【Shiro权限管理】10.Shiro为密码加盐

最新推荐文章于 2022-10-24 09:24:32 发布
最新推荐文章于 2022-10-24 09:24:32 发布
阅读量3.5w 收藏 65
点赞数 15
分类专栏: Shiro权限管理 Shiro权限控制 文章标签: Realm SimpleAuthentication SecurityUtils Shiro MD5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/acmman/article/details/78585662
版权
上一篇我们提到了使用Shiro为密码进行MD5加密,这次来说一下密码加盐的问题。
当两个用户的密码相同时,单纯使用不加盐的MD5加密方式,会发现数据库中存在相同结构的密码,
这样也是不安全的。我们希望即便是两个人的原始密码一样,加密后的结果也不一样。
如何做到呢?其实就好像炒菜一样,两道一样的鱼香肉丝,加的盐不一样,炒出来的味道就不一样。
MD5加密也是一样,需要进行盐值加密。

在之前的加密样例中,我们可以注意到SimpleHash构造方法的参数中有一个salt参数,该参数就
是MD5加密的盐值信息: 
public static void main(String[] args) {
	String hashAlgorithmName = "MD5";//加密方式
	Object crdentials = "123456";//密码原值
	Object salt = null;//盐值
	int hashIterations = 1024;//加密1024次
	Object result = new SimpleHash(hashAlgorithmName,crdentials,salt,hashIterations);
	System.out.println(result);
}

加盐需要注意以下步骤:
(1)加密之后的结果要加上盐。
(2)返回值(AuthenticationInfo)要将盐带过去。

我们回顾一下之前的校验Realm: 
package com.test.shiro.realms;
import java.util.HashMap;
import java.util.Map;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.LockedAccountException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.crypto.hash.SimpleHash;
import org.apache.shiro.realm.AuthenticatingRealm;
import com.test.shiro.po.User;

public class ShiroRealm extends AuthenticatingRealm{
	
	private static Map<String,User> userMap = new HashMap<String,User>();
	static{
		//使用Map模拟数据库获取User表信息
		userMap.put("jack", new User("jack","aaa123",false));
		userMap.put("tom", new User("tom","bbb321",false));
		userMap.put("jean", new User("jean","ccc213",true));
	}


	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken token) throws AuthenticationException {
		//1.把AuthenticationToken转换为UsernamePasswordToken
		UsernamePasswordToken userToken = (UsernamePasswordToken) token;
		
		//2.从UsernamePasswordToken中获取username
		String username = userToken.getUsername();
		
		//3.调用数据库的方法,从数据库中查询Username对应的用户记录
		System.out.println("从数据看中获取UserName为"+username+"所对应的信息。");
		//Map模拟数据库取数据
		User u = userMap.get(username);
		
		//4.若用户不行存在,可以抛出UnknownAccountException
		if(u==null){
			throw new UnknownAccountException("用户不存在");
		}
		
		//5.若用户被锁定,可以抛出LockedAccountException
		if(u.isLocked()){
			throw new LockedAccountException("用户被锁定");
		}
		
		//7.根据用户的情况,来构建AuthenticationInfo对象,通常使用的实现类为SimpleAuthenticationInfo
		//以下信息是从数据库中获取的
		//1)principal:认证的实体信息,可以是username,也可以是数据库表对应的用户的实体对象
		Object principal = u.getUsername();
		//2)credentials:密码
		Object credentials = u.getPassword();
		//3)realmName:当前realm对象的name,调用父类的getName()方法即可
		String realmName = getName();
		
		SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(principal,credentials,realmName);
		
		return info;
	}
	
	public static void main(String[] args) {
		String hashAlgorithmName = "MD5";//加密方式
		Object crdentials = "123456";//密码原值
		Object salt = null;//盐值
		int hashIterations = 1024;//加密1024次
		Object result = new SimpleHash(hashAlgorithmName,crdentials,salt,hashIterations);
		System.out.println(result);
	}
}
其中doGetAuthenticationInfo是用于返回相应账号对应的数据库中账号密码信息的方法,下面
的main是测试Shiro的MD5加密方法。

如果我们要对密码进行MD5加盐操作,我们的返回值就不能是SimpleAuthenticationInfo的简单构造
方法了,要使用最复杂的,带有盐值参数的构造方法:
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(principal, hashedCredentials, credentialsSalt, realmName);
其中principal是账号信息,hashedCredentials是MD5加密后的密码,credentialsSalt是密码加密的
盐值,realmName为当前realm对象的name。

对于盐值credentialsSalt,在Shiro中为org.apache.shiro.util.ByteSource对象:
ByteSource credentialsSalt = ByteSource.Util.bytes("");
ByteSource提供了一个内部方法,可以将字符串转换为对应的盐值信息。一般情况下我们使用一个
唯一的字符串作为盐值。在本测试样例中,我们使用用户名作为盐的原始值。

在上面的测试样例中,模拟的账号密码信息如下: 
private static Map<String,User> userMap = new HashMap<String,User>();
static{
    //使用Map模拟数据库获取User表信息
    userMap.put("jack", new User("jack","aaa123",false));
    userMap.put("tom", new User("tom","bbb321",false));
    userMap.put("jean", new User("jean","ccc213",true));
}
为了对应测试账号的加密后的密码,我们要将密码进行加盐加密,改写刚才的main对应的测试方法,
分别为jack、tom以及jean的账号加盐加密: 
public static void main(String[] args) {
	User u = null;
	Iterator<String> it = userMap.keySet().iterator();
	while(it.hasNext()){
		u = userMap.get(it.next());
		String hashAlgorithmName = "MD5";//加密方式
		Object crdentials = u.getPassword();//密码原值
		ByteSource salt = ByteSource.Util.bytes(u.getUsername());//以账号作为盐值
		int hashIterations = 1024;//加密1024次
		Object result = new SimpleHash(hashAlgorithmName,crdentials,salt,hashIterations);
		System.out.println(u.getUsername()+":"+result);
	}
}
结果:

然后将这些密码设置到静态代码块中,初始化测试账号: 
private static Map<String,User> userMap = new HashMap<String,User>();
static{
	//使用Map模拟数据库获取User表信息
	userMap.put("jack", new User("jack","43e66616f8730a08e4bf1663301327b1",false));
	userMap.put("tom", new User("tom","3abee8ced79e15b9b7ddd43b95f02f95",false));
	userMap.put("jean", new User("jean","1a287acb0d87baded1e79f4b4c0d4f3e",true));
}

然后在下面的doGetAuthenticationInfo方法中,改写之前封装账号密码的方式: 
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
		AuthenticationToken token) throws AuthenticationException {
	//1.把AuthenticationToken转换为UsernamePasswordToken
	UsernamePasswordToken userToken = (UsernamePasswordToken) token;
	
	//2.从UsernamePasswordToken中获取username
	String username = userToken.getUsername();
	
	//3.调用数据库的方法,从数据库中查询Username对应的用户记录
	System.out.println("从数据看中获取UserName为"+username+"所对应的信息。");
	//Map模拟数据库取数据
	User u = userMap.get(username);
	
	//4.若用户不行存在,可以抛出UnknownAccountException
	if(u==null){
		throw new UnknownAccountException("用户不存在");
	}
	
	//5.若用户被锁定,可以抛出LockedAccountException
	if(u.isLocked()){
		throw new LockedAccountException("用户被锁定");
	}
	
	//7.根据用户的情况,来构建AuthenticationInfo对象,通常使用的实现类为SimpleAuthenticationInfo
	//以下信息是从数据库中获取的
	//1)principal:认证的实体信息,可以是username,也可以是数据库表对应的用户的实体对象
	Object principal = u.getUsername();
	//2)credentials:密码
	Object credentials = u.getPassword();
	//3)realmName:当前realm对象的name,调用父类的getName()方法即可
	String realmName = getName();
	//4)credentialsSalt盐值
	ByteSource credentialsSalt = ByteSource.Util.bytes(principal);//使用账号作为盐值
	
	SimpleAuthenticationInfo info = null; //new SimpleAuthenticationInfo(principal,credentials,realmName);
	info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName);
	return info;
}
可以看到,之前封装返回给校验类的SimpleAuthenticationInfo类一共是三步,分别是获取数据库中的
用户账号、密码以及当前realm对象的name,而现在多了一步创建credentialsSalt盐值,并且以账号作
为盐的原值,而SimpleAuthenticationInfo的构造方法也使用了带有盐值参数的构造方法。

完成上面的代码,MD5的盐值加密就成功了。下面我们来测试一下,启动我们的Shiro3测试工程:

进入登录界面:

在上面输入jack的账号以及密码“aaa123”,在后台的Controller的登录方法断点中,可以看到用户
输入的密码原值:

然后在校验ShiroRealm类中的doGetAuthenticationInfo方法,可以看到账号密码以及盐值信息:


然后发现校验成功,用户成功登录:


最后总结一下Shiro的MD5加盐加密:
1)在doGetAuthenticationInfo方法返回值创建SimpleAuthenticationInfo对象的时候,需要使用
SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName)构造器。
2)使用ByteSource.Util.bytes()来计算盐值
3)盐值需要唯一,一般使用随机字符串或者userid
4)使用new SimpleHash(hashAlgorithmName,crdentials,salt,hashIterations)来计算盐值加密
后的密码的值。
转载请注明出处:http://blog.csdn.net/acmman/article/details/78585662
光仔December
关注
  • 15
    点赞
  • 65
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 21
    评论
专栏目录
Shiro身份认证&&md5加盐加密
qq_63492318的博客
08-26 868
我们可以看到,数据库密码的发展史让着我们的密码越来越安全,这也极大的保障了用户数据的安全性,就算数据泄露也让别人无处下手。在MyRealm中添加userBiz属性的get、set方法,通过配置的方式才可以进行使用。改变原来的md5加密过的密码,相当于再次加密;加次数就是给这串密码一步步的进行多次加盐加密,极大的提高了密码的安全性;2、利用 999 原始密码 + 生成的随机的盐 得到加密后的密码;演示完成,后面我们就可以利用加盐加密来实现用户的注册功能了。的分享就到这里啦,喜欢的可以持续关注噢,下次再见啦!.
shiro盐加密.7z
10-30
该项目包含数据库全部代码,登录密码也进行盐加密了,权限认证效果都有的,欢迎下载
SpringBoot与Shiro整合-权限管理实战视频最新最新.txt
07-11
传智播客 SpringBoot与Shiro整合-权限管理实战视频,老师一步一步写出代码,里面有讲和Mybatis的整合。 最新最新最新!!!
Shiro密码加盐
weixin_44153121的博客
01-16 742
密码加盐之前,一般是直接对密码进行散列,那么黑客或者内部人士在获取密码散列值后,再通过查散列值字典(例如MD5密码破解网站),就能知道对应的密码明文。 通过加盐处理,可以实现相同的密码明文,产生不同的密码值。shiro支持密码加密,或不加密。
经典的Shiro反序列化漏洞分析
hackzkaq的博客
03-02 4296
更多黑客技能 公众号:小道黑客 作者:掌控安全-holic 0x01、前言 相信大家总是面试会问到java反序列化,或者会问到标志性的漏洞,比如shiro反序列化,或者weblogic反序列化漏洞。 那我就这篇文章为大家讲解一下,不懂的哥哥直接背一下,理解一下就好了。 至于为什么要选择shiro反序列化呢,不讲weblogic呢? 因为我上次有幸参与金鸡电影节的临时安全负责人,具体我就不细说了。当时是内部涉及到shiro反序列化漏洞。 准确的来说是Shiro<1.2.4-RememberMe反序
第五章 Shiro编码/加密
rrz634171的专栏
12-16 840
第五章 编码/加密——《跟我学Shiro》 博客分类: 跟我学Shiro 跟我学Shiro    目录贴: 跟我学Shiro目录贴   在涉及到密码存储问题上,应该加密/生成密码摘要存储,而不是存储明文密码。比如之前的600w csdn账号泄露对用户可能造成很大损失,因此应加密/生成不可逆的摘要方式存储。   5.1 编码/解码  Shiro提供了base64和16
shiro注册登录流程(如何加密加盐)+配置多个Ream+密码加密验证底层分析+Remember使用+不同密码比对器原理(二)
weixin_43189971的博客
07-08 1819
1.shiro注册登录流程(如何加密加盐)+ 2.配置多个Ream 3.密码加密验证底层分析 4.Remember使用 5.不同密码比对器原理
shiro使用(密码加密以及加盐,附:加盐或者加密之后认证不通过的靠谱解决方案)
特别享受思考问题的过程
04-20 4022
既然要做,就做的细致一点,对得起自己! 一个应用最基本的职责就应该保护用户信息的安全,至于为什么登录密码或者相关的密码要加密,不再赘述。 前台新增用户时,用户设置登录名和密码shiro对用户输入的密码进行加密处理,由于最近在搞Springboot,所以以后shiro相关的配置都会以在springboot中的形式展示。 常见问题:1.如果在加密时,发现数据库里的密码还是没有加密成功,还是明文...
shiro-数据加盐
ifredom
10-24 636
SimpleHash。
SpringBoot整合shiro之盐值加密详解
热门推荐
和我一起学习吧
04-04 1万+
盐值是什么首先我们来探讨一下关于密码安全的问题在一个系统中我们通常会将用户名和密码存在数据库中,如果我们直接将密码存入数据库,会存在很大的安全隐患,比如:数据库被盗,传输过程中被黑客拦截,这都是很常见的问题,数据库所在的服务并不是绝对的安全,传输过程中也有可能被黑客拦截得到你传输的数据获得一些隐私的数据,并篡改后发往服务器。那么针对这种问题我们如何解决呢,安全在升级,骇客的技术同样也在进步,一个网...
Shiro密码加密 盐值加密
WormholeStack
05-20 5817
1.为什么要盐值加密 对于同一密码,同一加密算法会产生相同的hash值。这样,当用户进行身份验证时,对用户输入的明文密码应用相同的hash加密算法,得出一个hash值,然后使用该hash值和之前存储好的密文值进行对照,如果两个值相同,则密码认证成功,否则密码认证失败。出于更安全的考虑,即使两个用户输入的是相同的密码,也应该要保存为不同的密文,即使用户输入的是弱密码,也需要考虑进行增强,从而增加密码被攻破的难度。因此出现了加盐加密。 那么盐值加密是怎么加密的呢,用下面的图来解释: 加密过程(用户注册) 也就
shiro+kotlin+springboot.zip
09-22
shiro不同用户进入不同界面,加密(MD5+salt(盐))授权资源
jfinal_mongodb_shiro:基于Jfinal实现非关系型数据库整合Shiro
02-04
使用非关系型数据库实现角色权限控制* 密码加密加盐校验* 密码错误计数累计5次锁定账户* 自动登录(并非真正的意义上的自动登录,只是配合过滤器可以允许一些浅权限。)* 在线会话管理* 强制踢出会话未来将要实现的*...
Shiro教程开发手册
03-09
Shiro登录加盐加密,权限控制等技术,结合spring框架整合
Shiro权限管理】20.Session持久化(SessionDAO)
程序猿之洞
01-02 1万+
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。 上一篇说到了Shiro是如何控制Session会话的,而对于分布式系统,一般都牵扯到Session共享问题, 而想实现Session共享,就要实现Session的持久化操作,即是将内存中的Session持久化至缓存数据库。 本篇就讲解一下使用Shiro实现Session会话的持久化操作,即SessionDAO的相关知识。
Shiro权限管理】8.Shiro密码的比对
程序猿之洞
11-04 9575
上一次总结了如何实现一个简单的Shiro认证流程。首先通过前端页面的form表单提交,在Controller 请求处理层获取了form表单中的账号密码,然后获取当前用户的Subject对象,执行了Subject的login方法进行登录操作, 并将账号密码封装进Token对象,作为参数传入。而后面设置了认证需要的Realm类,该Realm类继承了AuthenticatingRealm父类, 实
Shiro权限管理】17.Shiro权限注解
程序猿之洞
12-10 9408
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。 前面我们讲解了Shiro的标签属性,下面我们来讲解Shiro的有关权限的注解属性。 Shiro的注解是使用在相应的Java类的方法上,当用户不满足注解的要求时,是无法执行 方法内部逻辑的。这相当于在代码层做了权限校验。 Shiro的注解可以放置在Controller层对应的方法上,也可以放置在Service层对应的方法
Shiro权限管理】13. SecurityManager配置realms
程序猿之洞
11-26 9284
注:该系列所有测试均在之前创建的Shiro3的Web工程的基础上。 大家可以注意到,在没有使用认证器之前,我们是这样配置Realm的:   后来使用了多Realm验证时,会将多个Realm配置到认证器中,再将认证器配置给securityManager:
org.apache.shiro.cache.ehcache.EhCache
最新发布
06-01
org.apache.shiro.cache.ehcache.EhCache是Shiro框架提供的一个Ehcache缓存实现类,用于将Shiro框架中的缓存数据存储到Ehcache缓存中。 在使用Shiro框架时,可以通过在shiro.ini或shiro-config.xml等配置文件中配置EhCache缓存实现类,例如: ```ini [main] # 使用EhCache缓存实现类 cacheManager = org.apache.shiro.cache.ehcache.EhCacheManager cacheManager.cacheManagerConfigFile = classpath:ehcache.xml [users] # 基于EhCache缓存用户信息 users = org.apache.shiro.realm.text.IniRealm users.cacheManager = $cacheManager users.userIniPath = classpath:users.ini ``` 上述配置中,通过设置cacheManager属性为org.apache.shiro.cache.ehcache.EhCacheManager,指定了Shiro框架使用EhCache缓存实现类。同时,通过设置cacheManager.cacheManagerConfigFile属性为classpath:ehcache.xml,指定了Ehcache的配置文件路径。 在Shiro框架中,还可以使用其他缓存实现类,例如org.apache.shiro.cache.MemoryConstrainedCacheManager、org.apache.shiro.cache.MapCache等,根据实际需求进行选择。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 21
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

光仔December

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值