springboot-shiro中的问题_shiro cachingenabled-程序员宅基地
一:shiro认证流程图
说明:我们可以看到AuthenticatingRealm这个类的getAuthenticationInfo方法进行了两个操作:doGetAuthenticationInfo和assertCredentialsMatch。
那么doGetAuthenticationInfo这个方法是不是很眼熟呢?是的,我们自己写的XXX_Realm实现的就是这个方法,即获取:从UsernamePasswordToken中获取用户名,从数据库中获取用户名对应的密码,盐值加密和Realm的名字组成的SimpleAuthenticationInfo对象。
@Override
//UserRealm继承了AuthenticatingRealm这个接口,这个接口中有getAuthenticationInfo这个方法
//这个方法中有doGetAuthenticationInfo方法和assertCredentialsMatch方法
//其中assertCredentialsMatch方法用于将doGetAuthenticationInfo返回的AuthenticationInfo对象进行比对,即密码的比对
//UserRealm重写了doGetAuthenticationInfo方法
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//1. 把 AuthenticationToken 转换为 UsernamePasswordToken
UsernamePasswordToken upToken = (UsernamePasswordToken) token;
//2. 从 UsernamePasswordToken 中来获取 username
String account = upToken.getUsername();
//3. 调用数据库的方法, 从数据库中查询 username 对应的用户记录
List<User> list = commonService.select_userbyaccount(account);
if (list == null || list.size() == 0) {
throw new UnknownAccountException("用户不存在!");
}
//AuthenticatingRealm
User user = list.get(0);
String password_from_db = user.getPassword();
SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
account,
password_from_db,
// salt=username+salt,盐值加密
ByteSource.Util.bytes(account),
getName()
);
return authenticationInfo;
}其实我们也可以不妨点开我们写的realm继承的类,我们会发现AuthorizingRealm实际上继承的其中一个类就是AuthenticatingRealm这个类,那么看到这里是不是就有点豁然开朗呢?
问题一:
描述:在shiro中配置了CredentialsMatcher的实现类但是不起作用
/**
* HashedCredentialsMatcher,这个类是为了对密码进行编码的,
* 防止密码在数据库里明码保存,当然在登陆认证的时候,
* 这个类也负责对form里输入的密码进行编码。
* 可以扩展凭证匹配器,实现 输入密码错误次数后锁定等功能,下一次
*/
@Bean(name = "credentialsMatcher")
public HashedCredentialsMatcher hashedCredentialsMatcher() {
HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
//散列算法:这里使用MD5算法;
hashedCredentialsMatcher.setHashAlgorithmName("MD5");
//散列的次数,比如散列两次,相当于 md5(md5(""));
hashedCredentialsMatcher.setHashIterations(2);
//storedCredentialsHexEncoded默认是true,此时用的是密码加密用的是Hex编码;false时用Base64编码
hashedCredentialsMatcher.setStoredCredentialsHexEncoded(true);
return hashedCredentialsMatcher;
}分析:最开始我以为是 @Bean(name = “credentialsMatcher”)中的名字写错了,应该要写成hashedCredentialsMatcher,但是改了之后发现没什么用,我看网上写的配置文件都是这样的,感觉很奇怪。(毕竟shiro是自学的,很多东西都在摸索)
解决:我们的自定义Realm中需要提供一个构造方法,然后再shiro的配置文件中需要在MyRealm的bean配置中将hashedCredentialsMatcher写入MyRealm的构造方法中,不然credentialsMatcher默认实现的类永远都是SimpleCredentialsMatcher,从而无法实现md5加密和盐值加密
public MyRealm(CredentialsMatcher matcher) {
super(matcher);
}@Bean
@DependsOn("lifecycleBeanPostProcessor")
public MyRealm userRealm() {
MyRealm myRealm = new MyRealm(hashedCredentialsMatcher());
return myRealm;
}这里有需要提出来一点,网上大批量的例子是没有写这个的,但是为什么他们的sql脚本中的密码也是加密过的,不是很想吐槽。。。(抄代码都不自己试一下再发布的吗???)
问题二:
描述: shiro继承进来之后,发现用户登入所在的CommonService这个类脱离了aop管理了,原本在这类中被调用的select、insert、update和delete开头的方法都会进行日志处理,但是自从这个类注入到自定义的realm中之后就不被aop所管理了
public class MyRealm extends AuthorizingRealm {
private Logger logger = LoggerFactory.getLogger(MyRealm.class);
@Autowired
private CommonService commonService;分析: 一脸懵逼中。。。我想静静。。。
解决: 擦边球的解决方法就是将shiro所用到的方法写在单独的一个service中,或者所有shiro用到的service将手动加上本来在aop中处理的东西(0.0)
问题三:
描述: 配上shiro之后,发现原来的swagger不能用了,打开链接之后发现被shiro拦截了
分析: 我们可以在XssFilter中将swagger需要访问的url打印出来,然后配到shiro配置文件中
解决: 将这些路径配置到shiro拦截中,配成匿名访问
@Bean(name = "shiroFilter")
public ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
//Shiro的核心安全接口,这个属性是必须的
shiroFilterFactoryBean.setSecurityManager(securityManager);
Map<String, Filter> filterMap = new LinkedHashMap<>();
filterMap.put("authc", new AjaxPermissionsAuthorizationFilter());
shiroFilterFactoryBean.setFilters(filterMap);
Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>();
//============================swagger====================================
filterChainDefinitionMap.put("/swagger*/**", "anon");
filterChainDefinitionMap.put("/webjars/**", "anon");
filterChainDefinitionMap.put("/v2/**", "anon");
//============================druid====================================
filterChainDefinitionMap.put("/druid/**", "anon");
//============================登入====================================
filterChainDefinitionMap.put(baseuri + "login.do", "anon");
//============================退出====================================
filterChainDefinitionMap.put("/login/logout", "anon");
filterChainDefinitionMap.put("/**", "authc");
shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
return shiroFilterFactoryBean;
}
问题四:缓存问题
描述: shiro中的缓存默认值问题
分析:
1、cachingEnabled:默认值是true,总体缓存的开关,如果设置为false就所有缓存都没了!
2、authenticationCachingEnabled:默认值是false,即默认是不缓存AuthenticationInfo信息的
虽然boolean默认值就是false,单单这个地方并不能证明他的值默认值就是false,因为后面还会有AuthenticatingRealm的初始化(调用构造方法),但是很遗憾,AuthenticatingRealm初始化的时候任然给他的值是false
3、authorizationCachingEnabled:表示权限缓存,默认值是true(这里需要说明一下,网上基本都说这个默认值是false,但是本人亲自测了一下,认为他的默认值应该是true,于是去看了一下源码,毕竟需要用事实说话)
没错,authorizationCachingEnabled是AuthorizingRealm的一个boolean类型的成员变量,这里说他的默认值是false也没什么毛病,但是AuthorizingRealm初始化(调用构造方法)的时候,就将他赋值为true,事实实验结果也是true
描述:
1、自定义shiro缓存文件,defaultCache是必须要的,不然就会报错,让你加一个默认缓存
2、缓存名字和我设置的名字不一致竟然也不报错,也能进行缓存,一脸懵逼。。这可能就是默认缓存必须要配置的原因
<defaultCache
maxElementsInMemory="10000"
eternal="false"
timeToIdleSeconds="3600"
timeToLiveSeconds="0"
overflowToDisk="false"
diskPersistent="false"
diskExpiryThreadIntervalSeconds="120"/>
<!--认证缓存-->
<cache
name="authenticationCache"
maxEntriesLocalHeap="2000"
eternal="false"
timeToIdleSeconds="3600"
timeToLiveSeconds="0"
overflowToDisk="false"
statistics="true"/>
<!-- 授权缓存 -->
<cache
name="authorizationCache"
maxEntriesLocalHeap="2000"
eternal="false"
timeToIdleSeconds="3600"
timeToLiveSeconds="0"
overflowToDisk="false"
statistics="true"/>
3、一定要将自定义的EhCacheManager配置进入SecurityManager中
@Bean(name = "securityManager")
public SecurityManager securityManager() {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
//设置缓存
securityManager.setCacheManager(getEhCacheManager());
securityManager.setRealm(userRealm());
return securityManager;
} @Bean
public EhCacheManager getEhCacheManager() {
EhCacheManager em = new EhCacheManager();
//获取自定义的缓存配置文件(默认是classpath:org/apache/shiro/cache/ehcache/ehcache.xml)
em.setCacheManagerConfigFile("classpath:Ehcache.xml");
return em;
}
github地址:https://github.com/mzd123/springboot_shiro (更新中,有兴趣的小伙伴可以下载下来看一看)
智能推荐
使用nginx解决浏览器跨域问题_nginx不停的xhr-程序员宅基地
文章浏览阅读1k次。通过使用ajax方法跨域请求是浏览器所不允许的,浏览器出于安全考虑是禁止的。警告信息如下:不过jQuery对跨域问题也有解决方案,使用jsonp的方式解决,方法如下:$.ajax({ async:false, url: 'http://www.mysite.com/demo.do', // 跨域URL ty..._nginx不停的xhr
在 Oracle 中配置 extproc 以访问 ST_Geometry-程序员宅基地
文章浏览阅读2k次。关于在 Oracle 中配置 extproc 以访问 ST_Geometry,也就是我们所说的 使用空间SQL 的方法,官方文档链接如下。http://desktop.arcgis.com/zh-cn/arcmap/latest/manage-data/gdbs-in-oracle/configure-oracle-extproc.htm其实简单总结一下,主要就分为以下几个步骤。..._extproc
Linux C++ gbk转为utf-8_linux c++ gbk->utf8-程序员宅基地
文章浏览阅读1.5w次。linux下没有上面的两个函数,需要使用函数 mbstowcs和wcstombsmbstowcs将多字节编码转换为宽字节编码wcstombs将宽字节编码转换为多字节编码这两个函数,转换过程中受到系统编码类型的影响,需要通过设置来设定转换前和转换后的编码类型。通过函数setlocale进行系统编码的设置。linux下输入命名locale -a查看系统支持的编码_linux c++ gbk->utf8
IMP-00009: 导出文件异常结束-程序员宅基地
文章浏览阅读750次。今天准备从生产库向测试库进行数据导入,结果在imp导入的时候遇到“ IMP-00009:导出文件异常结束” 错误,google一下,发现可能有如下原因导致imp的数据太大,没有写buffer和commit两个数据库字符集不同从低版本exp的dmp文件,向高版本imp导出的dmp文件出错传输dmp文件时,文件损坏解决办法:imp时指定..._imp-00009导出文件异常结束
python程序员需要深入掌握的技能_Python用数据说明程序员需要掌握的技能-程序员宅基地
文章浏览阅读143次。当下是一个大数据的时代,各个行业都离不开数据的支持。因此,网络爬虫就应运而生。网络爬虫当下最为火热的是Python,Python开发爬虫相对简单,而且功能库相当完善,力压众多开发语言。本次教程我们爬取前程无忧的招聘信息来分析Python程序员需要掌握那些编程技术。首先在谷歌浏览器打开前程无忧的首页,按F12打开浏览器的开发者工具。浏览器开发者工具是用于捕捉网站的请求信息,通过分析请求信息可以了解请..._初级python程序员能力要求
Spring @Service生成bean名称的规则(当类的名字是以两个或以上的大写字母开头的话,bean的名字会与类名保持一致)_@service beanname-程序员宅基地
文章浏览阅读7.6k次,点赞2次,收藏6次。@Service标注的bean,类名:ABDemoService查看源码后发现,原来是经过一个特殊处理:当类的名字是以两个或以上的大写字母开头的话,bean的名字会与类名保持一致public class AnnotationBeanNameGenerator implements BeanNameGenerator { private static final String C..._@service beanname
随便推点
二叉树的各种创建方法_二叉树的建立-程序员宅基地
文章浏览阅读6.9w次,点赞73次,收藏463次。1.前序创建#include<stdio.h>#include<string.h>#include<stdlib.h>#include<malloc.h>#include<iostream>#include<stack>#include<queue>using namespace std;typed_二叉树的建立
解决asp.net导出excel时中文文件名乱码_asp.net utf8 导出中文字符乱码-程序员宅基地
文章浏览阅读7.1k次。在Asp.net上使用Excel导出功能,如果文件名出现中文,便会以乱码视之。 解决方法: fileName = HttpUtility.UrlEncode(fileName, System.Text.Encoding.UTF8);_asp.net utf8 导出中文字符乱码
笔记-编译原理-实验一-词法分析器设计_对pl/0作以下修改扩充。增加单词-程序员宅基地
文章浏览阅读2.1k次,点赞4次,收藏23次。第一次实验 词法分析实验报告设计思想词法分析的主要任务是根据文法的词汇表以及对应约定的编码进行一定的识别,找出文件中所有的合法的单词,并给出一定的信息作为最后的结果,用于后续语法分析程序的使用;本实验针对 PL/0 语言 的文法、词汇表编写一个词法分析程序,对于每个单词根据词汇表输出: (单词种类, 单词的值) 二元对。词汇表:种别编码单词符号助记符0beginb..._对pl/0作以下修改扩充。增加单词
android adb shell 权限,android adb shell权限被拒绝-程序员宅基地
文章浏览阅读773次。我在使用adb.exe时遇到了麻烦.我想使用与bash相同的adb.exe shell提示符,所以我决定更改默认的bash二进制文件(当然二进制文件是交叉编译的,一切都很完美)更改bash二进制文件遵循以下顺序> adb remount> adb push bash / system / bin /> adb shell> cd / system / bin> chm..._adb shell mv 权限
投影仪-相机标定_相机-投影仪标定-程序员宅基地
文章浏览阅读6.8k次,点赞12次,收藏125次。1. 单目相机标定引言相机标定已经研究多年,标定的算法可以分为基于摄影测量的标定和自标定。其中,应用最为广泛的还是张正友标定法。这是一种简单灵活、高鲁棒性、低成本的相机标定算法。仅需要一台相机和一块平面标定板构建相机标定系统,在标定过程中,相机拍摄多个角度下(至少两个角度,推荐10~20个角度)的标定板图像(相机和标定板都可以移动),即可对相机的内外参数进行标定。下面介绍张氏标定法(以下也这么称呼)的原理。原理相机模型和单应矩阵相机标定,就是对相机的内外参数进行计算的过程,从而得到物体到图像的投影_相机-投影仪标定
Wayland架构、渲染、硬件支持-程序员宅基地
文章浏览阅读2.2k次。文章目录Wayland 架构Wayland 渲染Wayland的 硬件支持简 述: 翻译一篇关于和 wayland 有关的技术文章, 其英文标题为Wayland Architecture .Wayland 架构若是想要更好的理解 Wayland 架构及其与 X (X11 or X Window System) 结构;一种很好的方法是将事件从输入设备就开始跟踪, 查看期间所有的屏幕上出现的变化。这就是我们现在对 X 的理解。 内核是从一个输入设备中获取一个事件,并通过 evdev 输入_wayland