一:shiro认证流程图
说明:我们可以看到AuthenticatingRealm这个类的getAuthenticationInfo方法进行了两个操作:doGetAuthenticationInfo和assertCredentialsMatch。
那么doGetAuthenticationInfo这个方法是不是很眼熟呢?是的,我们自己写的XXX_Realm实现的就是这个方法,即获取:从UsernamePasswordToken中获取用户名,从数据库中获取用户名对应的密码,盐值加密和Realm的名字组成的SimpleAuthenticationInfo对象。
@Override
//UserRealm继承了AuthenticatingRealm这个接口,这个接口中有getAuthenticationInfo这个方法
//这个方法中有doGetAuthenticationInfo方法和assertCredentialsMatch方法
//其中assertCredentialsMatch方法用于将doGetAuthenticationInfo返回的AuthenticationInfo对象进行比对,即密码的比对
//UserRealm重写了doGetAuthenticationInfo方法
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//1. 把 AuthenticationToken 转换为 UsernamePasswordToken
UsernamePasswordToken upToken = (UsernamePasswordToken) token;
//2. 从 UsernamePasswordToken 中来获取 username
String account = upToken.getUsername();
//3. 调用数据库的方法, 从数据库中查询 username 对应的用户记录
List<User> list = commonService.select_userbyaccount(account);
if (list == null || list.size() == 0) {
throw new UnknownAccountException("用户不存在!");
}
//AuthenticatingRealm
User user = list.get(0);
String password_from_db = user.getPassword();
SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
account,
password_from_db,
// salt=username+salt,盐值加密
ByteSource.Util.bytes(account),
getName()
);
return authenticationInfo;
}
其实我们也可以不妨点开我们写的realm继承的类,我们会发现AuthorizingRealm实际上继承的其中一个类就是AuthenticatingRealm这个类,那么看到这里是不是就有点豁然开朗呢?
问题一:
描述:在shiro中配置了CredentialsMatcher的实现类但是不起作用
/**
* HashedCredentialsMatcher,这个类是为了对密码进行编码的,
* 防止密码在数据库里明码保存,当然在登陆认证的时候,
* 这个类也负责对form里输入的密码进行编码。
* 可以扩展凭证匹配器,实现 输入密码错误次数后锁定等功能,下一次
*/
@Bean(name = "credentialsMatcher")
public HashedCredentialsMatcher hashedCredentialsMatcher() {
HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
//散列算法:这里使用MD5算法;
hashedCredentialsMatcher.setHashAlgorithmName("MD5");
//散列的次数,比如散列两次,相当于 md5(md5(""));
hashedCredentialsMatcher.setHashIterations(2);
//storedCredentialsHexEncoded默认是true,此时用的是密码加密用的是Hex编码;false时用Base64编码
hashedCredentialsMatcher.setStoredCredentialsHexEncoded(true);
return hashedCredentialsMatcher;
}
分析:最开始我以为是 @Bean(name = “credentialsMatcher”)中的名字写错了,应该要写成hashedCredentialsMatcher,但是改了之后发现没什么用,我看网上写的配置文件都是这样的,感觉很奇怪。(毕竟shiro是自学的,很多东西都在摸索)
解决:我们的自定义Realm中需要提供一个构造方法,然后再shiro的配置文件中需要在MyRealm的bean配置中将hashedCredentialsMatcher写入MyRealm的构造方法中,不然credentialsMatcher默认实现的类永远都是SimpleCredentialsMatcher,从而无法实现md5加密和盐值加密
public MyRealm(CredentialsMatcher matcher) {
super(matcher);
}
@Bean
@DependsOn("lifecycleBeanPostProcessor")
public MyRealm userRealm() {
MyRealm myRealm = new MyRealm(hashedCredentialsMatcher());
return myRealm;
}
这里有需要提出来一点,网上大批量的例子是没有写这个的,但是为什么他们的sql脚本中的密码也是加密过的,不是很想吐槽。。。(抄代码都不自己试一下再发布的吗???)
问题二:
描述: shiro继承进来之后,发现用户登入所在的CommonService这个类脱离了aop管理了,原本在这类中被调用的select、insert、update和delete开头的方法都会进行日志处理,但是自从这个类注入到自定义的realm中之后就不被aop所管理了
public class MyRealm extends AuthorizingRealm {
private Logger logger = LoggerFactory.getLogger(MyRealm.class);
@Autowired
private CommonService commonService;
分析: 一脸懵逼中。。。我想静静。。。
解决: 擦边球的解决方法就是将shiro所用到的方法写在单独的一个service中,或者所有shiro用到的service将手动加上本来在aop中处理的东西(0.0)
问题三:
描述: 配上shiro之后,发现原来的swagger不能用了,打开链接之后发现被shiro拦截了
分析: 我们可以在XssFilter中将swagger需要访问的url打印出来,然后配到shiro配置文件中
解决: 将这些路径配置到shiro拦截中,配成匿名访问
@Bean(name = "shiroFilter")
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
//Shiro的核心安全接口,这个属性是必须的
shiroFilterFactoryBean.setSecurityManager(securityManager);
Map<String, Filter> filterMap = new LinkedHashMap<>();
filterMap.put("authc", new AjaxPermissionsAuthorizationFilter());
shiroFilterFactoryBean.setFilters(filterMap);
Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
//============================swagger====================================
filterChainDefinitionMap.put("/swagger*/**", "anon");
filterChainDefinitionMap.put("/webjars/**", "anon");
filterChainDefinitionMap.put("/v2/**", "anon");
//============================druid====================================
filterChainDefinitionMap.put("/druid/**", "anon");
//============================登入====================================
filterChainDefinitionMap.put(baseuri + "login.do", "anon");
//============================退出====================================
filterChainDefinitionMap.put("/login/logout", "anon");
filterChainDefinitionMap.put("/**", "authc");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilterFactoryBean;
}
问题四:缓存问题
描述: shiro中的缓存默认值问题
分析:
1、cachingEnabled:默认值是true,总体缓存的开关,如果设置为false就所有缓存都没了!
2、authenticationCachingEnabled:默认值是false,即默认是不缓存AuthenticationInfo信息的
虽然boolean默认值就是false,单单这个地方并不能证明他的值默认值就是false,因为后面还会有AuthenticatingRealm的初始化(调用构造方法),但是很遗憾,AuthenticatingRealm初始化的时候任然给他的值是false
3、authorizationCachingEnabled:表示权限缓存,默认值是true(这里需要说明一下,网上基本都说这个默认值是false,但是本人亲自测了一下,认为他的默认值应该是true,于是去看了一下源码,毕竟需要用事实说话)
没错,authorizationCachingEnabled是AuthorizingRealm的一个boolean类型的成员变量,这里说他的默认值是false也没什么毛病,但是AuthorizingRealm初始化(调用构造方法)的时候,就将他赋值为true,事实实验结果也是true
描述:
1、自定义shiro缓存文件,defaultCache是必须要的,不然就会报错,让你加一个默认缓存
2、缓存名字和我设置的名字不一致竟然也不报错,也能进行缓存,一脸懵逼。。这可能就是默认缓存必须要配置的原因
<defaultCache
maxElementsInMemory="10000"
eternal="false"
timeToIdleSeconds="3600"
timeToLiveSeconds="0"
overflowToDisk="false"
diskPersistent="false"
diskExpiryThreadIntervalSeconds="120"/>
<!--认证缓存-->
<cache
name="authenticationCache"
maxEntriesLocalHeap="2000"
eternal="false"
timeToIdleSeconds="3600"
timeToLiveSeconds="0"
overflowToDisk="false"
statistics="true"/>
<!-- 授权缓存 -->
<cache
name="authorizationCache"
maxEntriesLocalHeap="2000"
eternal="false"
timeToIdleSeconds="3600"
timeToLiveSeconds="0"
overflowToDisk="false"
statistics="true"/>
3、一定要将自定义的EhCacheManager配置进入SecurityManager中
@Bean(name = "securityManager")
public SecurityManager securityManager() {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
//设置缓存
securityManager.setCacheManager(getEhCacheManager());
securityManager.setRealm(userRealm());
return securityManager;
}
@Bean
public EhCacheManager getEhCacheManager() {
EhCacheManager em = new EhCacheManager();
//获取自定义的缓存配置文件(默认是classpath:org/apache/shiro/cache/ehcache/ehcache.xml)
em.setCacheManagerConfigFile("classpath:Ehcache.xml");
return em;
}
github地址:https://github.com/mzd123/springboot_shiro (更新中,有兴趣的小伙伴可以下载下来看一看)
文章浏览阅读3.2k次。本文研究全球与中国市场分布式光纤传感器的发展现状及未来发展趋势,分别从生产和消费的角度分析分布式光纤传感器的主要生产地区、主要消费地区以及主要的生产商。重点分析全球与中国市场的主要厂商产品特点、产品规格、不同规格产品的价格、产量、产值及全球和中国市场主要生产商的市场份额。主要生产商包括:FISO TechnologiesBrugg KabelSensor HighwayOmnisensAFL GlobalQinetiQ GroupLockheed MartinOSENSA Innovati_预计2026年中国分布式传感器市场规模有多大
文章浏览阅读1.1k次,点赞2次,收藏12次。常用组合逻辑电路结构——为IC设计的延时估计铺垫学习目的:估计模块间的delay,确保写的代码的timing 综合能给到多少HZ,以满足需求!_基4布斯算法代码
文章浏览阅读3.3k次,点赞3次,收藏5次。OpenAI Manager助手(基于SpringBoot和Vue)_chatgpt网页版
文章浏览阅读2.2k次。USACO自1992年举办,到目前为止已经举办了27届,目的是为了帮助美国信息学国家队选拔IOI的队员,目前逐渐发展为全球热门的线上赛事,成为美国大学申请条件下,含金量相当高的官方竞赛。USACO的比赛成绩可以助力计算机专业留学,越来越多的学生进入了康奈尔,麻省理工,普林斯顿,哈佛和耶鲁等大学,这些同学的共同点是他们都参加了美国计算机科学竞赛(USACO),并且取得过非常好的成绩。适合参赛人群USACO适合国内在读学生有意向申请美国大学的或者想锻炼自己编程能力的同学,高三学生也可以参加12月的第_usaco可以多次提交吗
文章浏览阅读394次。1.1 存储程序1.2 创建存储过程1.3 创建自定义函数1.3.1 示例1.4 自定义函数和存储过程的区别1.5 变量的使用1.6 定义条件和处理程序1.6.1 定义条件1.6.1.1 示例1.6.2 定义处理程序1.6.2.1 示例1.7 光标的使用1.7.1 声明光标1.7.2 打开光标1.7.3 使用光标1.7.4 关闭光标1.8 流程控制的使用1.8.1 IF语句1.8.2 CASE语句1.8.3 LOOP语句1.8.4 LEAVE语句1.8.5 ITERATE语句1.8.6 REPEAT语句。_mysql自定义函数和存储过程
文章浏览阅读188次。半导体二极管——集成电路最小组成单元。_本征半导体电流为0
文章浏览阅读2.8k次,点赞3次,收藏18次。游戏水面特效实现方式太多。咱们这边介绍的是一最简单的UV动画(无顶点位移),整个mesh由4个顶点构成。实现了水面效果(左图),不动代码稍微修改下参数和贴图可以实现岩浆效果(右图)。有要思路是1,uv按时间去做正弦波移动2,在1的基础上加个凹凸图混合uv3,在1、2的基础上加个水流方向4,加上对雾效的支持,如没必要请自行删除雾效代码(把包含fog的几行代码删除)S..._unity 岩浆shader
文章浏览阅读5k次。广义线性模型是线性模型的扩展,它通过连接函数建立响应变量的数学期望值与线性组合的预测变量之间的关系。广义线性模型拟合的形式为:其中g(μY)是条件均值的函数(称为连接函数)。另外,你可放松Y为正态分布的假设,改为Y 服从指数分布族中的一种分布即可。设定好连接函数和概率分布后,便可以通过最大似然估计的多次迭代推导出各参数值。在大部分情况下,线性模型就可以通过一系列连续型或类别型预测变量来预测正态分布的响应变量的工作。但是,有时候我们要进行非正态因变量的分析,例如:(1)类别型.._广义线性回归模型
文章浏览阅读69次。环境保护、 保护地球、 校园环保、垃圾分类、绿色家园、等网站的设计与制作。 总结了一些学生网页制作的经验:一般的网页需要融入以下知识点:div+css布局、浮动、定位、高级css、表格、表单及验证、js轮播图、音频 视频 Flash的应用、ul li、下拉导航栏、鼠标划过效果等知识点,网页的风格主题也很全面:如爱好、风景、校园、美食、动漫、游戏、咖啡、音乐、家乡、电影、名人、商城以及个人主页等主题,学生、新手可参考下方页面的布局和设计和HTML源码(有用点赞△) 一套A+的网_垃圾分类网页设计目标怎么写
文章浏览阅读614次,点赞7次,收藏11次。之前找到一个修改 exe 中 DLL地址 的方法, 不太好使,虽然能正确启动, 但无法改变 exe 的工作目录,这就影响了.Net 中很多获取 exe 执行目录来拼接的地址 ( 相对路径 ),比如 wwwroot 和 代码中相对目录还有一些复制到目录的普通文件 等等,它们的地址都会指向原来 exe 的目录, 而不是自定义的 “lib” 目录,根本原因就是没有修改 exe 的工作目录这次来搞一个启动程序,把 .net 的所有东西都放在一个文件夹,在文件夹同级的目录制作一个 exe._.net dll 全局目录
文章浏览阅读1.5k次。本文为转载,原博客地址:http://blog.csdn.net/hujingshuang/article/details/46910259简介 BRIEF是2010年的一篇名为《BRIEF:Binary Robust Independent Elementary Features》的文章中提出,BRIEF是对已检测到的特征点进行描述,它是一种二进制编码的描述子,摈弃了利用区域灰度..._breif description calculation 特征点
文章浏览阅读4.1k次,点赞21次,收藏79次。本文是《基于SpringBoot的房屋租赁管理系统》的配套原创说明文档,可以给应届毕业生提供格式撰写参考,也可以给开发类似系统的朋友们提供功能业务设计思路。_基于spring boot的房屋租赁系统论文