源码分析Apache Shiro 加密与登录验证

最新推荐文章于 2024-06-15 09:13:35 发布
最新推荐文章于 2024-06-15 09:13:35 发布
阅读量1.6k 收藏 2
点赞数 1
分类专栏: Apache Shiro 文章标签: Shiro shiro源码 shiro登录验证 shiro加密 shiro详解
版权声明:本文为博主原创文章,未经博主允许不得转载。如有问题,欢迎指正。
本文链接:https://blog.csdn.net/AnIllusion/article/details/81140612
版权

前言

最近用到Shiro安全框架,做加密验证的时候遇到一些问题,对Shiro内部登录验证流程有些疑惑,网上的多数Shiro的环境搭建只是简单的明文密码匹配,甚至有些文章的注释也不尽正确。在这里记录下通过分析源码的整理。

大纲

  1. 使用Shiro提供的类进行密码加密
  2. 登录验证的流程

使用Shiro提供的类进行密码加密

Shiro提供了org.apache.shiro.crypto.hash.SimpleHash加密类继承了org.apache.shiro.crypto.hash.AbstractHash,先看看它主要的构造方法:

/* 
参数说明:
String algorithmName    :加密算法
Object source   :待加密的对象,字符串等
Object salt     :盐,混入待加密的密码进行加密,加大破解难度
int hashIterations  :加密次数
*/
 public SimpleHash(String algorithmName, Object source)
 public SimpleHash(String algorithmName, Object source, Object salt)
 public SimpleHash(String algorithmName, Object source, Object salt, int hashIterations)

由构造方法可知,SimpleHash可以自主指定加密算法,MD5、SHA-256、SHA-512等等,Shiro在同包下,对SimpleHash进一步封装出Md5Hash、Sha256Hash等方便使用。例如Sha256Hash 继承了SimpleHash ,实际上就是指定了algorithmName为”SHA-256”的SimpleHash。

public class Sha256Hash extends SimpleHash {
   
    public static final String ALGORITHM_NAME = "SHA-256";

    public Sha256Hash() {
        super("SHA-256");
    }

    public Sha256Hash(Object source) {
        super("SHA-256", source);
    }

    public Sha256Hash(Object source, Object salt) {
        super("SHA-256", source, salt);
    }

    public Sha256Hash(Object source, Object salt, int hashIterations) {
        super("SHA-256", source, salt, hashIterations);
    }

    public static Sha256Hash fromHexString(String hex) {
        Sha256Hash hash = new Sha256Hash();
        hash.setBytes(Hex.decode(hex));
        return hash;
    }

    public static Sha256Hash fromBase64String(String base64) {
        Sha256Hash hash = new Sha256Hash();
        hash.setBytes(Base64.decode(base64));
        return hash;
    }
}

问题来了,现在算法、原密码字符串和加密次数都确定了,如何获取盐呢?
为了确保安全性,盐值不应重复,每次修改密码要产生不同的盐值。首先想到的是使用java.util.Random来获得随机数,然而Random使用 LCG 算法生成随机数,不建议使用在信息安全应用中,应使用java.security.SecureRandom产生不可预知的盐值:

       SecureRandom random = SecureRandom.getInstance("SHA1PRNG");//使用SHA1PRNG算法
        String salt = String.va
最低0.47元/天 解锁文章
Kenny是肯尼
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Shiro 身份认证例子-源码
01-17
Apache Shiro 身份认证例子-源码
Shiro 视频教程+源码+课件
08-29
Apache Shiro 是目前使用率较高的一个 Java 安全框架。本视频基于 Shiro 的新版本 1.3.2 录制。内容涵盖 Shiro 认证、加密、授权、安全标签、安全注解、会话管理、缓存、Rememberme 等 JavaEE 企业级开发的核心技术...
shiro官方源码包下载
m0_67401270的博客
04-22 272
http://www.apache.org/dyn/closer.cgi/shiro/1.3.2/shiro-root-1.3.2-source-release.zip,点进这个地址找到蓝色文字的链接下载即可
安全之剑:深度解析 Apache Shiro 框架原理与使用指南
最新发布
dzqxwzoe的博客
06-15 850
ApacheShiro是一个强大且易用的Java安全框架,提供了身份验证、授权、密码学和会话管理等功能。它被广泛用于保护各种类型的应用程序,包括Web应用、RESTful服务、移动应用和大型企业级应用。使用Shiro,你可以将安全性集成到应用程序中而不必担心复杂的实现细节。ApacheShiro作为一款强大且灵活的Java安全框架,为我们提供了全面的安全性解决方案。通过本文的介绍,你应该对Shiro的基本原理、使用方法以及一些高级功能有了初步的了解。
Shiro加密方式-yellowcong
热门推荐
12-17 1万+
Shiro加密验证,是通过自身的方式来进行验证的。有无加密加密的两种验证方式。在密码的生成方面,我们可以通过`SimpleHash`来生成密码。
Shiro 作为应用的权限基础 六:源码以及下载地址
时光在路上
11-01 4799
提供的源码包括 SpringMVC+Apache Shiro的整合 SpringMVC+Apache Shiro+JPA(hibernate)整合配置
Shiro学习笔记-----小组开发前后端分离项目---登陆认证盐值加密
RSDYS的博客
07-21 480
基于springboot框架前后端分离项目实现的Shiro登录认证以及盐值加密功能。
shiro源码
01-14
- **源码分析**:通过阅读Shiro源码,可以理解其内部的工作机制,包括如何进行身份验证、授权以及会话管理,有助于定制化开发和性能优化。 - **设计模式**:Shiro源码中大量运用了设计模式,如工厂模式、代理...
Shiro1.2.2_源码(压缩包)
05-29
Apache Shiro 是一个强大且易用的 Java 安全框架,提供身份认证、授权、会话管理和加密等全面的安全服务。对于开发者来说,通过学习 Shiro源码,可以深入理解其内部工作原理,提高安全编程的能力。在这个 Shiro...
shiro源码分析(六)CredentialsMatcher 的案例分析
08-08
在"Shiro源码分析(六)CredentialsMatcher 的案例分析"这篇博文中,作者深入剖析了Shiro中用于验证用户凭证的`CredentialsMatcher`组件。下面我们将详细探讨这一核心机制及其相关知识点。 1. **CredentialsMatcher...
Shiro加密
dengjuyan2649的博客
09-02 149
在开发的时候,很多数据我们都希望是以加密过后的形式存储起来,而不是最原始的数据。 在shiro中也提供了编码,解码,加密加密算法实现等等一系列的内容。 编码/解码 在org.apache.shiro.codec包中,提供了Base64,16进制等的编码解码工具类的实现。 package com.fuwh.demo; import org.apache.shiro...
shiro安全框架实现源码
08-01
描述: 下面实现例子,实现简单,权限只控制到模块,模块勾选,模块下的功能全部通过。 其实要控制到方法,只需要添加一些标记字符即可。 详情查看博客: https://blog.csdn.net/qq_36015716/article/details/81304276
利用Apache shiro SimpleHash 加密字符串
web18484626332的博客
08-28 111
【代码】利用Apache shiro SimpleHash 加密字符串。
shiro之编码/加密
上班搞IT,下班搞ITF。
04-28 2181
shiro之编码/加密
shiro使用密码加密
cccy的博客
07-08 279
在数据库中存储的密码是一个密文。shiro帮我们提供很多种加密器。---如果没有指定加密器,那么都使用默认的无加密器。
shiro md5加密
qq_40889460的博客
06-10 454
shiro md5加密 shrio 提供了一些字符串加密的api Object result = new SimpleHash("md5", "1234", ByteSource.Util.bytes("ckh"), 10); System.out.println(result); SimpleHash simpleHash = new Simple...
【Java工具类】(7)—Java中使用Shiro实现对密码加盐并使用MD5加密处理
九离的博客
03-27 486
Java工具类(7)—Java中使用Shiro实现对密码加盐并使用MD5加密处理 我们在保存用户密码等敏感信息的时候,需要进行加密处理保存,才能更安全地保护用户个人信息安全 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 1、引入shiro的依赖 <!--权限验证Shiro--> <dependency> &l
使用Shiro的SimpleHash加密密码工具类
mr_foxsand的专栏
03-15 6670
版权声明:严禁用于任何商业用途的转发! 为什么我们要使用shiro加密工具再次封装密码: 绝大多数网站中的用户密码使用MD5加密后保存到数据库中,如果采用弱密码,例如:123456、admin等,有太多的MD5穷举网站可以获取到密码的MD5值,这个时候我们有必要改进密码加密机制! Shiro的SimpleHash并非唯一选择,只是比较方便。 SimpleHash原理: public ...
org.apache.shiro.codec.CodecException: Unable to convert source [hello] to byte array using encoding
eadela的博客
11-27 1347
将utf-8写成了uft-8 org.apache.shiro.codec.CodecException: Unable to convert source [hello] to byte array using encoding 'uft-8' at org.apache.shiro.codec.CodecSupport.toBytes(CodecSupport.java:96) at c
Apache Shiro详解:认证、授权、加密与会话管理
1. **身份认证**(Authentication):Shiro提供了用户登录验证的机制,能够验证用户的身份。它支持多种认证方式,例如基于用户名/密码的认证,通过MD5等加密算法对用户密码进行安全处理。 2. **授权**...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值