网站导航
> 文章列表 > 安全校验和框架---JWT和Shrio

安全校验和框架---JWT和Shrio

网友: 文章列表 2024-03-21 23:05:36

安全校验和框架---JWT和Shrio

安全架构

加密

分类

  • 可逆加密和不可逆加密
    • 不可逆加密:常见的不可逆加密算法有MD5,HMAC,SHA1、SHA-224、SHA-256、SHA-384,和SHA-512,其中SHA-224、SHA-256、SHA-384;
  • 可逆加密分为对称加密和非对称加密
    • 通过密钥进行加密;
    • 对称加密加密和解密使用同一个密钥,使用该密钥可以获取原密码
    • 非对称加密加密通过公钥,解密通过私钥;公钥可以公开给别人进行加密,私钥永远在自己手里,非常安全,黑客拦截也没用,因为私钥未公开。著名的RSA加密算法用的就是非对称加密。

JWT

https://blog.csdn.net/weixin_45070175/article/details/118559272

  • JWT(JSON Web Token)是一种常用的非对称加密规范

  • JWT组成头部、负载、签名三部分组成,所以标准jwt格式为:xxx.zzz.yyyyyyy

    • 1.头部(Base64加密成字符串):描述jwt的基本信息;包括typ、alg
{'typ':'JWT'      #类型'alg':'HS256'    #算法
}
2.负载(Base64加密成字符串):存放有效信息的部分,一般携带时间以方便验证token是否过期失效;
3.签名(通过头部的加密算法进行组合加密):头部(Base64加密成字符串)、负载(Base64加密成字符串)加上盐(secret)组合加密成为的第三部分;由于只有盐是服务器自定义的,所以一定要保密盐,防止客户端自己创建jwt;
    • 安全校验和框架---JWT和Shrio

  • 类型:

    • nonsecure JWT未经过签名,不安全的JWT;
    • JWS经过签名的JWT;
    • JWEpayload部分经过加密的JWT

  • java支持(jwt、jjwt等

    •     <dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.9.1</version></dependency>

    • //对称加密解密//加密
@Testvoid contextLoads() {JwtBuilder jwtBuilder = Jwts.builder()//设置jti.setId("111")//设置签发事件.setIssuedAt(new Date())//设置编码格式和盐.signWith(SignatureAlgorithm.HS256,"xxxx")//设置过期时间为1分钟后.setExpiration(new Date(live));//生成tokenString token = jwtBuilder.compact();System.out.println(token);}//解密@Testvoid contextLoads() {Claims claims = Jwts.parser().setSigningKey("xxxx")//设置盐.parseClaimsJws(token).getBody();//输入tokenSystem.out.println("id"+claims.getId()+"time"+claims.getIssuedAt());//解析数据}//非对称加密

JWT认证流程

安全校验和框架---JWT和Shrio

Shrio

快速入门

基础知识

Shiro是一个强大且易用的Java安全框架,能够用于身份验证、授权、加密和会话管理。Shiro拥有易于理解的API,您可以快速、轻松地获得任何应用程序——从最小的移动应用程序到最大的网络和企业应用程序。

特点

  • 易于使用
  • 全面:不需要依赖其他框架,而且可以集成在其他框架上;
  • 灵活:可以在多种应用环境下使用,包括但不限于web和EJB等
  • 低耦合和web支持等
功能架构

preview

Authentication(认证), Authorization(授权), Session Management(会话管理), Cryptography(加密)被 Shiro 框架的开发团队称之为应用安全的四大基石。

  • Authentication:用户身份鉴别(即登录)
  • Authorization:访问控制(权限控制),比如某一个用户是否具有某一操作的使用权限
  • Session Management:特定用户的会话管理,可以用于单点登录等
  • Cryptography:在数据源处对于数据进行加密;

辅助功能支持

  • web Support:显然是对于web支持
  • caching:缓存是Apache Shiro API中的第一级,以确保安全操作保持快速和高效。
  • Concurrent:并发操作的支持
  • “记住我”和“以…运行”
组件架构

img

三大组件:Subject、Shiro SecurityManager、Realm

  • Subject当前用户,Subject 可以是一个人,但也可以是第三方服务、守护进程帐户、时钟守护任务或者其它–当前和软件交互的任何事件。
  • Shiro SecurityManager管理所有Subject,SecurityManager 是 Shiro 架构的核心,配合内部安全组件共同组成安全伞。
  • Realm用于进行权限信息的验证我们自己实现。Realm 本质上是一个特定的安全 DAO:它封装与数据源连接的细节,得到Shiro 所需的相关的数据。在配置 Shiro 的时候,你必须指定至少一个Realm 来实现认证(authentication)和/或授权(authorization)。

认证的过程

安全校验和框架---JWT和Shrio

  • 首先获取到代表用户的Subject,将账号密码封装到UsernamePasswordToken得到token,然后调用login进入安全管理器
  • 然后通过安全管理器调用Reaml;
  • 再然后自定义Reaml进行权限认证;
  • 最后可以通过logout退出认证;

使用

preview

    @PostMapping("/login")public String login(String adminName, String password){//获取当前用户Subject subject = SecurityUtils.getSubject();//封装用户登录信息UsernamePasswordToken token = new UsernamePasswordToken(adminName,password);try{//执行登录方法subject.login(token);//登录成功……,跳转helloworld页面return "helloworld";}catch (UnknownAccountException e){//用户名不存在model.addAttribute("msg","管理员名错误");return "index";}catch (IncorrectCredentialsException e){//密码不存在model.addAttribute("msg","密码错误");return "index";}}

快速开始

  1. 自定义Reaml

    //首先继承AuthorizingRealm 
//重写俩个方法:授权和认证
public class MyReaml entends AuthorizingRealm {//授权@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {//……}//认证@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {//……}
}

  2. 密码加密

    SimpleHash:Shiro自带的MD5加密算法

    BCryptspring的加密算法

    //BCrypt加解密
public final class BcrypUtil {/* 加密* @param password* @return*/public static String encode(String password){return BCrypt.hashpw(password, BCrypt.gensalt());}/* 密码校验* @param password* @param encodePassword* @return*/public static boolean match(String password, String encodePassword){return BCrypt.checkpw(password, encodePassword);}
}

  3. 注册到SpringBoot

    • 注册默认的AuthorizingRealm(认证领域)、SecurityManager(安全管理器)、SimpleCredentialsMatcher(密码管理器)ShiroFilterFactoryBean(校验规则)

//通过@Configuration类+@Bean注册bean
@Configuration
public class ShiroConfig {//重写校验规则的时候自带注册@Autowiredprivate SecurityMatcher matcher;/* 首先书Reaml* 身份认证 Realm* @return*/@Beanpublic UserRealm userRealm(){UserRealm userRealm = new UserRealm();userRealm.setAuthenticationTokenClass(AuthenticationToken.class);userRealm.setCredentialsMatcher(校验器);return userRealm;}/* 安全管理器* @param userRealm* @return*/@Bean(name = "defaultWebSecurityManager")public DefaultWebSecurityManager getDefaultWebSecurityManager(){DefaultWebSecurityManager defaultWebSecurityManager = new DefaultWebSecurityManager();//关联UserRealmdefaultWebSecurityManager.setRealm(userRealm());return defaultWebSecurityManager;}/* 过滤器工厂(配置过滤规则)* @param defaultWebSecurityManager* @return*/@Bean(name = "shiroFilterFactoryBean")public ShiroFilterFactoryBean getShiroFilterFactoryBean(){/* anon:无需校验就可以访问* authc:登录才可以访问* user:“记住我才可以访问”* perms:拥有对于某一资源访问权限才可以访问* role:拥有某一角色权限才可以访问*/ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();//设置安全管理器bean.setSecurityManager(getDefaultWebSecurityManager());//添加shiro的内置过滤器,配置拦截规则Map<String,String> filterMap = new LinkedHashMap<>();filterMap.put("/swagger/","anon");//无需登录filterMap.put("/v3/","anon");filterMap.put("/doc.html","anon");filterMap.put("/admin/login","anon");filterMap.put("/admin/addAdmin","roles[root]");//拥有root权限filterMap.put("/admin/","authc");//需要登录//将自定义规则设置为过滤器的规则bean.setFilterChainDefinitionMap(filterMap);//配置无权限时跳转登录页面的位置(或者处理方式)bean.setLoginUrl("/toLogin");return bean;}/* thymeleaf整合shiro*/@Beanpublic ShiroDialect getShiroDialect(){return new ShiroDialect();}
}@Compoment
public class SecurityMatcher extends SimpleCredentialsMatcher {@Overridepublic boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {//前端传来的密码UsernamePasswordToken admin = (UsernamePasswordToken) token;String password = new String(admin.getPassword());//数据库中查询出的加密后的密码String encodePassword = (String) info.getCredentials();//密码比较return BcrypUtil.match(password, encodePassword);}
}

组件

Subject和SecurityUtils

  • Subject:单个应用程序用户的状态和安全操作。这些操作包括身份验证(登录/注销)、授权(访问控制)和会话访问。它是 Shiro 用于单用户安全功能的主要机制。
  • SecurityUtils:静态工具类,可以通过其getSubject获取当前访问(线程的Subject)

前面我们在使用的时候已经知道Subject仅仅通过一个login方法即可以实现登录验证;

Realm

SecurityManager

  • SecurityManager安全管理器,对全部的subject进行安全管理, 它是shiro的核心,负责对所有的subject进行安全管理。 SecurityManager调用调用shiro的各个最核心组件,连接当前请求和其他核心组件进行交互(授权、认证、session、crash等)
    • 安全校验和框架---JWT和Shrio
  • 实现体系*(其实现类似docker,层层嵌套,功能层层扩展)*
    • 安全校验和框架---JWT和Shrio

Authenticator和Authorizer

  • Authenticator即认证器,对用户身份进行认证,shiro提供ModularRealmAuthenticator实现类,通过 ModularRealmAuthenticator基本上可以满足大多数需求,也可以 自定义认证器。
  • Authorizer即授权器,用户通过认证器认证通过,在访问功能时 需要通过授权器判断用户是否有此功能的操作权限。
网络标签:

相关问题