在第一篇SpringBoot整合Shiro的基础上进行引入MyBatis和密码进行撒盐md5加密,如果没没有看第一篇文章,请大家先去看SpringBoot整合Shiro安全框架(一)。好,下面接下来讲如何引入MyBatis。
一、引入MyBatis
1、引入mybatis、MySQL和druid的依赖,代码如下:
<!-- myBatis-->
<dependency>
<groupId>org.mybatis.spring.boot</groupId>
<artifactId>mybatis-spring-boot-starter</artifactId>
<version>2.1.0</version>
</dependency>
<!-- MySql的驱动-->
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
</dependency>
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
</dependency>
<!--整合阿里巴巴的数据源 类似于dataSource-->
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>druid</artifactId>
<version>1.1.12</version>
</dependency>
2、在yml文件中进行配置数据源,代码如下所示:
spring:
datasource:
username: root
password: root
url: jdbc:mysql://localhost:3306/mybatis?serverTimezone=UTC&useUnicode=true&characterEncoding=utf-8
driver-class-name: com.mysql.cj.jdbc.Driver
type: com.alibaba.druid.pool.DruidDataSource
filters: stat,wall,log4j
useGlobalDataSourceStat: true
connectionProperties: druid.stat.mergeSql=true;druid.stat.slowSqlMillis=500
mybatis:
type-aliases-package: com.ygl.pojo
mapper-locations: classpath:mybatis/mapper/*.xml
注意:
1、type:是指明数据源,其默认数据源是:org.apache.tomcat.jdbc.pool.DataSource,这里我们引用阿里巴巴的druid依赖,所以要使用的数据源是com.alibaba.druid.pool.DruidDataSource。
2、mybatis的配置type-aliases-package是配置所有实体类都在该包下,我们在xml文件在写resultType和parameterType时可以直接使用类名,而不需要写全类名。在SpringBoot整合MyBatis中有详细描述,大家不懂的可以进行查看。mapper-locations配置是指明xml文件在具体的那个位置。
3、进行service层和mapper层的编写
这个比较简单,就不给大家写了吧,也就是一个根据用户名进行去数据库中查询密码的方法。算了,还是给大家粘贴下代码吧。
UserSevice接口:
package com.ygl.service;
import com.ygl.pojo.User;
/**
* @author ygl
* @description
* @date 2020/11/6 16:14
*/
public interface UserSevice {
public User queryByName(String name);
}
userMapperImpl类:
package com.ygl.service.impl;
import com.ygl.mapper.UserMapper;
import com.ygl.pojo.User;
import com.ygl.service.UserSevice;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;
/**
* @author ygl
* @description
* @date 2020/11/6 16:15
*/
@Service
public class UserServiceImpl implements UserSevice {
@Autowired
private UserMapper userMapper;
@Override
public User queryByName(String name) {
return userMapper.queryByName(name);
}
}
UserMapper接口:
package com.ygl.mapper;
import com.ygl.pojo.User;
import org.apache.ibatis.annotations.Mapper;
import org.springframework.stereotype.Repository;
/**
* @author ygl
* @description
* @date 2020/11/6 16:09
*/
@Repository
@Mapper
public interface UserMapper {
public User queryByName(String name);
}
UserMapper.xml:
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
"http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.ygl.mapper.UserMapper">
<select id="queryByName" resultType="User" parameterType="String">
select * from user where name = #{
name}
</select>
</mapper>
这部分代码是最最最基本的,里面注解和内容不在进行详细论述,有那些不懂的问题,大家可以进行在下方评论留言或者自行百度搜索。
4、Realm中认证部分进行登录认证
这里的Realm认证部分其原理思路很简单,就是用户输入的用户名和密码,然后我们根据用户名进数据库中查询到密码,然后再与输入的密码进行验证,如果一致,则验证通过,否则不通过。代码如下所示:
//认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
System.out.println("执行了认证功能=》doGetAuthorizationInfo!");
UsernamePasswordToken userToken = (UsernamePasswordToken)token;
//连接真实数据库 获取到user对象
User user = userSevice.queryByName(userToken.getUsername());
//如果用户不存在,则返回空,controller层会进行抛出用户名不存在的异常
if (user == null){
return null;
}
//密码认证 shiro来进行操作,防止获取到密码
return new SimpleAuthenticationInfo(user,user.getPwd(),user.getName());
}
这里代码同样是在SpringBoot整合Shiro安全框架(一)基础上进行修改的,大家可以对照这篇文章进行修改。这里的密码验证全部交给Shiro进行验证,自己不需要拿到密码,这里的好处是防止密码窃取。大家有不太懂的地方可以进行仔细看注释哈,注释里写的比较详细。
5、补充:密码采用md5撒盐加密
md5加密这种加密方法是不太安全的,能够进行解密,然后我采用了动态撒盐这种加密方式,说白了就是,动态生成撒盐值,用户名和撒盐值一一对应。在单纯的md5加密的时候。我们只要密码进行加密就行了,当采用撒盐的时候呢,就采用“密码+撒盐值”一起加密,总体思路就是这样的。
那接下来给大家来介绍下怎么实现,首先引入两个工具类,分别是PasswordUtils密码加密工具类和RandomUtils生成随机数工具类,代码如下:
RandomUtils代码:
package com.ygl.utils;
import java.util.Random;
/**
* @author ygl
* @description 随机数处理工具类
* @date 2020/11/6 16:48
*/
public final class RandomUtils {
/**
* 用于随机选的字符和数字
*/
public static final String ALLCHAR = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ";
/**
* 返回一个定长的随机字符串(只包含大小写字母、数字)
*
* @param length 随机字符串长度
* @return 随机字符串
*/
public static String getString(int length) {
StringBuilder sb = new StringBuilder();
Random random = new Random();
for (int i = 0; i < length; i++) {
sb.append(ALLCHAR.charAt(random.nextInt(ALLCHAR.length())));
}
return sb.toString();
}
}
PasswordUtils工具类代码:
package com.ygl.utils;
import org.apache.shiro.crypto.hash.Md5Hash;
/**
* @author ygl
* @description 密码加密的处理工具类
* @date 2020/11/6 16:47
*/
public class PasswordUtils {
/**
* 迭代次数
*/
private static final int ITERATIONS = 6;
/**
* 盐值长度
*/
private static final int SALT_NUMBER = 6;
/**
* 构造方法
*/
public PasswordUtils() {
throw new AssertionError();
}
/**
* 证书凭证
*
* @param username 登录名
* @param salt 盐值
* @return
*/
public static String getCredentialsSalt(String username, String salt) {
return username + salt;
}
/**
* 获得密码盐值
*
* @return
*/
public static String getSalt() {
return RandomUtils.getString(SALT_NUMBER);
}
/**
* 字符串加密函数MD5实现
*
* @param password 密码
* @param username 用户名
* @param salt 盐值
* @return
*/
public static String getMd5Password(String password, String username, String salt) {
return new Md5Hash(password, getCredentialsSalt(username, salt), ITERATIONS).toString();
}
public static String getMd5(String password, String username, String salt) {
return new Md5Hash(password, getCredentialsSalt(username, salt), ITERATIONS).toString();
}
}
代码中注释比较详细,大家不懂的可以看注释哦。
由于我这里没写注册,所以在test中测试生成加密密码和撒盐值,下面我把代码和思路给大家介绍下:
@Test
void test2(){
// 获取盐值
String salt = PasswordUtils.getSalt();
System.out.println("盐值:"+salt);
// 获取加密后的密码
String password = PasswordUtils.getMd5("123456", "ygl", salt);
System.out.println("password:"+password);
System.out.println("密码:"+password);
}
test运行之后,控制台会打印出盐值和加密密码,大家进行复制然后添加到数据库中,数据库如下所示:
这些准备工作做好之后,大家需要在Realm类中的认证方法进行修改,它的大致思路是:验证时先拿到用户名,进数据库中查询到该对应的盐值,然后在调用下加密方法,生成加密的密码,然后再将生成的该加密密码与数据库中的密码进行对比,如果一直则认证通过,否则认证不通过。认证代码如下所示:
//认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
System.out.println("执行了认证功能=》doGetAuthorizationInfo!");
UsernamePasswordToken userToken = (UsernamePasswordToken)token;
//连接真实数据库
User user = userSevice.queryByName(userToken.getUsername());
//pwd代表是用户输入的密码数据
String pwd ="";
for (int i = 0; i < userToken.getPassword().length; i++) {
pwd =pwd +userToken.getPassword()[i];
}
if (user == null){
return null;
}
/*
System.out.println("密码:"+user.getPwd());
*/
// 获取盐值
String salt = user.getSalt();
String password = PasswordUtils.getMd5(pwd, user.getName(), salt);
char[] chars = password.toCharArray();
userToken.setPassword(chars);
System.out.println("password:"+password);
//密码认证 shiro来进行操作,防止获取到密码
return new SimpleAuthenticationInfo(user,user.getPwd(),user.getName());
}
注意:
1、密码认证时的new SimpleAuthenticationInfo(user,user.getPwd(),user.getName());的第二个参数值是从数据库中查询的密码,可不是传过来的用户密码,这个位置我就翻车了,你们也注意下。
2、当获取用户输入穿过的密码是不要直接userToken.getPassword(),这样获取的不对,因为userToken对象中的password是
所以我采用了这种for循环获取,代码如下:
UsernamePasswordToken userToken = (UsernamePasswordToken)token;
//连接真实数据库
User user = userSevice.queryByName(userToken.getUsername());
//pwd代表是用户输入的密码数据
String pwd ="";
for (int i = 0; i < userToken.getPassword().length; i++) {
pwd =pwd +userToken.getPassword()[i];
}
好的,这次分享就到此结束,有哪里不对的地方或者大家不太懂的地方,希望大家在下方留言讨论