一、shiro 加密?
/*
Shiro?
一、为什么要加密?
为调高数据库的安全性,需要给密码加密。
二、常见的加密算法?
1.1哈希算法
md5:加密算法 哈希函数
1.2.对称算法
1.3.非对称算法
三、如何进行加密后的匹配?
注册用户-----获取用户对象----密码加密---存数据库
四.如何匹配?
对密码先加密----匹配
token :前台穿过来的密码(未加密)
join:数据库中已经加密的密码
*/
二、实现。
在shiro.xml中1.开启密码匹配器
2.logout 注销 设置一个注销的方法,可以清除session中缓存。
<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd"> <!--1.安全管理器--> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <!--缓存管理器 暂时不引用他--> <!--<property name="cacheManager" ref="cacheManager"/>--> <!--会话的模式--> <property name="sessionMode" value="native"/> <!--配置realm --> <property name="realm" ref="myRealm"/> </bean> <!--2.缓存管理器--> <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager"> </bean> <bean id="myRealm" class="com.aaa.realm.MyRealm"> <property name="name" value="myRealm"/> <!--3.品证(密码)匹配器--> <property name="credentialsMatcher"> <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher"> <!--加密算法的名称 --> <property name="hashAlgorithmName" value="MD5"/> <!-- 是否让它 进行16进制的编码 --> <property name="storedCredentialsHexEncoded" value="true"/> <!-- 迭代的次数 123。。。。加密 。。。。加密 1024 次 叫做迭代。 --> <!--<property name="hashIterations" value="1024"/>--> </bean> </property> </bean> <!--4.shiro中的类型要交给 spring容器管理的bean--> <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/> <!--5.启用注解配置--> <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager"/> </bean> <!-- 6. shiro 的过滤器 id和名字保持一致 和web.xml 中过滤器的名字保持一致。否则配置没有效果。 --> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <!--1.引入安全管理器 --> <property name="securityManager" ref="securityManager"/> <!--2.登录的地址 --> <property name="loginUrl" value="/login.jsp"/> <!--3.登录成功的页面 --> <property name="successUrl" value="/index.jsp"/> <!--4.绑定一个未授权的路径。--> <property name="unauthorizedUrl" value="/unauthorized.jsp"/> <!-- <property name="filters"> <util:map> <entry key="aName" value-ref="someFilterPojo"/> </util:map> filterChainDefinitions 过滤器的规则声明。 1.anon 匿名不需要验证 2. authc 认证 需要登录 3.perms 权限 4.logout 注销 设置一个注销的方法,可以清楚session中缓存。 /admin/** = authc 下的路径都需要进行登录认证 从上到下 前面规定好的 冲突就是优先级。 </property> --> <property name="filterChainDefinitions"> <value> /login.jsp = anon /index.jsp = anon /static/** =anon /logout=logout # allow WebStart to pull the jars for the swing app: /*.jar = anon # everything else requires authentication: /dept/**=authc /admin/** = authc </value> </property> </bean> </beans>
3.index.jsp 添加注销的超链连。
<%-- Created by IntelliJ IDEA. User: Administrator Date: 2019/8/5 Time: 10:04 To change this template use File | Settings | File Templates. --%> <%@ page contentType="text/html;charset=UTF-8" language="java" %> <html> <head> <title>mvc</title> </head> <body> <a href="view/addcaidan.jsp">菜单录入</a><br> <a href="admin/empdemo.jsp">admin路径下的 员工管理的查询 录入 删除</a><br> <a href="admin/empdemo1.jsp">admin路径下的 员工系统的增删改查</a><br> <a href="admin/wenjianshangchuang.jsp">admin路径下的 通过表单上传数据</a><br> <a href="view/wenjiango.jsp"> 单个文件</a><br> <a href="login.jsp"> 登录验证测试</a><br> <a href="view/duowenjian.jsp"> 多文件上传</a><br> <%-- 在shiro中配置一个注销的设置 在首页直接点击注销 就能注销session--%> <a href="logout">注销</a><br> </body> </html>
三、简单的加密方式?
2.1token 前台传过来的密码是没有加密的,通过shiro去加密,然后再匹配。
2.2info 中的原始密码,通过加密的方式,加密,得到一列字符串
2.3 在这里 我只对密码进行了限制是 666 ,用户名,可以随便输入
package com.aaa.realm; import org.apache.shiro.authc.*; import org.apache.shiro.crypto.hash.SimpleHash; import org.apache.shiro.realm.AuthenticatingRealm; import org.apache.shiro.util.ByteSource; /*1.编码实现realm类 * 2.继承AuthenticatingRealm * * 3.返回一个实现类 验证交给shiro * * realm * * 1.获取subject传递过来的token * 2.根据token中的用户名,找到密码 * 3.返回认证的对象。 * */ public class MyRealm extends AuthenticatingRealm { @Override //令牌信息 从表单中传递过来的身份信息 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { UsernamePasswordToken usernamePasswordToken= (UsernamePasswordToken) authenticationToken; //获取令牌中的用户名 String username = usernamePasswordToken.getUsername(); //连接数据库 进行查询操作 根据用户名 查询密码 模拟密码 // String password="666"; String password="fae0b27c451c728867a567e8c1bb4e53"; //数据库中加密后的密码 模拟获取 SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username,password,getName()); return info; } public static void main(String[] args) { // String username="admin"; // String password="123"; //算法的名称 和 原始密码 SimpleHash simpleHash = new SimpleHash("MD5","666" ); //得到 加密后的数据 fae0b27c451c728867a567e8c1bb4e53 String s = simpleHash.toHex(); System.out.println(s); } }
四。增添盐值 salt ,根据名字进行加密。
为什么?
在数据库中,不同的用户,可能存在相同的密码,这也是不安全的。---------》salt解决问题。
package com.aaa.realm; import com.aaa.util.MD5Utils; import org.apache.shiro.authc.*; import org.apache.shiro.crypto.hash.SimpleHash; import org.apache.shiro.realm.AuthenticatingRealm; import org.apache.shiro.util.ByteSource; public class MyRealm extends AuthenticatingRealm { @Override //令牌信息 从表单中传递过来的身份信息 protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { UsernamePasswordToken usernamePasswordToken= (UsernamePasswordToken) authenticationToken; //获取令牌中的用户名 String username = usernamePasswordToken.getUsername(); String password="0668410aa0944d32908ca1fd66890c92"; //数据库中加密的密码 // 1.这里也要加上盐值 和下面匹配。 2.用户名充当盐值,不固定,不要把用户名写死。 username代替。 ByteSource salt = ByteSource.Util.bytes(username); //返回认证信息 添加一个 密码加密 salt 用户名 散列的密码 盐值,用户名 SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username,password,salt,getName()); return info; } public static void main(String[] args) { //模拟数据库中的一个用户名 String username="haha"; //加盐,salt 类型是ByteSource 解决不同用户名密码相同的问题。 ByteSource salt = ByteSource.Util.bytes("haha"); //算法的名称 和 原始密码 盐值 SimpleHash simpleHash = new SimpleHash("MD5","666" ,salt); //得到 加密后的数据 0668410aa0944d32908ca1fd66890c92 String s = simpleHash.toHex(); System.out.println(s); } }
五,测试。