2. 程式人生 > 實用技巧 >Shiro教程之四 雜湊演算法和憑證配置

Shiro教程之四 雜湊演算法和憑證配置

阿新 發佈:2020-08-27

Shiro認證密碼一般都需要加密(大部分是md5或hash雜湊加密)

如果改為密文驗證,需要 1.改動一下自定義的Realm類和 2.測試時new出來的 Realm類加入認證的憑證

先來下加密的例子

    //五,測試加密 (要引入Shiro包,對應的有此類)
    @Test
    public void testMd5Hash(){
        String source = "123456";//原文
        String salt = "abc";//混淆(可選引數)
        int num = 2;//雜湊加密次數(可選引數)

        Md5Hash hash1 
 
= new Md5Hash(source,salt,num);
        System.out.println("123456混淆abc雜湊2次的結果:"+hash1);

    }

1.改動一下自定義的Realm類

package com.cc8w.shiro;


import com.cc8w.entity.UserActivePojo;
import com.cc8w.entity.UserPojo;
import com.cc8w.service.PermssionService;
import com.cc8w.service.RoleService;
import com.cc8w.service.UserService;

 
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;

 
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

import java.util.List;


/**
 * Shiro預設使用自帶的IniRealm,IniRealm從ini配置檔案中讀取使用者的資訊,大部分情況下需要從系統的資料庫中讀取使用者資訊,所以需要自定義realm。
 * 最基礎的是Realm介面,CachingRealm負責快取處理,AuthenticationRealm負責認證,AuthorizingRealm負責授權,通常自定義的realm繼承AuthorizingRealm
 */
@Component
public class ShiroRealm extends AuthorizingRealm {

    @Autowired
    private UserService userService;
    @Autowired
    private RoleService roleService;
    @Autowired
    private PermssionService permssionService;
    @Override
    public String getName() {
        return this.getClass().getSimpleName();
    }



    /*
     * 登入資訊和使用者驗證資訊驗證(non-Javadoc)
     * @see org.apache.shiro.realm.AuthenticatingRealm#doGetAuthenticationInfo(org.apache.shiro.authc.AuthenticationToken)
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //1.從authenticationToken中獲取身份資訊,其實就是使用者的登入名
        String username = authenticationToken.getPrincipal().toString();
        String password = authenticationToken.getCredentials().toString();

        //2.根據使用者名稱查詢使用者是否存在
        UserPojo user=userService.queryUserByUserName(username);
        System.out.println(user);
        //返回null說明使用者不存在
        if(null!=user) {
            //2.1根據使用者名稱去查詢使用者擁有哪些角色
            List<String> roles= roleService.queryRolesByUserName(user.getUserName());
            System.out.println(roles);
            //2.2根據使用者名稱查詢使用者擁有哪些許可權
            List<String> permissions=permssionService.queryPermissionsByUserName(user.getUserName());

            UserActivePojo activeUser=new UserActivePojo(user, roles, permissions);

           //3.返回認證資訊(第一個不支援雜湊加密,第二個可以雜湊加密)
            /**
             * 引數1  使用者身份
             * 引數2 使用者在資料庫裡面存放的密碼
             * 引數3 當前類名
             */
            //SimpleAuthenticationInfo info=new SimpleAuthenticationInfo(activeUser, user.getPassword(), this.getName());

            /**
             * 引數1 傳到doGetAuthorizationInfo裡面的getPrimaryPrincipal()物件或subject.getPrincipal()-我們封裝的實體activeUser
             * 引數2 hashedCredentials加密後的密碼(資料庫查詢的密碼)-user.getPassword()
             * 引數3 混淆(鹽)
             * 引數4 當前類名
             */
            SimpleAuthenticationInfo info=new SimpleAuthenticationInfo(principal, hashedCredentials, credentialsSalt, realmName)
            return info;

        }
        return null;
    }

    /*
     * 授權查詢回撥函式, 進行鑑權但快取中無使用者的授權資訊時呼叫,負責在應用程式中決定使用者的訪問控制的方法(non-Javadoc)
     * @see org.apache.shiro.realm.AuthorizingRealm#doGetAuthorizationInfo(org.apache.shiro.subject.PrincipalCollection)
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //1.獲得使用者身份資訊(PrincipalCollection有認證回撥傳來的第一個引數[activeUser])
        UserActivePojo activeUser = (UserActivePojo) principalCollection.getPrimaryPrincipal();
        System.out.println("doGetAuthorizationInfo");
        //2.根據身份資訊獲取許可權資料
        SimpleAuthorizationInfo info=new SimpleAuthorizationInfo();

        //3.根據使用者查詢使用者的角色 (其實認證方法一併查詢出來了,儲存在UserActivePojo)
        List<String> roles = activeUser.getRoles();
        if(null!=roles&&roles.size()>0) {
            info.addRoles(roles);//新增角色
        }
        //4.根據使用者查詢使用者的許可權
        List<String> permissions=activeUser.getPermissions();
        if(null!=permissions&&permissions.size()>0) {
            info.addStringPermissions(permissions);//新增許可權
        }

        /**
         * 總結:本來授權->查角色和許可權都在本方法寫(但是前端每查詢一次許可權,就會回撥本方法一次,
         * 所以直接查資料庫,對資料庫有壓力),所以最後,
         * 1.把查角色和許可權方法寫在了認證,然後封裝成activeUser傳遞過來,這樣Controller每次查許可權,就不用查資料庫了,直接在activeUser獲取即可.
         * 2.快取應該也可以解決
         */


        return info;
    }


}

2.測試時new出來的 Realm類加入認證的憑證

<和上幾篇文章一樣,最重要的改動是 new Realm(),之後加入了雜湊密碼相關的設定>

package com.cc8w.test;



import com.cc8w.shiro.ShiroRealm;
import org.apache.log4j.Logger;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.authz.AuthorizationException;
import org.apache.shiro.authz.UnauthenticatedException;
import org.apache.shiro.authz.UnauthorizedException;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.crypto.hash.Md5Hash;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.apache.shiro.mgt.SecurityManager;
import org.junit.Test;
import org.junit.runner.RunWith;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.test.context.ContextConfiguration;
import org.springframework.test.context.junit4.SpringJUnit4ClassRunner;

import java.util.Arrays;

/**
 *
 */
@RunWith(SpringJUnit4ClassRunner.class)
@ContextConfiguration(locations = {"classpath:applicationContext.xml"})
public class TestShiro {
    private static Logger logger = Logger.getLogger(TestShiro.class);

    @Autowired
    private ShiroRealm shiroRealm;

    public static void main(String[] args) {
        TestShiro ts = new TestShiro();
        ts.testAuth();


    }

    //三,登入測試(自定義Realm)
    @Test
    public void testRealmLogin(){
        //1.建立一個安全管理器的工廠
        Factory<SecurityManager> factory = new IniSecurityManagerFactory();
        //2.在工廠中獲取安全管理器
        DefaultSecurityManager securityManager = (DefaultSecurityManager) factory.getInstance();

        //---新增認證憑證配置start  --如果Spring環境下(這些都是在xml配置的)
        //2.1 建立自定義Realm注入到安全管理器
        ShiroRealm shiroRealm = new ShiroRealm();//(SpringM在bean控制,並可以配置雜湊加密相關)
        //2.1.1設定密碼學相關加密方式
        HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
        //2.1.2設定加密方式
        credentialsMatcher.setHashAlgorithmName("md5");
        //2.1.3設定雜湊次數
        credentialsMatcher.setHashIterations(1);
        //2.1.4將密碼學憑證注入到自定義的Realm類中
        shiroRealm.setCredentialsMatcher(credentialsMatcher);
        //---新增認證憑證配置end  --如果Spring環境下(這些都是在xml配置的)

        securityManager.setRealm(shiroRealm);

        //3.將securityManager繫結到執行環境
        SecurityUtils.setSecurityManager(securityManager);
        //4.獲取Subject物件(將要登入的使用者)
        Subject subject = SecurityUtils.getSubject();
        //5.獲取要登入使用者的token,客戶端傳遞過來的使用者名稱和密碼
        String username = "zhangsan",password="123456";
        UsernamePasswordToken token = new UsernamePasswordToken(username,password);

        try{
            //6.登陸(認證)
            subject.login(token);
            logger.info("登入了");

        }catch (IncorrectCredentialsException  e ){
            logger.info("密碼不正確");
            logger.info(e);
        }catch (UnknownAccountException e) {
            System.out.println("沒有這個帳號");
        }catch (AuthenticationException e) {
            e.printStackTrace();
        }

        //如果登入成功了,可以獲取subject中各種狀態了
        Boolean isAuth = subject.isAuthenticated();
        System.out.println("認證狀態:" + isAuth);

        // 7.授權 分為:基於角色授權 基於資源的授權
        //7.1 基於角色授權
        boolean permited  = subject.hasRole("role1");
        System.out.println("這是授權單個:"+permited);
        boolean hasAllRoles = subject.hasAllRoles(Arrays.asList("role1","role2","role3"));
        System.out.println("這個授權多個"+hasAllRoles);

        // 使用check方法進行授權,如果授權不通過會丟擲異常
        // subject.checkRole("role13");
        try {
            subject.checkRole("roles1");
        }catch (UnauthenticatedException e){
            logger.info("沒有這個角色");
            //e.printStackTrace();
        }catch (UnauthorizedException e){
            logger.info("沒有這個許可權");
            //e.printStackTrace();
        }


        //7.2 基於資源的授權
        //isPermitted傳入許可權識別符號
        boolean isPermitted = subject.isPermitted("user:query");
        System.out.println("單個許可權判斷:"+isPermitted);

        boolean isPermittedAll = subject.isPermittedAll("user:query","user:adb","user:add");
        System.out.println("多個許可權判斷"+isPermittedAll);

        // 使用check方法進行授權,如果授權不通過會丟擲異常
        try {
            subject.checkPermission("user:adb");
        }catch (UnauthenticatedException e){
            logger.info("沒有這個角色");
            //e.printStackTrace();
        }catch (UnauthorizedException e){
            logger.info("沒有這個許可權");
            //e.printStackTrace();
        }





    }

    //四,授權驗證(自定義Realm)
    public void testRealmAuth(){
        //其實授權也需要登陸(上面方法第7條之後:就是授權的驗證)

    }



}

相關推薦

Shiro教程 演算法憑證配置

Shiro認證密碼一般都需要加密(大部分是md5或hash加密) 如果改為密文驗證,需要 1.改動一下自定義的Realm類 2.測試時new出來的 Realm類加入認證的憑證

Shiro】07 演算法 & 憑證配置

演算法概述】 用於生成資料的摘要資訊,不可逆演算法,用於儲存密碼或者密文資料。

如何用PHP實現分佈演算法一致性演算法

傳統演算法缺陷 對於伺服器分佈,我們要考慮的東西有http://www.cppcns.com如下三點:資料平均分佈,查詢定位準確,降低宕機影響。

Shiro教程Shiro.ini認證授權

1,Shiro.ini檔案的說明 1. ini (InitializationFile) 初始檔案.Window系統副檔名. 2. Shiro 使用時可以連線資料庫,也可以不連線資料庫.

資料結構與演算法美 - 21 | 演算法(上):如何防止資料庫中的使用者資訊被脫庫?

技術標籤:資料結構與演算法演算法 這系列相關部落格,參考 資料結構與演算法美 如果想了解更多內容,請去這個部落格 資料結構與演算法美 - 目錄

Redis分片原理一致性演算法與crc16演算法

叢集分片模式 如果Redis只用複製功能做主從,那麼當資料量巨大的情況下,單機情況下可能已經承受不下一份資料,更不用說是主從都要各自儲存一份完整的資料。在這種情況下,資料分片是一個非常好的解決辦法。

演算法09 五大查詢查詢

前面的幾篇文章分別總結了:順序查詢、二分查詢、索引查詢、二叉排序樹。這一篇文章要總結的是五大查詢的最後一個:雜湊查詢(也稱為雜湊查詢)。提起雜湊,我的第一印象就是java中的Hashtable類,它是由 key/value

Python3 hashlib密碼演算法原理詳解

1.hashlib密碼雜湊 hashlib模組定義了一個API來訪問不同的密碼雜湊演算法。要使用一個特定的雜湊演算法,可以用適當的構造器函式或new()來建立一個雜湊物件。不論使用哪個具體的演算法,這些物件都使用相同的API。

SHA:安全演算法簡析 附例項

前言 體能狀態先於精神狀態,習慣先於決心,聚焦先於喜好。 SHA演算法簡介 1.1 概述

一致性演算法C#實現

一致性hash實現,以下實現沒有考慮多執行緒情況,也就是沒有加鎖,需要的可以自行加上。因為換行的問題,閱讀不太方便,可以拷貝到本地再讀。

Alink漫談(十) :特徵工程 特徵/標準化縮放

Alink漫談(十) :特徵工程特徵/標準化縮放 目錄 Alink漫談(十) :特徵工程特徵/標準化縮放

第五次總結 初次接觸演算法

ArrayList與LinkedList的區別 Stack與LinkedList的區別 HashSet與HashMap的區別 HashMap的實現原理

簡明講解一致性演算法

演算法 如果我們用(使用者id)%伺服器機器數這樣的方法來分配伺服器。 雖然我們能保證資料的均勻性,但穩定性差,比如我們增加一個節點,會導致大量的對映失效。

圖解一致性演算法,全網(小區區域網)最通俗易懂

很多同學應該都知道什麼是雜湊函式,在後端面試開發中會遇到「一致性雜湊」,那麼什麼是一致性雜湊呢?名字聽起來很厲害的樣子,其實原理並不複雜,這篇文章帶你徹底搞懂一致性雜湊

五分鐘看懂一致性演算法

一致性雜湊演算法在1997年由麻省理工學院的Karger等人在解決分散式Cache中提出的,設計目標是為了解決因特網中的熱點(Hot spot)問題,初衷CARP十分類似。一致性雜湊修正了CARP使用的簡單雜湊演算法帶來的問題,使得

演算法

演算法的實質是對原始資料的有失真壓縮,有失真壓縮後的固定字長用作唯一標識原始資料。

基礎資料結構(一)——字串

這篇文章主要討論了字串 ,就是給一個元素(可以是數字,字串,甚至是樹)一個在小區間內的編號,以便用陣列來儲存。

Java sha1演算法原理及程式碼例項

直接呼叫HashKit.sha1(String str)方法就可以了,,返回的是16進位制的字串長度是40,

MD5演算法(C語言實現)

MD5演算法(C語言實現) 主要是做個記錄,害怕以後程式碼丟了,先放到這裡了。

一致性演算法的缺陷是什麼?(但我感覺rediscluster也沒有解決這幾個問題,求指導)

一致性雜湊演算法解決了分散式下資料分佈問題。比如在快取系統中,通過一致性雜湊演算法把快取鍵對映到不同的節點上,由於演算法中虛擬節點的存在,雜湊結果一般情況下比較均勻。而且增減節點時,只需要重新