Springboot2集成Shiro框架(四)凭证比较器详解

最新推荐文章于 2023-05-10 12:11:26 发布
最新推荐文章于 2023-05-10 12:11:26 发布
阅读量1.1k 收藏 8
点赞数
分类专栏: shiro 文章标签: Springboot2集成Shiro框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/New_Yao/article/details/100562044
版权

目录

1、什么是凭证比较器

在第一章,shiro整体架构图上可以看到,shiro为我们提供了密码学工具,和哈希凭据匹配器 HashedCredentialsMatcher 类,下图可以看到此类继承了编解码支持器 CodecSupport 类和实现了 CredentialsMatcher 接口,实现了接口中 boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) 方法,这个方法就可以替我们实现密码比较,他会在调用自定义realm的身份认证方法后来执行!在这里插入图片描述

2、为什么要加密加盐

  • 之前的例子中,我们在自定义realm的 doGetAuthenticationInfo 方法中采用了自己加密和对比密码,不同则抛出 IncorrectCredentialsException 异常的方式对比密码,但是在继续深入学习shiro的过程中,发现了shiro已经为我们提供了自动密码比对工具,我们只要安装上去即可使用。之后会讲到他的执行原理和使用方法。
  • 那么为什么要对数据加密呢?这篇文章可以告诉你答案2018年国内外信息泄露案例汇编,现在数据库加密基本上是使用MD5加密方式,MD5加密过的密文只能被暴力破解,我们不仅仅是要防范外部黑客的攻击,还需要放置内部维护人员猜出密码,加密过后,即使数据库被泄露出去,但是暴露出去的人员的密码均是加密过的,这样即使是暴力破解,也给予了时间挽救。
  • 为什么要加盐呢,盐就是让你的密码更加的安全,更加的难以破解,在你的密码中加入特定的字段,然后在进行加密,这样即使密码相同的情况下,只要盐不相同,数据库储存的字段也不会相同,大大减少了很多用户使用同一密码,数据库泄漏一下破解很多用户账号的可能!

3、如何生成密文

shiro已经为我们提供了密码学工具,SimpleHash 类,我们只需要调用这个类的方法即可快速完成密码加密,查看关系图,猜测此类还提供sha加密方式(后认证过),
在这里插入图片描述

String hashAlgorithmName = "MD5";//加密方式
Object crdentials = "admin";//密码原值
ByteSource salt = ByteSource.Util.bytes("admin");//以账号作为盐值
int hashIterations = 1024;//加密次数
Object result = new SimpleHash(hashAlgorithmName,crdentials,salt,hashIterations);
System.out.println("admin:"+result);
//输出
>> admin:df655ad8d3229f3269fad2a8bab59b6c

用户注册时,可以使用此方法生成密文

4、了解shiro自带凭证比较器

我们跟踪登录流程发现用户调用login接口后,shiro框架会执行下列流程:

Created with Raphaël 2.2.0 用户登录,调用subject.login() 自定义realm中的身份验证方法 doGetAuthenticationInfo AuthenticatingRealm类中的getAuthenticationInfo方法 调用assertCredentialsMatch(token, info);比较密码 调用HashedCredentialsMatcher类的doCredentialsMatch()方法 密码正确? 登陆成功 结束 抛出IncorrectCredentialsException异常 yes no

下面为 HashedCredentialsMatcher 哈希凭据匹配器 的继承关系
在这里插入图片描述

4.1提供的的比较凭证的方法部分代码

//固有属性
	private String hashAlgorithm; // 加密算法的名称
    private int hashIterations; // 配置加密的次数
    private boolean hashSalted;//是否加盐
    private boolean storedCredentialsHexEncoded;// 是否存储为16进制
    //构造
    public HashedCredentialsMatcher() {
        this.hashAlgorithm = null;
        this.hashSalted = false;
        this.hashIterations = 1;
        this.storedCredentialsHexEncoded = true; //false means Base64-encoded
    }
	//设置凭证加密次数
    public void setHashIterations(int hashIterations) {
        if (hashIterations < 1) {//在此限制了最低加密次数为1次
            this.hashIterations = 1;
        } else {
            this.hashIterations = hashIterations;
        }
    }
    ...............
//实现对比凭证方法,token中包含用户输入信息,info则是realm中用户认证方法中返回的dbuser信息
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        Object tokenCredentials = getCredentials(token);
        Object accountCredentials = getCredentials(info);
        return equals(tokenCredentials, accountCredentials);
    }

5、使用shiro自带凭证比较器

  1. 需要在shiroconfig配置类中新增凭证比较器
    @Bean
    public SimpleCredentialsMatcher CredentialsMatcher() {
        HashedCredentialsMatcher hct = new HashedCredentialsMatcher();
        // 加密算法的名称
        hct.setHashAlgorithmName("MD5");
        // 配置加密的次数
        hct.setHashIterations(1024);
        // 是否存储为16进制
        hct.setStoredCredentialsHexEncoded(true);
        return hct;
    }
  1. 把凭证比较器放入自定义realm中,如果没有此步骤shiro不会进行凭证验证
    /**
     * 自定义身份认证 realm;
     * <p>
     * 必须写这个类,并加上 @Bean 注解,目的是注入 MyShiroRealm, 否则会影响 MyShiroRealm类 中其他类的依赖注入
     */
    @Bean
    public MyShiroRealm myShiroRealm() {
        MyShiroRealm myShiroRealm = new MyShiroRealm();
        // 设置凭证比较器
        myShiroRealm.setCredentialsMatcher(CredentialsMatcher());
        return myShiroRealm;
    }
  1. 修改用户信息,模拟用户注册生成的密码,更新至业务层
    我们采用guest用户来测试,使用用户名guest作为盐,把生成的密码放入service中,
        String hashAlgorithmName = "MD5";//加密方式
        Object crdentials = "guest";//密码原值
        ByteSource salt = ByteSource.Util.bytes("guest");//以账号作为盐值
        int hashIterations = 1024;//加密次数
        Object result = new SimpleHash(hashAlgorithmName,crdentials,salt,hashIterations);
        System.out.println("admin:"+result);
        >>admin:565dd969076eef0ac3f9d49aa61e9489
  1. 更新UserServiceImpl
 @Override
    public User findByUsername(String username) {
        User user = new User();
        user.setUsername(username);
        Set<String> roleList = new HashSet<>();
        Set<String> permissionsList = new HashSet<>();
        switch (username) {
        case "admin":
            roleList.add("admin");
            user.setPassword("admin");
            permissionsList.add("user:add");
            permissionsList.add("user:delete");
            break;
        case "consumer":
            roleList.add("consumer");
            user.setPassword("consumer");
            permissionsList.add("consumer:modify");
            break;
        default:
            roleList.add("guest");
            user.setPassword("565dd969076eef0ac3f9d49aa61e9489");
            break;
        }
        user.setRole(roleList);
        user.setPermission(permissionsList);
        return user;
    }
  1. 把自定义realm中的判断密码部分代码删除,此时,我们可以把这个方法理解为提供给主框架真实用户信息,作为凭证对比对象
   /**
     * 身份验证
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("进入自定义登录验证方法!");
        if (userService == null) {
            userService = (UserService) SpringBeanFactoryUtil.getBeanByName("userServiceImpl");
        }
        UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;
        String username = usernamePasswordToken.getUsername();// 用户输入用户名
        User user = userService.findByUsername(username);// 根据用户输入用户名查询该用户
        if (user == null) {
            throw new UnknownAccountException();// 用户不存在
        }
        String password = user.getPassword();// 数据库获取的密码
        // 主要的(用户名,也可以是用户对象(最好不放对象)),资格证书(数据库获取的密码),区域名称(当前realm名称)
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(username, password, getName());
        //加盐,对比的时候会使用该参数对用户输入的密码按照密码比较器指定规则加盐,加密,再去对比数据库密文
        simpleAuthenticationInfo.setCredentialsSalt(ByteSource.Util.bytes(username));
        return simpleAuthenticationInfo;
    }

5.1登录测试,可以登录

在这里插入图片描述

  • 此时我们断点到shiro的凭证对比器中查看,可以看到shiro内部已经使用 hashProvidedCredentials 方法对输入的密码进行了加密

在这里插入图片描述
在这里插入图片描述

  • 部分源码
//HashedCredentialsMatcher类 密码加密
	protected Object hashProvidedCredentials(AuthenticationToken token, AuthenticationInfo info) {
        Object salt = null;
        if (info instanceof SaltedAuthenticationInfo) {
            salt = ((SaltedAuthenticationInfo) info).getCredentialsSalt();
        } else {
            //retain 1.0 backwards compatibility:
            if (isHashSalted()) {
                salt = getSalt(token);
            }
        }
        return hashProvidedCredentials(token.getCredentials(), salt, getHashIterations());
    }
    @Override    //HashedCredentialsMatcher类
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        Object tokenHashedCredentials = hashProvidedCredentials(token, info);
        Object accountCredentials = getCredentials(info);
        return equals(tokenHashedCredentials, accountCredentials);
    }
	//密码对比方法SimpleCredentialsMatcher类
    protected boolean equals(Object tokenCredentials, Object accountCredentials) {
        .......
        if (isByteSource(tokenCredentials) && isByteSource(accountCredentials)) {
            ....
            byte[] tokenBytes = toBytes(tokenCredentials);
            byte[] accountBytes = toBytes(accountCredentials);
            return MessageDigest.isEqual(tokenBytes, accountBytes);
        } else {
            return accountCredentials.equals(tokenCredentials);
        }
    }

6、如何使用自定义密码比较器

  1. 在理解了shiro自带的凭证比较器后,自定义一个自己的凭证比较器思路应该也十分清晰了,我们只需要创建 MyCredentialsMatcher 类继承 SimpleCredentialsMatcher 类,重写其中的 doCredentialsMatch 方法即可

import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.SimpleCredentialsMatcher;
import org.apache.shiro.crypto.hash.SimpleHash;

public class MyCredentialsMatcher extends SimpleCredentialsMatcher {

    /**
     * 重写密码验证器
     * 
     * @param token 用户输入的信息
     * @param info  数据库查询到的信息
     */
    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        System.out.println("进入自定义密码比较器");
        UsernamePasswordToken upt = (UsernamePasswordToken) token;
        String inputName = upt.getUsername();// 用户输入的用户名
        String inputPwd = new String(upt.getPassword());// 用户输入的密码
        String dbPassword = (String) info.getCredentials();// 数据库查询得到的加密后的密码
        // 对用户输入密码进行加密(加密方式,用户输入密码,盐值(用户名),加密次数)
        String encryptionPwd = new SimpleHash("MD5", inputPwd, inputName, 1024).toString();// 加密后的密码
        return equals(encryptionPwd, dbPassword);
    }

}
  1. 第二步,我们需要把注入realm的凭证比较器替换为我们自己的凭证比较器
    @Bean
    public SimpleCredentialsMatcher CredentialsMatcher() {
        MyCredentialsMatcher hct = new MyCredentialsMatcher();//自定义凭证比较器
        //HashedCredentialsMatcher hct = new HashedCredentialsMatcher();//系统提供凭证比较器
        // 加密算法的名称
        hct.setHashAlgorithmName("MD5");
        // 配置加密的次数
        hct.setHashIterations(1024);
        // 是否存储为16进制
        hct.setStoredCredentialsHexEncoded(true);
        return hct;
    }

6.1 测试

控制台打印出了执行了自定义密码
在这里插入图片描述

New_Yao
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro(三):Shiro 密码的比对、MD5盐值加密
12程序猿的博客
10-16 1565
Shiro(二)介绍如何实现一个简单的Shiro认证流程,接下来对 密码的比对与加密进行简单的介绍。 Shiro 密码的比对、MD5盐值加密 密码的比对、MD5盐值加密都是通过CrendentialsMatcher(凭证匹配器)来实现的。 一、Shiro认证时的密码比对 在Shiro进行密码比对时,一定会去拿UsernamePasswordToken 和SimpleAuthenticationInfo中封装的密码信息,那么此时要调用UsernamePasswordToken的 getPassword方法,或
Shiro的身份验证流程的源码分析
huangjhai的博客
02-25 566
这篇文章将对上一篇文章:SSM项目整合Shiro进行身份验证中的身份验证流程进行分析。 这是项目中的具体使用,分为以下三个步骤: 创建Subject对象 封装UsernamePasswordToken 对象token 将token通过调用Subject对象的login方法进行登录认证 Subject currentUser = SecurityUtils.getSubject(); // 把用...
SSM框架shiro的验证码登录
开源世界
04-19 720
所谓的验证码登录也就是 验证码正确之后利用shiro的免密登录啦 验证码的验证:发送短信的时候,把验证码信息放到缓存里(key为sessionid),表单提交过来的时候,从缓存里拿出来比较就好。 接下来就是shiro 的免密登录:http://github.crmeb.net/u/defu 1、思路 自定义token,在进行授权时判断是密码登陆或无密码登陆,自定义密码认证方法,即写一个方法继承HashedCredentialsMatcher,重写其中的doCredentialsMatch,将其中的to
shiro密码加盐验证的配置
weixin_37248560的博客
11-25 487
自定义密码加密方式 自个建立一个类实现SimpleCredentialsMatcher 的doCredentialsMatch方法 package com.alex.springboot.system.shiro; import com.alex.springboot.utils.MD5Util; import org.apache.shiro.authc.Authen...
Shiro -认证凭据(密码)加密的那些事
小小默:进无止境
10-31 2934
一般来说,实际项目中隐私数据没有在网络上明文跑路,都会采用不同的加密算法。Shiro中的认证凭据通常也会采用算法进行加密。 【1】CredentialsMatcher接口 该接口只有一个方法,doCredentialsMatch,就是用来进行密码比较的! 源码如下: public interface CredentialsMatcher { /** * Returns {@co...
SpringBoot整合shiro之盐值加密详解
热门推荐
和我一起学习吧
04-04 1万+
盐值是什么首先我们来探讨一下关于密码安全的问题在一个系统中我们通常会将用户名和密码存在数据库中,如果我们直接将密码存入数据库,会存在很大的安全隐患,比如:数据库被盗,传输过程中被黑客拦截,这都是很常见的问题,数据库所在的服务并不是绝对的安全,传输过程中也有可能被黑客拦截得到你传输的数据获得一些隐私的数据,并篡改后发往服务器。那么针对这种问题我们如何解决呢,安全在升级,骇客的技术同样也在进步,一个网...
SpringBoot集成 Shiro安全框架【完整源码+数据库】
02-16
**SpringBoot集成Shiro安全框架详解** 在现代Web开发中,安全框架的使用至关重要,它可以帮助我们保护应用程序免受未经授权的访问和攻击。SpringBoot作为轻量级的Java开发框架,因其简洁高效的特性深受开发者喜爱。...
springboot集成freemarker和shiro框架
03-14
**SpringBoot集成Freemarker与Shiro框架详解** 在现代Web开发中,SpringBoot因其简洁、高效的特性,已经成为很多开发者的选择。而FreeMarker和Shiro则分别是常用的模板引擎和安全框架,它们能帮助我们构建出功能...
SpringBoot2.0整合Shiro框架实现用户权限管理的示例
08-25
4. 整合SpringBoot2框架:使用Shiro框架需要引入相应的依赖,包括shiro-core和shiro-spring。 5. Shiro核心配置: * Session Manager:会话管理,用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中...
SpringBoot2整合shiro
11-05
**SpringBoot2整合Shiro详解** 在现代Java Web开发中,SpringBoot以其便捷的配置、快速的启动和强大的集成能力,成为了许多开发者的首选框架。而Shiro则是一款轻量级的安全框架,提供了身份验证、授权、会话管理和...
详解Spring Boot 集成Shiro和CAS
08-30
Spring Boot 集成 Shiro 和 CAS 本文将详细介绍 Spring Boot 集成 Shiro 和 CAS 的知识点,帮助读者了解 Shiro 和 CAS 的概念、使用方法,以及它们在 Spring Boot 中的集成方式。 Shiro 介绍 Shiro 是一个开源的 ...
shiro权限认证及授权的执行流程分析及图解
u014748504的博客
09-28 2582
(配置文件请看下一个博客) https://blog.csdn.net/weixin_41716049/article/details/84336669 https://blog.csdn.net/weixin_41716049/article/details/84336696 为了颜色标识注释,前面没有使用代码框,多多担待 《一,认证》 1.先建两个class文件 一个写AuthRealm (授权与认证方法,并继承)extendsAuthorizingRealm 获取其默认方...
spring集成shiro实现登录认证自定义验证功能(认证采用国密SM4算法)
爱喝浓咖啡
12-20 1874
公司在建项目采用的开发框架为spring+springMvc+hibernate,安全框架采用的是shiro,安全认证沿用了shiro自带的HashedCredentialsMatcher,现客户(国企)要求用户密码必须采用国密SM4算法进行加密,因此需对安全认证模块进行改造。 SM4加密JAVA版可参考:http://blog.csdn.net/lemon_tree12138/...
shiro源码分析篇3:用户登录缓存登录信息
samll leaf
10-21 3128
上篇讲了shiro是如何过滤请求链接,判断用户是否已经登录。这篇就是讲解shiro用户登录时,如何把登录信息缓存起来,下次用户登录其他需要登录的链接时,如何判断已经登录了。RetryLimitHashedCredentialsMatcher自定义的登录凭据,也就是登录的处理方案public class RetryLimitHashedCredentialsMatcher extends Hashed
Shiro实现Token认证
梅子黄时雨
05-10 1337
shiro使用
shiro框架的密码校验(二)
阿沐沐的博客
05-14 2807
前面的内容在这里 shiro框架简单介绍以及使用(一) 上一篇简单介绍了一下shiro框架和账号验证,这篇简单写一下shiro密码校验的介绍和几种使用方式 一、加密/加盐介绍 什么是加密?什么是加盐? 1.加密:加密是以某种特殊的算法改变原有的信息数据,这样的话即使你拿到了密文,但因为你不知道加密方式也没办法知道密文的内容。比如说电报,你监听到了发的电报,但是你不知道用的是那个密码本,一样无法知道电报内容是什么。 2.加盐:加盐是指将每口令同一个叫做”盐“值相关联,我们这里用于密码加盐,盐值一般都是随机
Shiro免密码登录
m0_67401153的博客
08-24 2728
1.shiro的配置文件里面有一个是这需要一个继承HashedCredentialsMatcher的子类,重写doCredentialsMatch方法。最近遇到的需求,实现手机号+验证码登录,验证码能够通过查数据库校验,但是密码是加密过的对不上,需要免密登录,所以写一下帮助后人。2.自定义一个token,继承自UsernamePasswordToken,添加一个标识符表名是否免密登录。4.回到第一步 重写方法的第一行 直接强转 token 获取标识符 如果为免密登录 直接返回true。
这可能是最详细的shiro密码验证原理解析
ybula的博客
09-25 784
对于一个初学者来说,使用框架是一件再简单快乐的事情不过了,但是框架隐的细节实在是太多了,想要用好框架,阅读源码是必不可少的事情,这次刨析可以省去大家来回查找动态绑定的子类过程,也作为自己学习的一次笔记。 首先从Subject的login()方法开始,这东西是万恶之源 login方法穿了一个参数token进去,记住token里面有页面提交的账号密码即可 调用的是实现类org.apache.shiro...
springboot集成shiro框架
最新发布
06-28
Spring Boot 集成 Shiro 框架可以实现在应用中实现安全认证、权限控制等功能。下面是大致的集成步骤: 1. 添加 Shiro 依赖 在 `pom.xml` 文件中添加 Shiro 的依赖。可以选择适合自己项目的版本号。 ```xml ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值