证_退出登录
Shiro认证_Remember Me
Shiro授权_权限表设计
散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,适 合于对密码进行加密。比如密码 admin ,产生的散列值是 21232f297a57a5a743894a0e4a801fc3 ,但在md5解密网站很容易的通过散列值 得到密码 admin 。所以在加密时我们可以加一些只有系统知道的干扰 数据,这些干扰数据称之为“盐”,并且可以进行多次加密,这样生 成的散列值相对来说更难破解。
Shiro支持的散列算法:
Md2Hash、Md5Hash、Sha1Hash、Sha256Hash、 Sha384Hash、Sha512Hash
@SpringBootTest
public class Md5Test {
@Test
public void testMd5() {
//使用MD5加密
Md5Hash result1 = new Md5Hash("123");
System.out.println("md5加密后的结果:" + result1);
//加盐后加密,加密5次
Md5Hash result2 = new Md5Hash("123","sxt",5);
System.out.println("md5加盐加密后的结果:" + result2);
}
}
接下来我们在项目中对密码进行加密:
1、修改数据库和实体类,添加盐字段,并修改数据库用户密码为加盐加密后的数据。
@Data public class Users{ private Integer uid; private String username; private String password; private String salt; }
2、修改自定义Realm
@Component public class MyRealm extends AuthorizingRealm { @Autowired private UserInfoMapper userInfoMapper; // 自定义认证方法 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { // 1.获取用户输入的用户名 UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken; String username = token.getUsername(); // 2.根据用户名查询用户 QueryWrapper
wrapper = new QueryWrapper ().eq("username",username); Users users = usersMapper.selectOne(wrapper); // 3.将查询到的用户封装为认证信息 if (users == null) { throw new UnknownAccountException("账户不存在"); } /** * 参数1:用户 * 参数2:密码 * 参数3:盐 * 参数4:Realm名 */ return new SimpleAuthenticationInfo(users, users.getPassword(), ByteSource.Util.bytes(users.getSalt()), "myRealm"); } // 自定义授权方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) { return null; } } 3、在注册自定义Realm时添加加密算法
// 配置加密算法 @Bean public HashedCredentialsMatcher hashedCredentialsMatcher(){ HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher(); //加密算法 hashedCredentialsMatcher.setHashAlgorithmName("md5"); //加密的次数 hashedCredentialsMatcher.setHashIterations(5); return hashedCredentialsMatcher; } // Realm @Bean public MyRealm getMyRealm(HashedCredentialsMatcher hashedCredentialsMatcher) { MyRealm myRealm = new MyRealm(); // 设置加密算法 myRealm.setCredentialsMatcher(hashedCredentialsMatcher); return myRealm; }
4、启动项目,访问登录页http://localhost/login,测试登录功能。
在以上案例中,虽然有认证功能,但即使没有登录也可以访问系统 资源。如果要配置认证后才能访问资源,就需要使用过滤器拦截请 求。Shiro内置了很多过滤器:
过滤器工厂配置过滤器链:
// 配置过滤器
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){
// 1.创建过滤器工厂
ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean();
// 2.过滤器工厂设置SecurityManager
filterFactory.setSecurityManager(securityManager);
// 3.设置shiro的拦截规则
Map filterMap=new HashMap<>();
// 不拦截的资源
filterMap.put("/login.html","anon");
filterMap.put("/fail.html","anon");
filterMap.put("/user/login","anon");
filterMap.put("/css/**","anon");
// 其余资源都需要用户认证
filterMap.put("/**","authc");
// 4.将拦截规则设置给过滤器工厂
filterFactory.setFilterChainDefinitionMap(filterMap);
// 5.登录页面
filterFactory.setLoginUrl("/login.html");
return filterFactory;
}
用户认证通过后,有时我们需要获取用户信息,比如在网站顶部显 示:欢迎您,XXX。获取用户信息的写法如下:
@RequestMapping("/user/getUsername")
@ResponseBody
public String getUsername(){
Subject subject = SecurityUtils.getSubject();
// 获取认证数据
Users users = (Users)subject.getPrincipal();
return users.getUsername();
}
Shiro提供了完整的企业级会话管理功能,不依赖于Web容器,不管 JavaSE还是JavaEE环境都可以使用。
// 使用Shiro提供的会话对象
@RequestMapping("/user/session")
@ResponseBody
public void session(){
// 1.获取Subject
Subject subject = SecurityUtils.getSubject();
// 2.获取会话
Session session = subject.getSession();
// 会话id
System.out.println("会话id:"+session.getId());
// 会话的主机地址
System.out.println("会话的主机地址:"+session.getHost());
// 设置会话过期时间
session.setTimeout(1000*10);
// 获取会话过期时间
System.out.println("会话过期时间:"+session.getTimeout());
// 会话开始时间
System.out.println("会话开始时间:"+session.getStartTimestamp());
// 会话最后访问时间
System.out.println("会话最后访问时间:"+session.getLastAccessTime());
// 会话设置数据
session.setAttribute("name","百战不败");
}
@RequestMapping("/user/getSession")
@ResponseBody
public void getSession(){
Subject subject = SecurityUtils.getSubject();
Session session = subject.getSession();
System.out.println(session.getAttribute("name"));
}
Shiro中提供了会话管理器,可以对会话对象进行配置和监听,用法如下:
1、创建会话监听器
@Component public class MySessionListener implements SessionListener { //会话创建时触发 @Override public void onStart(Session session) { System.out.println("会话创建:" + session.getId()); } //会话过期时触发 @Override public void onExpiration(Session session) { System.out.println("会话过期:" + session.getId()); } //退出/会话过期时触发 @Override public void onStop(Session session) { System.out.println("会话停止:" + session.getId()); } }
2、在会话管理器中配置会话监听器
// 会话管理器 @Bean public SessionManager sessionManager(MySessionListener sessionListener) { // 创建会话管理器 DefaultWebSessionManager sessionManager = new DefaultWebSessionManager(); // 创建会话监听器集合 List
listeners = new ArrayList(); listeners.add(sessionListener); // 将监听器集合设置到会话管理器中 sessionManager.setSessionListeners(listeners); // 全局会话超时时间(单位毫秒),默认30分钟,设置为5秒 sessionManager.setGlobalSessionTimeout(5*1000); // 是否开启删除无效的session对象,默认为true sessionManager.setDeleteInvalidSessions(true); // 是否开启定时调度器进行检测过期session,默认为true sessionManager.setSessionValidationSchedulerEnabled(true); return sessionManager; } 3、在SecurityManager中配置会话管理器
@Bean public DefaultWebSecurityManager securityManager(MyRealm myRealm,MyRealm2 myRealm2,SessionManager sessionManager){ DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); // 自定义Realm放入SecurityManager中 // securityManager.setRealm(myRealm); // 设置Realm管理者(需要设置在Realm之前) securityManager.setAuthenticator(modularRealmAuthenticator()); List
realms = new ArrayList(); realms.add(myRealm); //realms.add(myRealm2); securityManager.setRealms(realms); securityManager.setSessionManager(sessionManager); return securityManager; }
在系统中一般都有退出登录的操作。退出登录后Shiro会销毁会话和 认证数据。在Shrio中,退出登录的写法如下:
1、编写退出登录控制器
@RequestMapping("/user/logout") public String logout(){ Subject subject = SecurityUtils.getSubject(); // 退出登录 subject.logout(); // 退出后跳转到登录页 return "redirect:/login"; }
2、在主页面添加退出登录按钮
主页面 主页面
退出登录
Remember Me为“记住我”功能,即登录成功后,下次访问系统时无 需重新登录。当使用“记住我”功能登录后,Shiro会在浏览器Cookie 中保存序列化后的认证数据。之后浏览器访问项目时会携带该 Cookie数据,这样不登录也可以完成认证。
当然,为了安全起见,并不是所有资源都可以通过“记住我”访问。 比如在电商系统中,查询商品等操作可以不登录,但是支付时往往 需要重新登录,Shiro支持配置什么资源可以通过“记住我”访问。
实现“记住我”功能的写法如下:
1、序列化所有实体类
@Data public class Users implements Serializable { private Integer uid; private String username; private String password; private String salt; }
2、配置Cookie生成器和记住我管理器
// Cookie生成器 @Bean public SimpleCookie simpleCookie() { SimpleCookie simpleCookie = new SimpleCookie("rememberMe"); // Cookie有效时间,单位:秒 simpleCookie.setMaxAge(20); return simpleCookie; } // 记住我管理器 @Bean public CookieRememberMeManager cookieRememberMeManager(SimpleCookie simpleCookie) { CookieRememberMeManager cookieRememberMeManager = new CookieRememberMeManager(); // Cookie生成器 cookieRememberMeManager.setCookie(simpleCookie); // Cookie加密的密钥 cookieRememberMeManager.setCipherKey(Base64.decode("6ZmI6I2j3Y+R1aSn5BOlAA==")); return cookieRememberMeManager; } @Bean public DefaultWebSecurityManager securityManager(MyRealm myRealm, MyRealm2 myRealm2,SessionManager sessionManager, CookieRememberMeManager rememberMeManager){ DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager(); // 自定义Realm放入SecurityManager中 // securityManager.setRealm(myRealm); // 设置Realm管理者(需要设置在Realm之前) securityManager.setAuthenticator(modularRealmAuthenticator()); List
realms = new ArrayList(); realms.add(myRealm); //realms.add(myRealm2); securityManager.setRealms(realms); securityManager.setSessionManager(sessionManager); securityManager.setRememberMeManager(rememberMeManager); return securityManager; } 3、修改登录表单
4、修改登录控制器
@RequestMapping("/user/login") public String login(String username,String password,String rememberMe) { try { usersService.userLogin(username,password,rememberMe); return "main"; } catch (DisabledAccountException e) { System.out.println("账户失效"); return "fail"; } catch (ConcurrentAccessException e){ System.out.println("竞争次数过多"); return "fail"; } catch (ExcessiveAttemptsException e){ System.out.println("尝试次数过多"); return "fail"; } catch (UnknownAccountException e) { System.out.println("用户名不正确"); return "fail"; } catch (IncorrectCredentialsException e) { System.out.println("密码不正确"); return "fail"; } catch (ExpiredCredentialsException e) { System.out.println("凭证过期"); return "fail"; } }
5、修改登录Service
@Service public class UsersService { @Autowired private DefaultWebSecurityManager securityManager; public void userLogin(String username,String password,String rememberMe) throws AuthenticationException { SecurityUtils.setSecurityManager(securityManager); Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token=new UsernamePasswordToken(username,password); if (rememberMe != null){ // 如果用户选择记住我,则生成记住我Cookie token.setRememberMe(true); } subject.login(token); } }
6、配置过滤器,配置可以通过“记住我”访问的资源。
@Bean public ShiroFilterFactoryBean shiroFilterFactoryBean(DefaultWebSecurityManager securityManager){ // 1.创建过滤器工厂 ShiroFilterFactoryBean filterFactory=new ShiroFilterFactoryBean(); // 2.过滤器工厂设置SecurityManager filterFactory.setSecurityManager(securityManager); // 3.设置shiro的拦截规则 Map
filterMap=new HashMap<>(); // 不拦截的资源 filterMap.put("/login.html","anon"); filterMap.put("/fail.html","anon"); filterMap.put("/user/login","anon"); filterMap.put("/static/**","anon"); // 其余资源都需要认证,authc过滤器表示需要认证才能进行访问; //user过滤器表示配置记住我或认证都可以访问 //filterMap.put("/**","authc"); filterMap.put("/user/pay","authc"); filterMap.put("/**", "user"); // 4.将拦截规则设置给过滤器工厂 filterFactory.setFilterChainDefinitionMap(filterMap); // 5.登录页面 filterFactory.setLoginUrl("/login.html"); return filterFactory; } 7、编写支付控制器
// 支付 @RequestMapping("/user/pay") @ResponseBody public String pay(){ return "支付功能"; }