2. 程式人生 > >分享知識-快樂自己:註冊用戶密碼加密、登錄驗證及權限驗證

分享知識-快樂自己:註冊用戶密碼加密、登錄驗證及權限驗證

阿新 發佈:2018-12-22
ini mission uri pwd 增加 blog 管理 sdn one

***********************以下內容僅作為參考使用:*********************************

1、用戶註冊時,將用戶設置的密碼加密後存入數據庫中(顯然密碼不能簡單地用md5加密一次或者幹脆不加密,這些都是會暴露用戶隱私的,甚至是觸動用戶的利益):

加密密碼:

//生成鹽(部分,需要存入數據庫中)
String random=new SecureRandomNumberGenerator().nextBytes().toHex();
         
//將原始密碼加鹽(上面生成的鹽),並且用md5算法加密三次,將最後結果存入數據庫中
 String result = new
 
 Md5Hash("password",random,3).toString();

2、登錄驗證及權限驗證(繼承AuthorizingRealm,覆蓋其中的方法):

@Component
public class MyRealM extends AuthorizingRealm {

    @Autowired
    private LoginService loginService;

    /**
     * 獲取用戶角色和權限,用於權限認證
     * @param principals
     * @return
     */
    @Override
    
 
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {

        String username = principals.getPrimaryPrincipal().toString();

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //獲取角色(從數據庫中取出時使用逗號分隔的)
        UserInfo user = loginService.getUserByName(username);
        String[] roleArray 
 
= user.getUserrole().split(",");

        Set<String> roles = new HashSet<String>();
        for (String roleid : roleArray) {
            roles.add(loginService.getRoles(roleid));
        }

        //獲取權限(根據角色查詢權限表)
        Set<String> permissions = new HashSet<String>();
        for (String roleid : roleArray) {
            permissions.addAll(loginService.getPermissions(roleid));
        }
        info.setRoles(roles);
        info.setStringPermissions(permissions);
        return info;
    }

    /**
     * 設置用戶登錄認證
     * @param token
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //獲取輸入的用戶賬號,並通過賬號獲取相關信息
        String username = token.getPrincipal().toString();
        UserInfo user = loginService.getUserByName(username);
        if (user != null) {
            //將查詢到的用戶賬號和密碼存放到 authenticationInfo用於後面的權限判斷。第三個參數傳入用戶輸入的用戶名。
            SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user.getUsername(), user.getPwd(), getName());
            //設置鹽,用來核對密碼
            authenticationInfo.setCredentialsSalt(ByteSource.Util.bytes(user.getRandom()));
          
            return authenticationInfo;
        } else {
            return null;
        }
    }
}

3、shiro增加的配置:

  <!-- 配置自定義Realm,設定核對密碼時在加鹽後,要用MD5算法對用戶輸入的密碼加密3次用於核對 -->
    <bean id="myRealM" class="com.test.shiro.MyRealM">
        <property name="credentialsMatcher" >
            <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
                <property name="hashAlgorithmName" value="MD5"></property>
                <property name="hashIterations" value="3"></property>
            </bean>
        </property>
    </bean>

    <!-- 安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="myRealM"/>
    </bean>

    <!--Shiro過濾器-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- Shiro的核心安全接口,這個屬性是必須的 -->
        <property name="securityManager" ref="securityManager"/>
        <!-- 身份認證失敗,則跳轉到登錄頁面的配置(首頁加載頁) -->
        <property name="loginUrl" value="/sourceA/pageA"/>

      <!--登陸成功頁面-->
<property name="successUrl" value="/list.jsp"/>

        <!-- 權限認證失敗,則跳轉到指定頁面 -->
        <property name="unauthorizedUrl" value="/sourceA/error"/>
        <!-- Shiro連接約束配置,即過濾鏈的定義 -->
        <property name="filterChainDefinitions">
            <value>
                 <!--anon 表示匿名訪問,不需要認證以及授權 -->
                /sourceB=anon
                 <!--authc表示需要認證,沒有進行身份認證是不能進行訪問的-->
                /sourceA*=authc
                 <!--roles[內容] 表示需要內容所示的角色才能訪問該路徑-->
                /sourceA=roles[user]
                 <!--perms[內容] 表示需要內容所示的權限才能訪問該路徑-->
                /sourceC/**=perms["sourceC"]
                /sourceD/**=authc,perms["sourceD"]
          <!--除定義的可以訪問路徑以外都需要進行認證-->
          /** = authc  
            </value>
        </property>
    </bean>

4、登錄,調用用戶登錄驗證(權限及角色驗證在用戶訪問某路徑時進行攔截):

//用戶信息bean      
UserInfo info = new UserInfo();
info.setPwd("password");
info.setUsername("username");

Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(info.getUsername(), info.getPwd());

try {

    //驗證
    subject.login(token);
   
    //登陸成功後的處理邏輯:      
    System.out.println("登陸成功");
   
} catch (Exception e) {
    //登陸失敗後的處理邏輯:
    System.out.println("用戶名或密碼錯誤");
   
}

5、登出

Subject subject = SecurityUtils.getSubject();
if (subject.isAuthenticated()) {
    subject.logout();
}

點我可參考其他網址:

分享知識-快樂自己:註冊用戶密碼加密、登錄驗證及權限驗證

相關推薦

分享知識-快樂自己註冊密碼加密驗證驗證

ini mission uri pwd 增加 blog 管理 sdn one ***********************以下內容僅作為參考使用:********************************* 1、用戶註冊時,將用戶設置的密碼加密後存入數據庫中(顯然

分享知識-快樂自己註冊使用者密碼加密登入驗證許可權驗證

***********************以下內容僅作為參考使用:********************************* 1、使用者註冊時,將使用者設定的密碼加密後存入資料庫中(顯然密碼不能簡單地用md5加密一次或者乾脆不加密,這些都是會暴露使用者隱私的,甚至是觸動使用者的利益): 加密密

分享知識-快樂自己Hibernate 中 get() 和 load()savaupdatesavaOrUpdatemerge,不同之處執行原理?

1):Hibernate 中 get()  和 load() 有什麼不同之處? 1)Hibernate的 get方法,會確認一下該id對應的資料是否存在,首先在session快取中查詢,然後在快取中查詢,還沒有就查詢資料庫,資料庫中沒有就返回null。 2)Hibernate的 load方法載入

分享知識-快樂自己三種代理(靜態JDKCGlib 代理)

 1):代理模式(靜態代理)點我下載三種模式原始碼 代理模式是常用設計模式的一種,我們在軟體設計時常用的代理一般是指靜態代理,也就是在程式碼中顯式指定的代理。 靜態代理由 業務實現類、業務代理類 兩部分組成。 業務實現類 負責實現主要的業務方法,業務代理類負責對呼叫的業務方法作攔截、過濾、

分享知識-快樂自己oracle12c創建提示ORA-65096公用戶名或角色無效

語句 mod 租用 內容 rac 取消 nis 步驟 ORC 今天在oracle12c上創建用戶,報錯了。如下圖: 我很郁悶, 就打開了oracle官方網站找了下, 發現創建用戶是有限制的。 2.解決方案 創建用戶的時候用戶名以c##或者C##開頭即可。 錯誤寫法: c

分享知識-快樂自己 Oracle數據庫實例表空間之間關系

相同 表數 包含 每一個 oracle版本 有一個 http instance 但是 數據庫:   Oracle數據庫是數據的物理存儲。這就包括(數據文件ORA或者DBF、控制文件、聯機日誌、參數文件)。   其實Oracle數據庫的概念和其它數據庫不一樣,這裏的數據庫是一

分享知識-快樂自己Struts2(動態方法動態結果字元方法內部跳轉action跳轉OGNL 的使用注意事項)

這裡主要以案例演示:涵蓋以下知識點 1、動態方法呼叫:使用關鍵 符號 ! 進行操作   例如:/名稱空間 ! 方法名 2、動態結果集:就是說,通過後臺返回的結果 ${} 獲取,重定向到符合預期的頁面。 3、萬能萬用字元:*_*  :第一個 * 為 類名、第二個 * 為方

分享知識-快樂自己Spring切入點的表達式和通知類型

win 返回值 size 正常 執行 println ble tps www 1.切入點的表達式 表達式格式: execution([修飾符] 返回值類型 包名.類名.方法名(參數)) 其他的代替: <!-- 完全指定一個方法 --> <!-- &

分享知識-快樂自己搭建第一個 Hibernate (Demo)

分享圖片 depend 文件夾 super bbb tool ets 數據庫配置 unicode 使用 Hibernate 完成持久化操作 七大 步驟: 1、讀取並解析配置文件及映射文件:   Configuration configuration=new Configur

分享知識-快樂自己SpringMvc中 頁面日期格式到後臺的類型轉換

字符串 ima www. format) clas tco demo cef 定義 日期格式的類型轉換:   以往在 from 表單提交的時候,都會有字符串、數字、還有時間格式等信息。 往往如果是數字提交的話底層會自動幫我們把類型進行了隱式轉換。   但是日期格式的卻不能自

分享知識-快樂自己Hibernate對象的三種狀態

png delete rup load() ear 比較 lec alt 使用 圖解: 1):瞬時狀態(Transient)   對象與session沒有關聯,數據庫中沒有對應的數據。   一般new出來的對象便是瞬時對象。   對瞬時對象使用save()方法便使之成

分享知識-快樂自己Hibernate 中Criteria Query查詢詳解

limit all des 結合 project 實現簡單 result eager sele 1):Hibernate 中Criteria Query查詢詳解 當查詢數據時,人們往往需要設置查詢條件。在SQL或HQL語句中,查詢條件常常放在where子句中。 此外,Hib

分享知識-快樂自己oracle12c建立使用者提示ORA-65096公用使用者名稱或角色無效

今天在oracle12c上建立使用者,報錯了。如下圖: 我很鬱悶, 就打開了oracle官方網站找了下, 發現建立使用者是有限制的。 2.解決方案 建立使用者的時候使用者名稱以c##或者C##開頭即可。 錯誤寫法: create user zhaojiedi identified by or

分享知識-快樂自己 Oracle資料庫例項使用者表空間之間關係

資料庫:   Oracle資料庫是資料的物理儲存。這就包括(資料檔案ORA或者DBF、控制檔案、聯機日誌、引數檔案)。   其實Oracle資料庫的概念和其它資料庫不一樣,這裡的資料庫是一個作業系統只有一個庫。可以看作是Oracle就只有一個大資料庫。 例項:   一個Oracle例項(Oracle

分享知識-快樂自己MySQL中的約束,新增約束,刪除約束,以及一些其他修飾

建立資料庫: CREATE DATABASES 資料庫名; 選擇資料庫: USE 資料庫名; 刪除資料庫: DROP DATAVBASE 資料庫名; 建立表: CREATE TABLE IF NOT NULL EXISTS 表名 (欄位1 資料型別 【欄位屬性

分享知識-快樂自己全面解析 java註解實戰指南

請你在看這篇文章時,不要感到枯燥,從頭到尾一行行看,程式碼一行行讀,你一定會有所收穫的。 問:   為什麼學習註解?   學習註解有什麼好處?   學完能做什麼? 答:   1):能夠讀懂別人的程式碼,特別是框架相關的程式碼   2):讓程式設計更加簡潔,程式碼更加清晰   3):讓別人高看一

分享知識-快樂自己Hibernate物件的三種狀態

圖解:   1):瞬時狀態(Transient)   物件與session沒有關聯,資料庫中沒有對應的資料。   一般new出來的物件便是瞬時物件。   對瞬時物件使用save()方法便使之成為持久物件。   由於資料庫中沒有對應的資料,所以對瞬時物件使用update()方法無效。

分享知識-快樂自己Hibernate框架常用API詳解

1):Configuration配置物件 Configuration用於載入配置檔案。 1): 呼叫configure()方法,載入src下的hibernate.cfg.xml檔案     Configuration conf = new Configuration().configure(); 2)

分享知識-快樂自己java 中的訪問修飾符

1):Java中的訪問修飾符: Java面向物件的基本思想之一是封裝細節並且公開介面。Java語言採用訪問控制修飾符來控制類及類的方法和變數的訪問許可權,從而向使用者暴露介面,但隱藏實現細節。 訪問控制分為四種級別: 1):public: 用public修飾的類、類屬變數及方法,包內及包外的任何類(包括

分享知識-快樂自己Oracle SQL語法彙總

--刪除重複值-保留重複值最大的編號 delete from emp where rowid in( select rowid from emp where rowid not in( select max(rowid) rd from emp group by empname) )