$Shiro
Apache-shiro 是一种简便的java安全框架,对于身份认证,授权 。权限管理有着很简单的使用方法
三个核心组件:Subject, SecurityManager 和 Realms.
subject :访问当前系统的用户 主体可以是用户也可以是程序 。
Shrio SecurityManager :安全管理器 ,shiro 的核心。类似于SpringMVC的前端控制器(DispatcherServlet),接收来自 “subject” 的委托,与认证器 ,授权器等进行交互
Realm:相当于dataSource 安全的数据源 充当了shiro 与 数据源 的 “连接器” 当执行认证,授权时,shiro会从realm中比对信息是否合法合理。
Shiro认证(使用ini方式进行测试)---> 所有项目均使用maven方式编写
shiro.ini(创建一个配置文件存放信息 。模拟从数据库中获取信息)
[users] #账号=密码 chen=123 root=10001
新建一个测试类
加载配置文件 获取当前用户信息
通过单独测试编写两个异常信息 ,反馈当用户名出错 或者密码出错的情况,
package com.shiro.test; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.IncorrectCredentialsException; import org.apache.shiro.authc.UnknownAccountException; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.config.IniSecurityManagerFactory; import org.apache.shiro.mgt.SecurityManager; import org.apache.shiro.subject.Subject; import org.apache.shiro.util.Factory; import org.junit.Test; /** * 测试shiro * * @author 18609 * */ public class ShiroTest { @Test public void logintest() { // 创建工厂,加载资源 shiro工厂 调用Factory接口 Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-realm.ini"); // 通过工厂对象创建SecurityManager对象 SecurityManager manager = factory.getInstance(); // 将SecurityManager绑定当前环境中。让系统随时访问SecurityManager对象 SecurityUtils.setSecurityManager(manager); // 创建当前登陆主体 未认证 Subject subject = SecurityUtils.getSubject(); // 收集当前用户信息 UsernamePasswordToken token = new UsernamePasswordToken("root", "10001"); try { subject.login(token); System.out.println("登录成功"); } catch (IncorrectCredentialsException e) { // 密码异常错误 System.out.println("登陆失败,密码错误!"); } catch (UnknownAccountException e) { // 账号异常错误 System.out.println("登陆失败,账号不存在!"); } finally { subject.logout(); System.out.println("注销成功"); } } }
通过token 获取到username 并传给Realm验证 ,如果存在相同数据,封装成如下AuthenticationInfo对象进行返回 否则为null
自定义一个Realm类 继承 AuthenticatingRealm 并复写其类的getName() 实现两个方法 进行认证操作
package com.shiro.Realm; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.SimpleAuthenticationInfo; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.realm.AuthenticatingRealm; import org.apache.shiro.subject.PrincipalCollection; public class MyRealm extends AuthenticatingRealm { // 重写 注意返回值 public String getName() { return "MyRealm"; } // 授权 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { return null; } // 认证 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { System.out.println(token); // 获取用户名 String username = (String) token.getPrincipal(); // 通过用户名查询 并返回 if (!"root".equals(username)) { return null; } String password = "10001"; // 对比当前信息 SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, password, getName()); return info; } }
shiro-realm.ini
#自定义realm MyRealm=com.shiro.Realm.MyRealm #指定自定义realm的实现 securityManager.realms=$MyRealm
执行流程
认证成功
Shiro加密认证(使用ini方式进行测试)---> 所有项目均使用maven方式编写
shiro 对md5加密有着较好的支持,这里不说明为什么要进行加密措施。
测试几种加密方法 越往下 加密措施越好。越不易破解(以下加密方式全选用第三种 密码 + salt + 散列次数)
package com.shiro.test; import org.apache.shiro.crypto.hash.Md5Hash; import org.junit.Test; public class Md5Test { @Test public void test() { String password = "10001"; // 密码加密 Md5Hash hash = new Md5Hash(password); System.out.println("password: " + hash); // 密码 + salt(用户名) Md5Hash hash1 = new Md5Hash(password, "root"); System.out.println("passsword + salt :" + hash1); // 密码 + salt(用户名) + 散列次数 安全性能更好 Md5Hash hash2 = new Md5Hash(password, "root", 3); System.out.println("passsword + salt + count :" + hash2); } }
测试类
package com.shiro.test; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.IncorrectCredentialsException; import org.apache.shiro.authc.UnknownAccountException; import org.apache.shiro.authc.UsernamePasswordToken; import org.apache.shiro.config.IniSecurityManagerFactory; import org.apache.shiro.mgt.SecurityManager; import org.apache.shiro.subject.Subject; import org.apache.shiro.util.Factory; import org.junit.Test; /** * 测试shiro * * @author 18609 * */ public class ShiroTest { @Test public void loginByPasswordtest() { // 创建工厂,加载资源 shiro工厂 调用Factory接口 Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-md5.ini"); // 通过工厂对象创建SecurityManager对象 SecurityManager manager = factory.getInstance(); // 将SecurityManager绑定当前环境中。让系统随时访问SecurityManager对象 SecurityUtils.setSecurityManager(manager); // 创建当前登陆主体 未认证 Subject subject = SecurityUtils.getSubject(); // 收集当前用户信息 UsernamePasswordToken token = new UsernamePasswordToken("root", "10001"); try { subject.login(token); System.out.println("登录成功"); } catch (IncorrectCredentialsException e) { // 密码异常错误 System.out.println("登陆失败,密码错误!"); } catch (UnknownAccountException e) { // 账号异常错误 System.out.println("登陆失败,账号不存在!"); } finally { subject.logout(); System.out.println("注销成功"); } } }
新建passwordRealm类 进行加密认证
package com.shiro.Realm; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.SimpleAuthenticationInfo; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.realm.AuthorizingRealm; import org.apache.shiro.subject.PrincipalCollection; import org.apache.shiro.util.ByteSource; public class PasswordRealm extends AuthorizingRealm {
//注意返回值 public String getName() { return "PasswordRealm"; } // 授权 protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { return null; } // 认证 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { System.out.println(token); // 获取用户名 String username = (String) token.getPrincipal(); // 通过用户名查询 并返回 if (!"root".equals(username)) { return null; } // passsword + salt + count :2634402341f810a1007d7c4b4521aef5 String password = "2634402341f810a1007d7c4b4521aef5"; // 对比当前信息 1.用户名 2.密码 3.salt(加盐加密ByteSource.Util.bytes("root")) 4.重写当前的realm名字 SimpleAuthenticationInfo info = new SimpleAuthenticationInfo (username, password, ByteSource.Util.bytes("root"),getName()); return info; } }
ByteSource.Util.bytes("root") :进行盐(salt)加密认证 内填用户名
不写此参数使用salt加密 会报错。报密码错误的问题 因为没有进行用户名认证。
shiro-md5.ini
填写与测试中相关的信息 红色标注不能更改必填项 蓝色标注更改项。
#定义凭证匹配器 credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher #散列算法 credentialsMatcher.hashAlgorithmName=md5 #散列次数 credentialsMatcher.hashIterations=3 #指定passwordRealm的realm myRealm=com.shiro.Realm.PasswordRealm #引用凭证 myRealm.credentialsMatcher=$credentialsMatcher #引用指定realm securityManager.realms=$myRealm
通过设置加密的密码 存入数据库中 ,并进行加密认证 数据相同时,通过认证。登录成功。