ps网站导航制作公众号 上传wordpress

当前位置： 首页 > news >正文

ps网站导航制作,公众号 上传wordpress,北京中兴时代网站建设,有没有专门做京东天猫的人才网站文章目录 前言一、权限、认证、授权二、Shiro的核心组件三、Shiro快速入门1.编码、散列算法#xff12;.Realm接口3.认证和鉴权测试 前言 Shiro是apache旗下一个开源框架#xff0c;它将软件系统的安全认证相关的功能抽取出来#xff0c;实现用户身份认证#xff0c;权限授… 文章目录 前言一、权限、认证、授权二、Shiro的核心组件三、Shiro快速入门1.编码、散列算法.Realm接口3.认证和鉴权测试 前言 Shiro是apache旗下一个开源框架它将软件系统的安全认证相关的功能抽取出来实现用户身份认证权限授权、加密、会话管理等功能组成了一个通用的安全认证框架。 Shiro 是一个强大而灵活的开源安全框架能够非常清晰的处理认证、授权、管理会话以及密码加 密。 一、权限、认证、授权 权限一般指根据系统设置的安全策略或者安全规则用户可以访问而且只能访问自己被授权 的资源不多不少。权限管理几乎出现在任何系统里面只要有用户和密码的系统。 权限管理在系统中一般分为访问权限和数据权限。 认证身份认证就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和密码看其是否与系统中存储的该用户的用户名和密码一致来判断用户身份是否正确。例如密码登录手机短信验证、三方授权等。 认证流程 授权即访问控制控制谁能访问哪些资源。主体进行身份认证后系统会为其分配对应的权限当访问资源时会校验其是否有访问此资源的权限。 在Shiro中采取的是先鉴权在授权只有在需要鉴权的时候Shiro才会去调用相关方法去完成一次次授权操作 简单来说鉴权就是用户通过认证后访问资源时判断判断是否具有访问资源的能力的过程。 二、Shiro的核心组件 Shiro架构图
Subject Subject主体外部应用与subject进行交互subject将用户作为当前操作的主体这个主体可以是一个通过浏览器请求的用户也可能是一个运行的程序。Subject在shiro中是一个接口接口中定义了很多认证授相关的方法外部程序通过subject进行认证授而subject是通过SecurityManager安全管理器进行认证授权SecurityManager SecurityManager权限管理器它是shiro的核心负责对所有的subject进行安全管理。通过 SecurityManager可以完成subject的认证、授权等SecurityManager是通过Authenticator进行认证通过Authorizer进行授权通过SessionManager进行会话管理等。SecurityManager是一个接口继承了Authenticator, Authorizer, SessionManager这三个接口Authenticator Authenticator即认证器对用户登录时进行身份认证Authorizer Authorizer授权器用户通过认证器认证通过在访问功能时需要通过授权器判断用户是否有此功能的操作权限Realm数据库读取认证功能授权功能实现 Realm领域相当于datasource数据源securityManager进行安全认证需要通过Realm获取用户权限数据SessionManager SessionManager会话管理shiro框架定义了一套会话管理它不依赖web容器的session所以shiro可以使用在非web应用上也可以将分布式应用的会话集中在一点管理此特性可使它实现单点登录SessionDAO SessionDAO即会话dao是对session会话操作的一套接口CacheManager CacheManager缓存管理将用户权限数据存储在缓存这样可以提高性能Cryptography Cryptography密码管理shiro提供了一套加密/解密的组件方便开发。比如提供常用的散列、加/解密等功能 三、Shiro快速入门 通过Shiro实现基于内存形式的认证和授权不从库中查数据。 1.编码、散列算法 编码与解码: Shiro提供了base64和16进制字符串编码/解码的API支持方便一些编码解码操作。 Shiro内部的一些数据的【存储/表示】都使用了base64和16进制字符串. 散列算法: 散列算法一般用于生成数据的摘要信息是一种不可逆的算法一般适合存储密码之类的数据。shiro支持的散列算法Md2Hash、Md5Hash、Sha1Hash、Sha256Hash、Sha384Hash、Sha512Hash。 以SHA-1为例的加密工具类 /*** author 杨树林* version 1.0* since 16/8/2023/ public class DigestUtil {//算法方式private static final String SHA1 SHA-1;public static final String SHA256 SHA-256;//加密次数public static final Integer Counts 369;/** Description show* param input 需要散列字符串* param salt 盐字符串* return/public static String show(String input,String salt){return new SimpleHash(SHA256,input,salt,Counts).toString();}/** Description 随机获得salt字符串* return/public static String generateSalt(){SecureRandomNumberGenerator randomNumberGenerator new SecureRandomNumberGenerator();return randomNumberGenerator.nextBytes().toHex();}/** Description 生成密码字符密文和salt密文* param* return*/public static MapString,String entryptPassword(String passwordPlain){MapString,String map new HashMap();String salt generateSalt();String password show(passwordPlain,salt);map.put(salt,salt);map.put(明文password,passwordPlain);map.put(密文密码,password);return map;} }.Realm接口 Shiro中的Realm接口下有三个实现类 最常用的是支持授权的AuthorizingRealm; 2.1在resource目录下创建shiro.ini文件并配置Realm的信息用于告诉SecurityManager权限管理器Realm的信息 [main] MyClasscom.apesource.shiro.MyRealm securityManager.realms$MyClass2.2自定义MyRealm类继承AuthorizingRealm 实现类 public class MyRealm extends AuthorizingRealm {//告诉shiro使用的散列算法public MyRealm() {//指定密码的算法方式sha256HashedCredentialsMatcher hashedCredentialsMatcher new HashedCredentialsMatcher(DigestUtil.SHA256);//指定加密次数hashedCredentialsMatcher.setHashIterations(DigestUtil.Counts);//使用父层方法使匹配生效setCredentialsMatcher(hashedCredentialsMatcher);}//授权Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {System.out.println(进入doGetAuthorizationInfo鉴权方法);//1.获取安全数据 usernameString username (String) principalCollection.getPrimaryPrincipal();//2.通过安全数据查询库。。。。//通过认证传递的安全数据去数据库查询角色以及权限实现授权ListString perms new ArrayList();perms.add(user:save);perms.add(user:update);perms.add(user:delete);perms.add(user:find);ListString roles new ArrayList();roles.add(role1);roles.add(role2);//3.构造返回SimpleAuthorizationInfo info new SimpleAuthorizationInfo();//4.设置权限集合info.addStringPermissions(perms);//设置身份集合info.addRoles(roles);return info;}//认证Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {UsernamePasswordToken token (UsernamePasswordToken)authenticationToken;//获取用户输入的密码String username token.getUsername();//模拟数据库查询用户信息信息ServiceImpl service new ServiceImpl();MapString, String map service.findPasswordByLoginName(username);if(mapnull){throw new UnknownAccountException(账户不存在);}System.out.println(map);String salt map.get(salt);System.out.println(salt);String password map.get(密文密码);//密文密码return new SimpleAuthenticationInfo(username,password, ByteSource.Util.bytes(salt),MyRealm);} }2.3构造业务层提供比对数据模拟从库中查询数据 public interface Service {MapString,String findPasswordByLoginName(String loginName); }实现类 public class ServiceImpl implements Service {Overridepublic MapString, String findPasswordByLoginName(String loginName) {//模拟库中查询对象//1.获取dao对象//2.调用dao方法按照用户名称查询用户信息,匿名密码if(loginName.equals(yangshulin)){MapString, String map DigestUtil.entryptPassword(123456);return map;}return null;} }3.认证和鉴权测试 public class Test1 {Testpublic void login(){//导入INI配置创建工厂FactorySecurityManager factory new IniSecurityManagerFactory(classpath:shiro.ini);//工厂构建安全管理器SecurityManager securityManager factory.getInstance();//使用工具生效安全管理器SecurityUtils.setSecurityManager(securityManager);//使用工具获得subject主体Subject subject SecurityUtils.getSubject();//构建账号密码UsernamePasswordToken token new UsernamePasswordToken(yangshulin,1223456);subject.login(token);//打印登录信息System.out.println(登录结果:subject.isAuthenticated());//鉴权System.out.println(subject.hasRole(role1));System.out.println(subject.hasRole(role2));System.out.println(subject.isPermitted(user:save));System.out.println(subject.isPermitted(user:update));System.out.println(subject.isPermitted(user:find));} }