当前位置: 首页 > news >正文

Shiro会话管理和加密

一、会话相关API及会话使用

Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如Web容器Tomcat),可以在JavaSE和JavaEE环境中使用。会话相关API主要包括:

  • Subject.getSession(): 获取当前用户的会话,如果当前没有创建会话对象,则会创建一个新的会话。这等价于Subject.getSession(true)
  • Subject.getSession(boolean create): 根据参数决定是否创建一个新的会话。如果createtrue且当前没有会话,则创建一个新的会话;如果为false且当前没有会话,则返回null
  • session.setAttribute(key, value): 设置会话属性。
  • session.getAttribute(key): 获取会话属性。
  • session.removeAttribute(key): 删除会话属性。

会话使用时,建议在Controller层使用原生的HttpSession对象,在Service层使用Shiro提供的Session对象。

二、缓存

问题分析

在每次访问设置了权限的页面时,Shiro都会执行doGetAuthorizationInfo()方法来获取权限信息。这可能导致性能问题,因为每次请求都需要重新计算权限。

解决办法

对权限授权数据进行缓存处理。可以使用第三方的Shiro-Redis集成Redis来实现缓存。

具体实现

  1. 在Shiro配置类中配置Redis缓存管理器。
  2. 在自定义Realm中使用缓存管理器来缓存权限信息。
  3. 在用户登录或权限变更时,手动清除缓存中的旧权限信息。

示例代码(Spring Boot环境):

// Shiro配置类  
@Configuration  
public class ShiroConfig {  // ...  @Bean  public RedisCacheManager cacheManager(RedisManager redisManager) {  RedisCacheManager cacheManager = new RedisCacheManager();  cacheManager.setRedisManager(redisManager);  return cacheManager;  }  // ...  
}  // 自定义Realm  
public class CustomRealm extends AuthorizingRealm {  // ...  @Autowired  private RedisCacheManager cacheManager;  @Override  protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {  // 从缓存中获取权限信息  String cacheKey = getAuthorizationCacheKey(principals);  AuthorizationInfo cachedAuthInfo = (AuthorizationInfo) cacheManager.getCache("authorizationCache").get(cacheKey);  if (cachedAuthInfo != null) {  return cachedAuthInfo;  }  // 如果缓存中没有,则查询数据库并缓存结果  AuthorizationInfo authInfo = // 查询数据库获取权限信息  cacheManager.getCache("authorizationCache").put(cacheKey, authInfo);  return authInfo;  }  // ...  private String getAuthorizationCacheKey(PrincipalCollection principals) {  // 生成缓存键,例如使用用户名  return principals.getPrimaryPrincipal().toString();  }  // 清除缓存的方法  public void clearCachedAuthorizationInfo(PrincipalCollection principals) {  String cacheKey = getAuthorizationCacheKey(principals);  cacheManager.getCache("authorizationCache").remove(cacheKey);  }  
}
演示测试

在测试环境中,可以通过模拟用户登录和访问受保护资源来验证缓存是否生效。观察日志或调试信息,确认Shiro是否从缓存中获取了权限信息而不是每次都查询数据库。

三、加密

哈希与盐

为了增强密码的安全性,Shiro支持使用哈希算法对密码进行加密,并可以添加盐值以防止彩虹表攻击。

加密与验证

在Shiro中,可以通过配置HashedCredentialsMatcher来实现密码的哈希加密和验证。HashedCredentialsMatcher可以设置哈希算法(如MD5、SHA-256等)和哈希迭代次数。

具体实现
  1. 在Shiro配置类中配置HashedCredentialsMatcher
  2. 在自定义Realm中使用HashedCredentialsMatcher进行密码验证。

示例代码:

// Shiro配置类  
@Configuration  
public class ShiroConfig {  // ...  @Bean  public HashedCredentialsMatcher hashedCredentialsMatcher() {  HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();  hashedCredentialsMatcher.setHashAlgorithmName("MD5"); // 设置哈希算法  hashedCredentialsMatcher.setHashIterations(1024); // 设置哈希迭代次数  return hashedCredentialsMatcher;  }  @Bean  public SecurityManager securityManager(CustomRealm customRealm) {  DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();  securityManager.setRealm(customRealm);  securityManager.setCredentialsMatcher(hashedCredentialsMatcher()); // 设置密码加密验证器  return securityManager;  }  // ...  
}  // 自定义Realm  
public class CustomRealm extends AuthorizingRealm {  // ...  @Override  protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {  UsernamePasswordToken upToken = (UsernamePasswordToken) token;  String username = upToken.getUsername();  // 查询数据库获取用户信息  User user = userService.findUserByName(username);  if (user == null) {  throw new UnknownAccountException("用户不存在");  }  // 返回认证信息,包含用户名、密码(已加密)、盐值和Realm名称  return new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), ByteSource.Util.bytes(user.getSalt()), getName());  }  // ...  
}

在上面的代码中,User类应该包含用户名、密码(已加密)、盐值等属性。在注册用户时,应该使用与HashedCredentialsMatcher相同的哈希算法和迭代次数对密码进行加密,并将加密后的密码和盐值存储在数据库中。

四、登录次数限制

Shiro本身没有直接提供登录次数限制的功能,但可以通过自定义Realm或拦截器来实现。例如,可以在自定义Realm中维护一个登录失败次数的计数器,当登录失败次数超过一定限制时,可以锁定用户账户或增加额外的验证步骤。

实现登录次数限制的示例代码(简化版):

// 自定义Realm  
public class CustomRealm extends AuthorizingRealm {  // ...  private Map<String, Integer> loginFailureCounts = new ConcurrentHashMap<>(); // 登录失败次数计数器  private static final int MAX_FAILURE_COUNT = 5; // 最大失败次数限制  @Override  protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {  UsernamePasswordToken upToken = (UsernamePasswordToken) token;  String username = upToken.getUsername();  // 检查登录失败次数是否超过限制  if (loginFailureCounts.getOrDefault(username, 0) >= MAX_FAILURE_COUNT) {  throw new LockedAccountException("账户已被锁定,请稍后再试");  }  // 查询数据库获取用户信息  User user = userService.findUserByName(username);  if (user == null) {  // 登录失败,增加失败次数计数器  loginFailureCounts.put(username, loginFailureCounts.getOrDefault(username, 0) + 1);  throw new UnknownAccountException("用户不存在");  }  // 验证密码(省略具体实现)  // ...  // 登录成功,清除失败次数计数器  loginFailureCounts.remove(username);  // 返回认证信息  return new SimpleAuthenticationInfo(user.getUsername(), user.getPassword(), ByteSource.Util.bytes(user.getSalt()), getName());  }  // ...  
}

相关文章:

Shiro会话管理和加密

一、会话相关API及会话使用 Shiro提供了完整的企业级会话管理功能&#xff0c;不依赖于底层容器&#xff08;如Web容器Tomcat&#xff09;&#xff0c;可以在JavaSE和JavaEE环境中使用。会话相关API主要包括&#xff1a; Subject.getSession(): 获取当前用户的会话&#xff0…...

GPON、XG-PON和XGS-PON的区别

类别GPON10G PON 细分 GPON XG-PON XGS-PON 下行速率 2.488 Gbps 9.953 Gbps 9.953Gbps 上行速率 1.244 Gbps 2.488 Gbps 9.953Gbps 可用带宽 2200Mbps 8500Mbps 8500Mbps 1000Mbps2000Mbps8500Mbps ITU-T标准 G.984&#xff08;2003年&#xff09; G.987 &a…...

Spring 项目返回值枚举类编写技巧

Spring 项目返回值枚举类编写技巧 在 Spring 项目中&#xff0c;使用枚举类来统一管理返回值和状态码是一种非常优雅的实现方式。这不仅能提升代码的可读性和维护性&#xff0c;还能避免在代码中硬编码字符串或数字来表示状态码。本文将以 ReturnCodeEnum 为例&#xff0c;介绍…...

【操作系统】06.进程控制

一、进程创建 1.1 认识fork函数 在linux中fork函数是非常重要的函数&#xff0c;它从已存在进程中创建一个新进程。新进程为子进程&#xff0c;而原进程为父进程。 进程调用fork&#xff0c;当控制转移到内核中的fork代码后&#xff0c;内核将 分配新的内存块和内核数据结构…...

16天自制CppServer-day02

day02-设置错误与异常处理机制 上一天我们写了一个客户端与服务器通过socket进行连接&#xff0c;对socket,bind,listen,accept,connect等函数&#xff0c;我们都设想程序完美地、没有任何异常地运行&#xff0c;但显然这不现实&#xff0c;应该设置出现异常的处理机制&#x…...

时空智友企业流程化管控系统uploadStudioFile接口存在任意文件上传漏洞

免责声明&#xff1a;请勿利用文章内的相关技术从事非法测试&#xff0c;由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失&#xff0c;均由使用者本人负责&#xff0c;所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 时空智友…...

Linux 中文件的权限说明

目录 一&#xff1a;文件权限类型二&#xff1a;默认权限管理1. 查看当前用户的umask值2. 修改当前用户的umask值3. 根据umask计算默认权限 三&#xff1a;普通权限管理1. 三种普通权限说明1.1 对于非目录文件来说1.2 对于目录文件来说 2. 查看某个文件的权限信息2.1 使用 ls -…...

MySql数据库中数据类型

本篇将介绍在 MySql 中的所有数据类型&#xff0c;其中主要分为四类&#xff1a;数值类型、文本和二进制类型、时间日期、String 类型。如下&#xff08;图片来源&#xff1a;MySQL数据库&#xff09;&#xff1a; 目录如下&#xff1a; 目录 数值类型 1. 整数类型 2. …...

Godot中的信号

目录 概念 signal connect方法连接Callable 信号要求参数 查看信号 连接信号 监听信号 Button - text属性 pressed 连接源 「按钮」的信号连接 使用代码&#xff0c;将方法与信号相连接 节点的connect方法 节点直接使用emit_signal方法通过字符串的方式触发信号…...

vba学习系列(8)--指定列单元格时间按时间段计数

系列文章目录 文章目录 系列文章目录前言一、背景二、VBA总结 前言 一、背景 时间格式&#xff1a;00:00:00 时间段格式&#xff1a;00:00:00 - 01:00:00 计数N列单元格时间位于时间段内的行数 二、VBA 代码如下&#xff08;示例&#xff09;&#xff1a; Sub AssignTimeSeg…...

大型企业软件开发是什么样子的? - Web Dev Cody

引用自大型企业软件开发是什么样子的&#xff1f; - Web Dev Cody_哔哩哔哩_bilibili 一般来说 学技术的时候 我们会关注 开发语言特性 &#xff0c;各种高级语法糖&#xff0c;底层技术 但是很少有关注到企业里面的开发流程&#xff0c;本着以终为始&#xff08;以就业为导向…...

【stm32】DMA的介绍与使用

DMA的介绍与使用 1、DMA简介2、存储器映像3、DMA框图4、DMA基本结构5、DMA请求6、数据宽度与对齐7、数据转运DMA&#xff08;存储器到存储器的数据转运&#xff09;程序编写&#xff1a; 8、ADC连续扫描模式DMA循环转运DMA配置&#xff1a;程序编写&#xff1a; 1、DMA简介 DM…...

哈希表的魔力

哈希表与字典 普遍存在一种误解&#xff0c;认为“哈希表”和“字典”这两个术语可以互换。这种观念从根本上是不准确的&#xff0c;至少在计算机科学领域是如此。 字典是将键映射到值的数据结构的一般概念。而哈希表是字典的具体实现。 本质上&#xff0c;字典扮演着一个总体…...

《YOLO 目标检测》—— YOLO v3 详细介绍

&#xff01;&#xff01;&#xff01;&#xff01;&#xff01;&#xff01;&#xff01;&#xff01;&#xff01;&#xff01;&#xff01;&#xff01;&#xff01;还未写完&#xff01;&#xff01;&#xff01;&#xff01;&#xff01;&#xff01;&#xff01;&#xf…...

WNN 多模态整合 | Seurat 单细胞多组学整合流程

测试环境&#xff1a;CentOS7.9, R4.3.2, Seurat 4.4.0, SeuratObject 4.1.4 2024.10.23 # WNN library(ggplot2) library(dplyr) library(patchwork)1. 导入数据 (1). load counts of RNA and protein dyn.load(/home/wangjl/.local/lib/libhdf5_hl.so.100) library(hdf5r)…...

【Linux】磁盘文件系统(inode)、软硬链接

文章目录 1. 认识磁盘1.1 磁盘的物理结构1.2 磁盘的逻辑结构 2. 引入文件系统2.1 EXT系列文件系统的分区结构2.2 inode 3. 软硬链接3.1 软链接3.2 硬链接 在讲过了内存文件系统后&#xff0c;我们可以知道文件分为两种&#xff1a; 打开的文件&#xff08;内存中&#xff09;未…...

网安加·百家讲坛 | 徐一丁:金融机构网络安全合规浅析

作者简介&#xff1a;徐一丁&#xff0c;北京小西牛等保软件有限公司解决方案部总监&#xff0c;网络安全高级顾问。2000年开始从事网络安全工作&#xff0c;主要领域为网络安全法规标准研究、金融行业安全咨询与解决方案设计、信息科技风险管理评估等。对国家网络安全法规标准…...

九、pico+Unity交互开发——触碰抓取

一、VR交互的类型 Hover&#xff08;悬停&#xff09; 定义&#xff1a;发起交互的对象停留在可交互对象的交互区域。例如&#xff0c;当手触摸到物品表面&#xff08;可交互区域&#xff09;时&#xff0c;视为触发了Hover。 Grab&#xff08;抓取&#xff09; 概念&#xff…...

老机MicroServer Gen8再玩 OCP万兆光口+IT直通

手上有一台放了很久的GEN8微型服务器&#xff0c;放了很多年&#xff0c;具体什么时候买的我居然已经记不清了 只记得开始装修的时候搬家出去就没用了&#xff0c;结果搬出去有了第1个孩子&#xff0c;孩子小的时候也没时间折腾&#xff0c;等孩子大一点的时候&#xff0c;又有…...

jmeter 从多个固定字符串中随机取一个值的方法

1、先新增用户参数&#xff0c;将固定值设置为不同的变量 2、使用下面的函数&#xff0c;调用这写变量 ${__RandomFromMultipleVars(noticeType1|noticeType2|noticeType3|noticeType4|noticeType5)} 3、每次请求就是随机取的值了...

【解密LSTM、GRU如何解决传统RNN梯度消失问题】

解密LSTM与GRU&#xff1a;如何让RNN变得更聪明&#xff1f; 在深度学习的世界里&#xff0c;循环神经网络&#xff08;RNN&#xff09;以其卓越的序列数据处理能力广泛应用于自然语言处理、时间序列预测等领域。然而&#xff0c;传统RNN存在的一个严重问题——梯度消失&#…...

服务器硬防的应用场景都有哪些?

服务器硬防是指一种通过硬件设备层面的安全措施来防御服务器系统受到网络攻击的方式&#xff0c;避免服务器受到各种恶意攻击和网络威胁&#xff0c;那么&#xff0c;服务器硬防通常都会应用在哪些场景当中呢&#xff1f; 硬防服务器中一般会配备入侵检测系统和预防系统&#x…...

【CSS position 属性】static、relative、fixed、absolute 、sticky详细介绍,多层嵌套定位示例

文章目录 ★ position 的五种类型及基本用法 ★ 一、position 属性概述 二、position 的五种类型详解(初学者版) 1. static(默认值) 2. relative(相对定位) 3. absolute(绝对定位) 4. fixed(固定定位) 5. sticky(粘性定位) 三、定位元素的层级关系(z-i…...

PL0语法,分析器实现!

简介 PL/0 是一种简单的编程语言,通常用于教学编译原理。它的语法结构清晰,功能包括常量定义、变量声明、过程(子程序)定义以及基本的控制结构(如条件语句和循环语句)。 PL/0 语法规范 PL/0 是一种教学用的小型编程语言,由 Niklaus Wirth 设计,用于展示编译原理的核…...

GitFlow 工作模式(详解)

今天再学项目的过程中遇到使用gitflow模式管理代码&#xff0c;因此进行学习并且发布关于gitflow的一些思考 Git与GitFlow模式 我们在写代码的时候通常会进行网上保存&#xff0c;无论是github还是gittee&#xff0c;都是一种基于git去保存代码的形式&#xff0c;这样保存代码…...

[免费]微信小程序问卷调查系统(SpringBoot后端+Vue管理端)【论文+源码+SQL脚本】

大家好&#xff0c;我是java1234_小锋老师&#xff0c;看到一个不错的微信小程序问卷调查系统(SpringBoot后端Vue管理端)【论文源码SQL脚本】&#xff0c;分享下哈。 项目视频演示 【免费】微信小程序问卷调查系统(SpringBoot后端Vue管理端) Java毕业设计_哔哩哔哩_bilibili 项…...

在树莓派上添加音频输入设备的几种方法

在树莓派上添加音频输入设备可以通过以下步骤完成&#xff0c;具体方法取决于设备类型&#xff08;如USB麦克风、3.5mm接口麦克风或HDMI音频输入&#xff09;。以下是详细指南&#xff1a; 1. 连接音频输入设备 USB麦克风/声卡&#xff1a;直接插入树莓派的USB接口。3.5mm麦克…...

Unity中的transform.up

2025年6月8日&#xff0c;周日下午 在Unity中&#xff0c;transform.up是Transform组件的一个属性&#xff0c;表示游戏对象在世界空间中的“上”方向&#xff08;Y轴正方向&#xff09;&#xff0c;且会随对象旋转动态变化。以下是关键点解析&#xff1a; 基本定义 transfor…...

使用SSE解决获取状态不一致问题

使用SSE解决获取状态不一致问题 1. 问题描述2. SSE介绍2.1 SSE 的工作原理2.2 SSE 的事件格式规范2.3 SSE与其他技术对比2.4 SSE 的优缺点 3. 实战代码 1. 问题描述 目前做的一个功能是上传多个文件&#xff0c;这个上传文件是整体功能的一部分&#xff0c;文件在上传的过程中…...

快速排序算法改进:随机快排-荷兰国旗划分详解

随机快速排序-荷兰国旗划分算法详解 一、基础知识回顾1.1 快速排序简介1.2 荷兰国旗问题 二、随机快排 - 荷兰国旗划分原理2.1 随机化枢轴选择2.2 荷兰国旗划分过程2.3 结合随机快排与荷兰国旗划分 三、代码实现3.1 Python实现3.2 Java实现3.3 C实现 四、性能分析4.1 时间复杂度…...