Shiro的安装和基本使用

shiro中的核心架构

添加依赖到 pom.xml

<dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-core</artifactId><version>1.7.0</version></dependency>

shiro配置文件 .ini 结尾文件（类似.txt)

ini 配置文件用来学习shiro书写我们系统中相关权限数据

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VI45CZZE-1614147077413)(/Users/zhangxuhui/Library/Application Support/typora-user-images/image-20210223093230598.png)]

测试shiro

package com.zxh.shiro;import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.realm.text.IniRealm;
import org.apache.shiro.subject.Subject;/*** @author: AmberZxh* @DateTime: 2021/2/23 9:35 上午* @description:*/
public class TestAuthenticator {public static void main(String[] args) {// 1 . 创建安全管理器对象DefaultSecurityManager securityManager = new DefaultSecurityManager();// 2. 给安全管理器设置realmsecurityManager.setRealm(new IniRealm("classpath:shiro.ini"));// 3. 全局安全工具类 SecurityUtils// 设置安全管理器SecurityUtils.setSecurityManager(securityManager);// 4. 关键对象 subject主体Subject subject = SecurityUtils.getSubject();// 5. 创建令牌UsernamePasswordToken token = new UsernamePasswordToken("xiaozhang","zhang");try{System.out.println("认证状态" + subject.isAuthenticated());subject.login(token);  // 用户认证System.out.println("认证状态" + subject.isAuthenticated());}catch (UnknownAccountException e){e.printStackTrace();System.out.println("认证失败：用户名不存在");}catch (IncorrectCredentialsException e){e.printStackTrace();System.out.println("认证失败：密码不存在");}}}

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CboTD1nZ-1614147077415)(/Users/zhangxuhui/Library/Application Support/typora-user-images/image-20210223095607234.png)]

步骤：

创建安全管理器对象 DefaultSecurityManager
给安全管理器设置realm（以后到数据库中取）

什么是realm ？

对于什么是Realm，我使用过之后，个人总结一下：shiro要进行身份验证，就要从realm中获取相应的身份信息来进行验证，简单来说，我们可以自行定义realm，在realm中，从数据库获取身份信息，然后和用户输入的身份信息进行匹配。这一切都由我们自己来定义。

设置全局安全工具类 SecurityUtils
得到关键对象
创建令牌
验证

运行结果：账号密码正确

运行结果：账号不正确

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MnibvueI-1614147077416)(/Users/zhangxuhui/Library/Application Support/typora-user-images/image-20210223095853308.png)]

运行结果：密码不正确

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CYqHFKoP-1614147077417)(/Users/zhangxuhui/Library/Application Support/typora-user-images/image-20210223095931005.png)]

UnknownAccountException 用户名不存在异常

IncorrectCredentialsException 密码错误异常

Shiro 源码解析

认证：

最终执行用户名比较在 SimpleAccountRealm 类中

doGetAuthenticationInfo 在这个方法中完成了用户名的校验
最终密码校验是在 AuthenticatingRealm 中

assertCredentialsMatch （Credential 凭证）

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DojMZqpl-1614147077418)(/Users/zhangxuhui/Desktop/笔记/Xnip2021-02-23_14-13-01.jpg)]

总结：

AuthenticatingRealm 认证realm doGetAuthenticationInfo(以后我们要覆盖)

AuthorizingRealm 授权realm doGetAuthorizationInfo(以后我们要覆盖)

SimpleAccountRealm 继承 AuthenticatingRealm和AuthorizingRealm

所以，它有了认证和授权的权利。

自定义realm进行验证

创建这两个对象

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ySMq0kSY-1614147077418)(/Users/zhangxuhui/Library/Application Support/typora-user-images/image-20210223151011967.png)]

CustomerRealm.java

package com.zxh.shiro.realm;import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;/*** @author: AmberZxh* @DateTime: 2021/2/23 2:29 下午* @description:** 自定义realm实现，将认证/授权数据的数据库的来源转为数据库的实现*/
public class CustomerRealm extends AuthorizingRealm {/***  授权* @param principals* @return*/@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {return null;}/***  认证* @param token* @return* @throws AuthenticationException*/@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {// 在token中获取用户名String principal = (String)token.getPrincipal();System.out.println(principal);// 根据身份信息使用jdbc mybatis查询相关数据库if("xiaozhang".equals(principal)){// 参数1 返回数据库中正确用户名// 参数2 返回数据库中正确密码// 参数3 提供当前realm的名字， this.getName()SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo("xiaozhang","123",this.getName());return simpleAuthenticationInfo;}return null;}
}

TestCustormerRealmAuthenticator.java

package com.zxh.shiro.test;import com.zxh.shiro.realm.CustomerRealm;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;/*** @author: AmberZxh* @DateTime: 2021/2/23 2:33 下午* @description:* 使用自定义realm*/
public class TestCustomerRealmAuthenticator {public static void main(String[] args) {// 创建securityManagerDefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();// 设置自定义realmdefaultSecurityManager.setRealm(new CustomerRealm());// 设置安全工具类SecurityUtils.setSecurityManager(defaultSecurityManager);// 通过安全工具类 获取subjectSubject subject = SecurityUtils.getSubject();// 创建tokenUsernamePasswordToken token = new UsernamePasswordToken("xiaozhang", "123");try {subject.login(token);System.out.println(subject.isAuthenticated());} catch (UnknownAccountException e) {e.printStackTrace();System.out.println("用户名错误");}catch (IncorrectCredentialsException e){e.printStackTrace();System.out.println("密码错误");}}
}

以上就是一些基本原理和使用了

MD5+salt

MD5:

作用：一般用来加密或者签名
特点：MD5算法不可逆，内容相同无论执行多少次MD5生成结果始终是一致

流程：

我们知道，如果直接对密码进行散列，那么黑客可以对通过获得这个密码散列值，然后通过查散列值字典（例如MD5密码破解网站），得到某用户的密码。

加Salt可以一定程度上解决这一问题。所谓加Salt方法，就是加点“佐料”。其基本想法是这样的：当用户首次提供密码时（通常是注册时），由系统自动往这个密码里撒一些“佐料”，然后再散列。而当用户登录时，系统为用户提供的代码撒上同样的“佐料”，然后散列，再比较散列值，已确定密码是否正确。

这里的“佐料”被称作“Salt值”，这个值是由系统随机生成的，并且只有系统知道。这样，即便两个用户使用了同一个密码，由于系统为它们生成的salt值不同，他们的散列值也是不同的。即便黑客可以通过自己的密码和自己生成的散列值来找具有特定密码的用户，但这个几率太小了（密码和salt值都得和黑客使用的一样才行）。

下面详细介绍一下加Salt散列的过程。介绍之前先强调一点，前面说过，验证密码时要使用和最初散列密码时使用“相同的”佐料。所以Salt值是要存放在数据库里的。

用户注册时，

用户输入【账号】和【密码】（以及其他用户信息）；
系统为用户生成【Salt值】；
系统将【Salt值】和【用户密码】连接到一起；
对连接后的值进行散列，得到【Hash值】；
将【Hash值1】和【Salt值】分别放到数据库中。

用户登录时，

用户输入【账号】和【密码】；
系统通过用户名找到与之对应的【Hash值】和【Salt值】；
系统将【Salt值】和【用户输入的密码】连接到一起；
对连接后的值进行散列，得到【Hash值2】（注意是即时运算出来的值）；
比较【Hash值1】和【Hash值2】是否相等，相等则表示密码正确，否则表示密码错误。

有时候，为了减轻开发压力，程序员会统一使用一个salt值（储存在某个地方），而不是每个用户都生成私有的salt值。

Shiro中使用MD5并加盐

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-celiUTF0-1614147077419)(/Users/zhangxuhui/Library/Application Support/typora-user-images/image-20210224110021194.png)]

package com.zxh.shiro.test;import org.apache.shiro.crypto.hash.Md5Hash;/*** @author: AmberZxh* @DateTime: 2021/2/24 9:01 上午* @description:*/
public class TestShiroMD5 {public static void main(String[] args) {// 使用md5Md5Hash md5Hash = new Md5Hash("123");System.out.println(md5Hash);// 使用md5 + salt处理Md5Hash md5Hash1 = new Md5Hash("123", "X0*7ps");System.out.println(md5Hash1);// 使用md5 + salt + hash散列Md5Hash md5Hash2 = new Md5Hash("123", "X0*7ps", 1024);System.out.println(md5Hash2);}
}

结果

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-f6Spp2nY-1614147077419)(/Users/zhangxuhui/Library/Application Support/typora-user-images/image-20210224110049799.png)]

重写密码匹配器

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-O7uWyO3M-1614147077419)(/Users/zhangxuhui/Library/Application Support/typora-user-images/image-20210224135117955.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-icQsxIla-1614147077419)(/Users/zhangxuhui/Library/Application Support/typora-user-images/image-20210224140057768.png)]

package com.zxh.shiro.test;import com.zxh.shiro.realm.CustomerMd5Realm;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;/*** @author: AmberZxh* @DateTime: 2021/2/24 9:17 上午* @description:*/
public class TestCustomerMd5RealmAuthenticator {public static void main(String[] args) {// 创建安全管理器DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();// 注入realmCustomerMd5Realm realm = new CustomerMd5Realm();// 创建密码匹配器HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();// 告诉密码匹配器使用的是 md5credentialsMatcher.setHashAlgorithmName("md5");realm.setCredentialsMatcher(credentialsMatcher);defaultSecurityManager.setRealm(realm);// 将安全管理器注入安全工具类SecurityUtils.setSecurityManager(defaultSecurityManager);// 通过安全工具类获取 subjectSubject subject = SecurityUtils.getSubject();// 认证UsernamePasswordToken token = new UsernamePasswordToken("xiaozhang", "123");try {subject.login(token);System.out.println("登录成功");} catch (UnknownAccountException e) {e.printStackTrace();System.out.println("用户名错误");} catch (IncorrectCredentialsException e){e.printStackTrace();System.out.println("密码错误");}}
}

告诉shiro我们的md5和随机盐

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qLoGSICD-1614147077420)(/Users/zhangxuhui/Library/Application Support/typora-user-images/image-20210224140210540.png)]

package com.zxh.shiro.realm;import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;/*** @author: AmberZxh* @DateTime: 2021/2/24 9:14 上午* @description: 使用自定义realm 加入md5+salt+ hash散列*/
public class CustomerMd5Realm extends AuthorizingRealm {@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {return null;}@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {// 获取身份信息String principal = (String) token.getPrincipal();// 根据用户名查询数据库if ("xiaozhang".equals(principal)) {// 参数一 ：数据库用户名// 参数二 ：数据库md5 + salt之后的密码// 参数三 ： 注册时的随机盐// 参数四 ： realm的名字return new SimpleAuthenticationInfo(principal, "e4f9bf3e0c58f045e62c23c533fcf633",ByteSource.Util.bytes("X0*7ps"),this.getName());}return null;}
}

完整的test(完成了散列次数的设置)

CustomerMd5Realm.java

package com.zxh.shiro.realm;import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;/*** @author: AmberZxh* @DateTime: 2021/2/24 9:14 上午* @description: 使用自定义realm 加入md5+salt+ hash散列*/
public class CustomerMd5Realm extends AuthorizingRealm {@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {return null;}@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {// 获取身份信息String principal = (String) token.getPrincipal();// 根据用户名查询数据库if ("xiaozhang".equals(principal)) {// 参数一 ：数据库用户名// 参数二 ：数据库md5 + salt之后的密码// 参数三 ： 注册时的随机盐// 参数四 ： realm的名字return new SimpleAuthenticationInfo(principal, "e4f9bf3e0c58f045e62c23c533fcf633",ByteSource.Util.bytes("X0*7ps"),this.getName());}return null;}
}

TestCustomerMd5RealmAuthenicator.java

package com.zxh.shiro.test;import com.zxh.shiro.realm.CustomerMd5Realm;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;/*** @author: AmberZxh* @DateTime: 2021/2/24 9:17 上午* @description:*/
public class TestCustomerMd5RealmAuthenticator {public static void main(String[] args) {// 创建安全管理器DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();// 注入realmCustomerMd5Realm realm = new CustomerMd5Realm();// 创建密码匹配器HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();// 告诉密码匹配器使用的是 md5credentialsMatcher.setHashAlgorithmName("md5");// 告诉密码匹配器的散列次数credentialsMatcher.setHashIterations(1024);realm.setCredentialsMatcher(credentialsMatcher);defaultSecurityManager.setRealm(realm);// 将安全管理器注入安全工具类SecurityUtils.setSecurityManager(defaultSecurityManager);// 通过安全工具类获取 subjectSubject subject = SecurityUtils.getSubject();// 认证UsernamePasswordToken token = new UsernamePasswordToken("xiaozhang", "123");try {subject.login(token);System.out.println("登录成功");} catch (UnknownAccountException e) {e.printStackTrace();System.out.println("用户名错误");} catch (IncorrectCredentialsException e){e.printStackTrace();System.out.println("密码错误");}}
}

密码 ‘’123‘’ 的各种散列

md5                      = 202cb962ac59075b964b07152d234b70
md5 + salt               = 8a83592a02263bfe6752b2b5b03a4799
md5 + salt + hash散列次数 = e4f9bf3e0c58f045e62c23c533fcf633