一:shiro认证流程图
说明:我们可以看到AuthenticatingRealm这个类的getAuthenticationInfo方法进行了两个操作:doGetAuthenticationInfo和assertCredentialsMatch。
那么doGetAuthenticationInfo这个方法是不是很眼熟呢?是的,我们自己写的XXX_Realm实现的就是这个方法,即获取:从UsernamePasswordToken中获取用户名,从数据库中获取用户名对应的密码,盐值加密和Realm的名字组成的SimpleAuthenticationInfo对象。
@Override
//UserRealm继承了AuthenticatingRealm这个接口,这个接口中有getAuthenticationInfo这个方法
//这个方法中有doGetAuthenticationInfo方法和assertCredentialsMatch方法
//其中assertCredentialsMatch方法用于将doGetAuthenticationInfo返回的AuthenticationInfo对象进行比对,即密码的比对
//UserRealm重写了doGetAuthenticationInfo方法
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//1. 把 AuthenticationToken 转换为 UsernamePasswordToken
UsernamePasswordToken upToken = (UsernamePasswordToken) token;
//2. 从 UsernamePasswordToken 中来获取 username
String account = upToken.getUsername();
//3. 调用数据库的方法, 从数据库中查询 username 对应的用户记录
List<User> list = commonService.select_userbyaccount(account);
if (list == null || list.size() == 0) {
throw new UnknownAccountException("用户不存在!");
}
//AuthenticatingRealm
User user = list.get(0);
String password_from_db = user.getPassword();
SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
account,
password_from_db,
// salt=username+salt,盐值加密
ByteSource.Util.bytes(account),
getName()
);
return authenticationInfo;
}
其实我们也可以不妨点开我们写的realm继承的类,我们会发现AuthorizingRealm实际上继承的其中一个类就是AuthenticatingRealm这个类,那么看到这里是不是就有点豁然开朗呢?
问题一:
描述:在shiro中配置了CredentialsMatcher的实现类但是不起作用
/**
* HashedCredentialsMatcher,这个类是为了对密码进行编码的,
* 防止密码在数据库里明码保存,当然在登陆认证的时候,
* 这个类也负责对form里输入的密码进行编码。
* 可以扩展凭证匹配器,实现 输入密码错误次数后锁定等功能,下一次
*/
@Bean(name = "credentialsMatcher")
public HashedCredentialsMatcher hashedCredentialsMatcher() {
HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
//散列算法:这里使用MD5算法;
hashedCredentialsMatcher.setHashAlgorithmName("MD5");
//散列的次数,比如散列两次,相当于 md5(md5(""));
hashedCredentialsMatcher.setHashIterations(2);
//storedCredentialsHexEncoded默认是true,此时用的是密码加密用的是Hex编码;false时用Base64编码
hashedCredentialsMatcher.setStoredCredentialsHexEncoded(true);
return hashedCredentialsMatcher;
}
分析:最开始我以为是 @Bean(name = “credentialsMatcher”)中的名字写错了,应该要写成hashedCredentialsMatcher,但是改了之后发现没什么用,我看网上写的配置文件都是这样的,感觉很奇怪。(毕竟shiro是自学的,很多东西都在摸索)
解决:我们的自定义Realm中需要提供一个构造方法,然后再shiro的配置文件中需要在MyRealm的bean配置中将hashedCredentialsMatcher写入MyRealm的构造方法中,不然credentialsMatcher默认实现的类永远都是SimpleCredentialsMatcher,从而无法实现md5加密和盐值加密
public MyRealm(CredentialsMatcher matcher) {
super(matcher);
}
@Bean
@DependsOn("lifecycleBeanPostProcessor")
public MyRealm userRealm() {
MyRealm myRealm = new MyRealm(hashedCredentialsMatcher());
return myRealm;
}
这里有需要提出来一点,网上大批量的例子是没有写这个的,但是为什么他们的sql脚本中的密码也是加密过的,不是很想吐槽。。。(抄代码都不自己试一下再发布的吗???)
问题二:
描述: shiro继承进来之后,发现用户登入所在的CommonService这个类脱离了aop管理了,原本在这类中被调用的select、insert、update和delete开头的方法都会进行日志处理,但是自从这个类注入到自定义的realm中之后就不被aop所管理了
public class MyRealm extends AuthorizingRealm {
private Logger logger = LoggerFactory.getLogger(MyRealm.class);
@Autowired
private CommonService commonService;
分析: 一脸懵逼中。。。我想静静。。。
解决: 擦边球的解决方法就是将shiro所用到的方法写在单独的一个service中,或者所有shiro用到的service将手动加上本来在aop中处理的东西(0.0)
问题三:
描述: 配上shiro之后,发现原来的swagger不能用了,打开链接之后发现被shiro拦截了
分析: 我们可以在XssFilter中将swagger需要访问的url打印出来,然后配到shiro配置文件中
解决: 将这些路径配置到shiro拦截中,配成匿名访问
@Bean(name = "shiroFilter")
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
//Shiro的核心安全接口,这个属性是必须的
shiroFilterFactoryBean.setSecurityManager(securityManager);
Map<String, Filter> filterMap = new LinkedHashMap<>();
filterMap.put("authc", new AjaxPermissionsAuthorizationFilter());
shiroFilterFactoryBean.setFilters(filterMap);
Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
//============================swagger====================================
filterChainDefinitionMap.put("/swagger*/**", "anon");
filterChainDefinitionMap.put("/webjars/**", "anon");
filterChainDefinitionMap.put("/v2/**", "anon");
//============================druid====================================
filterChainDefinitionMap.put("/druid/**", "anon");
//============================登入====================================
filterChainDefinitionMap.put(baseuri + "login.do", "anon");
//============================退出====================================
filterChainDefinitionMap.put("/login/logout", "anon");
filterChainDefinitionMap.put("/**", "authc");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilterFactoryBean;
}
问题四:缓存问题
描述: shiro中的缓存默认值问题
分析:
1、cachingEnabled:默认值是true,总体缓存的开关,如果设置为false就所有缓存都没了!
2、authenticationCachingEnabled:默认值是false,即默认是不缓存AuthenticationInfo信息的
虽然boolean默认值就是false,单单这个地方并不能证明他的值默认值就是false,因为后面还会有AuthenticatingRealm的初始化(调用构造方法),但是很遗憾,AuthenticatingRealm初始化的时候任然给他的值是false
3、authorizationCachingEnabled:表示权限缓存,默认值是true(这里需要说明一下,网上基本都说这个默认值是false,但是本人亲自测了一下,认为他的默认值应该是true,于是去看了一下源码,毕竟需要用事实说话)
没错,authorizationCachingEnabled是AuthorizingRealm的一个boolean类型的成员变量,这里说他的默认值是false也没什么毛病,但是AuthorizingRealm初始化(调用构造方法)的时候,就将他赋值为true,事实实验结果也是true
描述:
1、自定义shiro缓存文件,defaultCache是必须要的,不然就会报错,让你加一个默认缓存
2、缓存名字和我设置的名字不一致竟然也不报错,也能进行缓存,一脸懵逼。。这可能就是默认缓存必须要配置的原因
<defaultCache
maxElementsInMemory="10000"
eternal="false"
timeToIdleSeconds="3600"
timeToLiveSeconds="0"
overflowToDisk="false"
diskPersistent="false"
diskExpiryThreadIntervalSeconds="120"/>
<!--认证缓存-->
<cache
name="authenticationCache"
maxEntriesLocalHeap="2000"
eternal="false"
timeToIdleSeconds="3600"
timeToLiveSeconds="0"
overflowToDisk="false"
statistics="true"/>
<!-- 授权缓存 -->
<cache
name="authorizationCache"
maxEntriesLocalHeap="2000"
eternal="false"
timeToIdleSeconds="3600"
timeToLiveSeconds="0"
overflowToDisk="false"
statistics="true"/>
3、一定要将自定义的EhCacheManager配置进入SecurityManager中
@Bean(name = "securityManager")
public SecurityManager securityManager() {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
//设置缓存
securityManager.setCacheManager(getEhCacheManager());
securityManager.setRealm(userRealm());
return securityManager;
}
@Bean
public EhCacheManager getEhCacheManager() {
EhCacheManager em = new EhCacheManager();
//获取自定义的缓存配置文件(默认是classpath:org/apache/shiro/cache/ehcache/ehcache.xml)
em.setCacheManagerConfigFile("classpath:Ehcache.xml");
return em;
}
github地址:https://github.com/mzd123/springboot_shiro (更新中,有兴趣的小伙伴可以下载下来看一看)
文章浏览阅读3.8k次,点赞9次,收藏28次。直接上一个工作中碰到的问题,另外一个系统开启多线程调用我这边的接口,然后我这边会开启多线程批量查询第三方接口并且返回给调用方。使用的是两三年前别人遗留下来的方法,放到线上后发现确实是可以正常取到结果,但是一旦调用,CPU占用就直接100%(部署环境是win server服务器)。因此查看了下相关的老代码并使用JProfiler查看发现是在某个while循环的时候有问题。具体项目代码就不贴了,类似于下面这段代码。while(flag) {//your code;}这里的flag._main函数使用while(1)循环cpu占用99
文章浏览阅读347次。idea shift f6 快捷键无效_idea shift +f6快捷键不生效
文章浏览阅读135次。Ecmacript 中没有DOM 和 BOM核心模块Node为JavaScript提供了很多服务器级别,这些API绝大多数都被包装到了一个具名和核心模块中了,例如文件操作的 fs 核心模块 ,http服务构建的http 模块 path 路径操作模块 os 操作系统信息模块// 用来获取机器信息的var os = require('os')// 用来操作路径的var path = require('path')// 获取当前机器的 CPU 信息console.log(os.cpus._node模块中有很多核心模块,以下不属于核心模块,使用时需下载的是
文章浏览阅读10w+次,点赞435次,收藏3.4k次。SPSS 22 下载安装过程7.6 方差分析与回归分析的SPSS实现7.6.1 SPSS软件概述1 SPSS版本与安装2 SPSS界面3 SPSS特点4 SPSS数据7.6.2 SPSS与方差分析1 单因素方差分析2 双因素方差分析7.6.3 SPSS与回归分析SPSS回归分析过程牙膏价格问题的回归分析_化工数学模型数据回归软件
文章浏览阅读7.5k次。如何利用hutool工具包实现邮件发送功能呢?1、首先引入hutool依赖<dependency> <groupId>cn.hutool</groupId> <artifactId>hutool-all</artifactId> <version>5.7.19</version></dependency>2、编写邮件发送工具类package com.pc.c..._hutool发送邮件
文章浏览阅读867次,点赞2次,收藏2次。docker安装elasticsearch,elasticsearch-head,kibana,ik分词器安装方式基本有两种,一种是pull的方式,一种是Dockerfile的方式,由于pull的方式pull下来后还需配置许多东西且不便于复用,个人比较喜欢使用Dockerfile的方式所有docker支持的镜像基本都在https://hub.docker.com/docker的官网上能找到合..._docker安装kibana连接elasticsearch并且elasticsearch有密码
文章浏览阅读1.3w次,点赞57次,收藏92次。整理 | 郑丽媛出品 | CSDN(ID:CSDNnews)近年来,随着机器学习的兴起,有一门编程语言逐渐变得火热——Python。得益于其针对机器学习提供了大量开源框架和第三方模块,内置..._beeware
文章浏览阅读7.9k次。//// ViewController.swift// Day_10_Timer//// Created by dongqiangfei on 2018/10/15.// Copyright 2018年 飞飞. All rights reserved.//import UIKitclass ViewController: UIViewController { ..._swift timer 暂停
文章浏览阅读986次,点赞2次,收藏2次。1.硬性等待让当前线程暂停执行,应用场景:代码执行速度太快了,但是UI元素没有立马加载出来,造成两者不同步,这时候就可以让代码等待一下,再去执行找元素的动作线程休眠,强制等待 Thread.sleep(long mills)package com.example.demo;import org.junit.jupiter.api.Test;import org.openqa.selenium.By;import org.openqa.selenium.firefox.Firefox.._元素三大等待
文章浏览阅读3k次,点赞4次,收藏14次。Java软件工程师职位分析_java岗位分析
文章浏览阅读2k次。Java:Unreachable code的解决方法_java unreachable code
文章浏览阅读1w次。1、html中设置标签data-*的值 标题 11111 222222、点击获取当前标签的data-url的值$('dd').on('click', function() { var urlVal = $(this).data('ur_如何根据data-*属性获取对应的标签对象