本文主要是介绍SpringBoot整合Shiro(二)——引入MyBatis且进行md5撒盐密码加密,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
在第一篇SpringBoot整合Shiro的基础上进行引入MyBatis和密码进行撒盐md5加密,如果没没有看第一篇文章,请大家先去看SpringBoot整合Shiro安全框架(一)。好,下面接下来讲如何引入MyBatis。
一、引入MyBatis
1、引入mybatis、MySQL和druid的依赖,代码如下:
<!-- myBatis--><dependency><groupId>org.mybatis.spring.boot</groupId><artifactId>mybatis-spring-boot-starter</artifactId><version>2.1.0</version></dependency><!-- MySql的驱动--><dependency><groupId>mysql</groupId><artifactId>mysql-connector-java</artifactId></dependency><dependency><groupId>log4j</groupId><artifactId>log4j</artifactId><version>1.2.17</version></dependency><!--整合阿里巴巴的数据源 类似于dataSource--><dependency><groupId>com.alibaba</groupId><artifactId>druid</artifactId><version>1.1.12</version></dependency>
2、在yml文件中进行配置数据源,代码如下所示:
spring:datasource:username: rootpassword: rooturl: jdbc:mysql://localhost:3306/mybatis?serverTimezone=UTC&useUnicode=true&characterEncoding=utf-8driver-class-name: com.mysql.cj.jdbc.Drivertype: com.alibaba.druid.pool.DruidDataSourcefilters: stat,wall,log4juseGlobalDataSourceStat: trueconnectionProperties: druid.stat.mergeSql=true;druid.stat.slowSqlMillis=500mybatis:type-aliases-package: com.ygl.pojomapper-locations: classpath:mybatis/mapper/*.xml
注意:
1、type:是指明数据源,其默认数据源是:org.apache.tomcat.jdbc.pool.DataSource,这里我们引用阿里巴巴的druid依赖,所以要使用的数据源是com.alibaba.druid.pool.DruidDataSource。
2、mybatis的配置type-aliases-package是配置所有实体类都在该包下,我们在xml文件在写resultType和parameterType时可以直接使用类名,而不需要写全类名。在SpringBoot整合MyBatis中有详细描述,大家不懂的可以进行查看。mapper-locations配置是指明xml文件在具体的那个位置。
3、进行service层和mapper层的编写
这个比较简单,就不给大家写了吧,也就是一个根据用户名进行去数据库中查询密码的方法。算了,还是给大家粘贴下代码吧。
UserSevice接口:
package com.ygl.service;import com.ygl.pojo.User;/*** @author ygl* @description* @date 2020/11/6 16:14*/
public interface UserSevice {public User queryByName(String name);
}userMapperImpl类:
package com.ygl.service.impl;import com.ygl.mapper.UserMapper;
import com.ygl.pojo.User;
import com.ygl.service.UserSevice;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;/*** @author ygl* @description* @date 2020/11/6 16:15*/
@Service
public class UserServiceImpl implements UserSevice {@Autowiredprivate UserMapper userMapper;@Overridepublic User queryByName(String name) {return userMapper.queryByName(name);}
}UserMapper接口:
package com.ygl.mapper;import com.ygl.pojo.User;
import org.apache.ibatis.annotations.Mapper;
import org.springframework.stereotype.Repository;/*** @author ygl* @description* @date 2020/11/6 16:09*/
@Repository
@Mapper
public interface UserMapper {public User queryByName(String name);
}UserMapper.xml:
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapperPUBLIC "-//mybatis.org//DTD Mapper 3.0//EN""http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.ygl.mapper.UserMapper"><select id="queryByName" resultType="User" parameterType="String">select * from user where name = #{name}</select>
</mapper>
这部分代码是最最最基本的,里面注解和内容不在进行详细论述,有那些不懂的问题,大家可以进行在下方评论留言或者自行百度搜索。
4、Realm中认证部分进行登录认证
这里的Realm认证部分其原理思路很简单,就是用户输入的用户名和密码,然后我们根据用户名进数据库中查询到密码,然后再与输入的密码进行验证,如果一致,则验证通过,否则不通过。代码如下所示:
//认证@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {System.out.println("执行了认证功能=》doGetAuthorizationInfo!");UsernamePasswordToken userToken = (UsernamePasswordToken)token;//连接真实数据库 获取到user对象User user = userSevice.queryByName(userToken.getUsername());//如果用户不存在,则返回空,controller层会进行抛出用户名不存在的异常if (user == null){return null;}//密码认证 shiro来进行操作,防止获取到密码return new SimpleAuthenticationInfo(user,user.getPwd(),user.getName());}
这里代码同样是在SpringBoot整合Shiro安全框架(一)基础上进行修改的,大家可以对照这篇文章进行修改。这里的密码验证全部交给Shiro进行验证,自己不需要拿到密码,这里的好处是防止密码窃取。大家有不太懂的地方可以进行仔细看注释哈,注释里写的比较详细。
5、补充:密码采用md5撒盐加密
md5加密这种加密方法是不太安全的,能够进行解密,然后我采用了动态撒盐这种加密方式,说白了就是,动态生成撒盐值,用户名和撒盐值一一对应。在单纯的md5加密的时候。我们只要密码进行加密就行了,当采用撒盐的时候呢,就采用“密码+撒盐值”一起加密,总体思路就是这样的。
那接下来给大家来介绍下怎么实现,首先引入两个工具类,分别是PasswordUtils密码加密工具类和RandomUtils生成随机数工具类,代码如下:
RandomUtils代码:
package com.ygl.utils;import java.util.Random;/*** @author ygl* @description 随机数处理工具类* @date 2020/11/6 16:48*/
public final class RandomUtils {/*** 用于随机选的字符和数字*/public static final String ALLCHAR = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ";/*** 返回一个定长的随机字符串(只包含大小写字母、数字)** @param length 随机字符串长度* @return 随机字符串*/public static String getString(int length) {StringBuilder sb = new StringBuilder();Random random = new Random();for (int i = 0; i < length; i++) {sb.append(ALLCHAR.charAt(random.nextInt(ALLCHAR.length())));}return sb.toString();}
}PasswordUtils工具类代码:
package com.ygl.utils;import org.apache.shiro.crypto.hash.Md5Hash;/*** @author ygl* @description 密码加密的处理工具类* @date 2020/11/6 16:47*/
public class PasswordUtils {/*** 迭代次数*/private static final int ITERATIONS = 6;/*** 盐值长度*/private static final int SALT_NUMBER = 6;/*** 构造方法*/public PasswordUtils() {throw new AssertionError();}/*** 证书凭证** @param username 登录名* @param salt 盐值* @return*/public static String getCredentialsSalt(String username, String salt) {return username + salt;}/*** 获得密码盐值** @return*/public static String getSalt() {return RandomUtils.getString(SALT_NUMBER);}/*** 字符串加密函数MD5实现** @param password 密码* @param username 用户名* @param salt 盐值* @return*/public static String getMd5Password(String password, String username, String salt) {return new Md5Hash(password, getCredentialsSalt(username, salt), ITERATIONS).toString();}public static String getMd5(String password, String username, String salt) {return new Md5Hash(password, getCredentialsSalt(username, salt), ITERATIONS).toString();}
} 代码中注释比较详细,大家不懂的可以看注释哦。
由于我这里没写注册,所以在test中测试生成加密密码和撒盐值,下面我把代码和思路给大家介绍下:
@Testvoid test2(){// 获取盐值String salt = PasswordUtils.getSalt();System.out.println("盐值:"+salt);// 获取加密后的密码String password = PasswordUtils.getMd5("123456", "ygl", salt);System.out.println("password:"+password);System.out.println("密码:"+password);}
test运行之后,控制台会打印出盐值和加密密码,大家进行复制然后添加到数据库中,数据库如下所示:
这些准备工作做好之后,大家需要在Realm类中的认证方法进行修改,它的大致思路是:验证时先拿到用户名,进数据库中查询到该对应的盐值,然后在调用下加密方法,生成加密的密码,然后再将生成的该加密密码与数据库中的密码进行对比,如果一直则认证通过,否则认证不通过。认证代码如下所示:
//认证@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {System.out.println("执行了认证功能=》doGetAuthorizationInfo!");UsernamePasswordToken userToken = (UsernamePasswordToken)token;//连接真实数据库User user = userSevice.queryByName(userToken.getUsername());//pwd代表是用户输入的密码数据String pwd ="";for (int i = 0; i < userToken.getPassword().length; i++) {pwd =pwd +userToken.getPassword()[i];}if (user == null){return null;}/*System.out.println("密码:"+user.getPwd());*/// 获取盐值String salt = user.getSalt();String password = PasswordUtils.getMd5(pwd, user.getName(), salt);char[] chars = password.toCharArray();userToken.setPassword(chars);System.out.println("password:"+password);//密码认证 shiro来进行操作,防止获取到密码return new SimpleAuthenticationInfo(user,user.getPwd(),user.getName());}
注意:
1、密码认证时的new SimpleAuthenticationInfo(user,user.getPwd(),user.getName());的第二个参数值是从数据库中查询的密码,可不是传过来的用户密码,这个位置我就翻车了,你们也注意下。
2、当获取用户输入穿过的密码是不要直接userToken.getPassword(),这样获取的不对,因为userToken对象中的password是
所以我采用了这种for循环获取,代码如下:
UsernamePasswordToken userToken = (UsernamePasswordToken)token;//连接真实数据库User user = userSevice.queryByName(userToken.getUsername());//pwd代表是用户输入的密码数据String pwd ="";for (int i = 0; i < userToken.getPassword().length; i++) {pwd =pwd +userToken.getPassword()[i];}
好的,这次分享就到此结束,有哪里不对的地方或者大家不太懂的地方,希望大家在下方留言讨论
这篇关于SpringBoot整合Shiro(二)——引入MyBatis且进行md5撒盐密码加密的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
