浅谈Shiro框架中的加密算法,以及校验

最新推荐文章于 2024-05-09 20:41:45 发布
最新推荐文章于 2024-05-09 20:41:45 发布
阅读量575 收藏
点赞数
分类专栏: 安全相关 文章标签: 加密 shiro
在涉及到密码存储问题上,应该加密/生成密码摘要存储,而不是存储明文密码。为什么要加密:网络安全问题是一个很大的隐患,用户数据泄露事件层出不穷,比如12306账号泄露。


Shiro提供了base6416进制字符串编码/解码的API支持,方便一些编码解码操作,想了解自己百度API操作用法。


看一张图,了解Shiro提供的加密算法



本文重点讲shiro提供的第二种:不可逆加密。

        散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据,常见的散列算法如MD5、SHA等。一般进行散列时最好提供一salt(盐),比如加密密码“admin”,产生的散列值是“21232f297a57a5a743894a0e4a801fc3”,可以到一些md5解密网站很容易的通过散列值得到密码“admin”,即如果直接对密码进行散列相对来说破解更容易,此时我们可以加一些只有系统知道的干扰数据,如用户名和ID(即盐);这样散列的对象是“密码+用户名+ID”,这样生成的散列值相对来说更难破解。


常见的算法有:MD5,SHA算法:

        MD5算法是1991年发布的一项数字签名加密算法,它当时解决了MD4算法的安全性缺陷,成为应用非常广泛的一种算法。作为Hash函数的一个应用实例。

        SHA诞生于1993年,全称是安全散列算法(Secure Hash Algorithm),由美国国家安全局(NSA)设计,之后被美国标准与技术研究院(NIST)收录到美国的联邦信息处理标准(FIPS)中,成为美国国家标准,SHA(后来被称作SHA-0)于1995被SHA-1(RFC3174)替代。SHA-1生成长度为160bit的摘要信息串,虽然之后又出现了SHA-224、SHA-256、SHA-384和SHA-512等被统称为“SHA-2”的系列算法,但仍以SHA-1为主流。


数据库User设计:

  1. CREATE TABLE `sys_users` (  
  2.   `id` bigint(20) NOT NULL AUTO_INCREMENT,  
  3.   `username` varchar(100) DEFAULT NULL,  
  4.   `password` varchar(100) DEFAULT NULL,  
  5.   `salt` varchar(100) DEFAULT NULL,  
  6.   `locked` tinyint(1) DEFAULT '0',  
  7.   PRIMARY KEY (`id`),  
  8.   UNIQUE KEY `idx_sys_users_username` (`username`)  
  9. ENGINE=InnoDB AUTO_INCREMENT=94 DEFAULT CHARSET=utf8;  
  10.   
  11.   
  12. 说明:id主键字段  
  13.       username 登录的用户名  
  14.       passowrd 登录的密码      
  15.       salt     盐              
  16.       locked   锁定  默认为0(false)表示没有锁  

用户表User:


  1. package com.lgy.model;  
  2.   
  3. import org.springframework.util.CollectionUtils;  
  4. import org.springframework.util.StringUtils;  
  5.   
  6. import java.io.Serializable;  
  7. import java.util.ArrayList;  
  8. import java.util.List;  
  9.   
  10. public class User implements Serializable {  
  11.     private static final long serialVersionUID = -651040446077267878L;  
  12.       
  13.     private Long id; //编号  
  14.     private Long organizationId; //所属公司  
  15.     private String username; //用户名  
  16.     private String password; //密码  
  17.     private String salt; //加密密码的盐  
  18.     private List<Long> roleIds; //拥有的角色列表  
  19.     private Boolean locked = Boolean.FALSE;  
  20.   
  21.     public User() {  
  22.     }  
  23.   
  24.     public User(String username, String password) {  
  25.         this.username = username;  
  26.         this.password = password;  
  27.     }  
  28.   
  29.     public Long getId() {  
  30.         return id;  
  31.     }  
  32.   
  33.     public void setId(Long id) {  
  34.         this.id = id;  
  35.     }  
  36.   
  37.     public Long getOrganizationId() {  
  38.         return organizationId;  
  39.     }  
  40.   
  41.     public void setOrganizationId(Long organizationId) {  
  42.         this.organizationId = organizationId;  
  43.     }  
  44.   
  45.     public String getUsername() {  
  46.         return username;  
  47.     }  
  48.   
  49.     public void setUsername(String username) {  
  50.         this.username = username;  
  51.     }  
  52.   
  53.     public String getPassword() {  
  54.         return password;  
  55.     }  
  56.   
  57.     public void setPassword(String password) {  
  58.         this.password = password;  
  59.     }  
  60.   
  61.     public String getSalt() {  
  62.         return salt;  
  63.     }  
  64.   
  65.     public void setSalt(String salt) {  
  66.         this.salt = salt;  
  67.     }  
  68.   
  69.     //证书凭证  
  70.     public String getCredentialsSalt() {  
  71.         return username + salt;  
  72.     }  
  73.   
  74.     public List<Long> getRoleIds() {  
  75.         if(roleIds == null) {  
  76.             roleIds = new ArrayList<Long>();  
  77.         }  
  78.         return roleIds;  
  79.     }  
  80.   
  81.     public void setRoleIds(List<Long> roleIds) {  
  82.         this.roleIds = roleIds;  
  83.     }  
  84.   
  85.   
  86.     public String getRoleIdsStr() {  
  87.         if(CollectionUtils.isEmpty(roleIds)) {  
  88.             return "";  
  89.         }  
  90.         StringBuilder s = new StringBuilder();  
  91.         for(Long roleId : roleIds) {  
  92.             s.append(roleId);  
  93.             s.append(",");  
  94.         }  
  95.         return s.toString();  
  96.     }  
  97.   
  98.     public void setRoleIdsStr(String roleIdsStr) {  
  99.         if(StringUtils.isEmpty(roleIdsStr)) {  
  100.             return;  
  101.         }  
  102.         String[] roleIdStrs = roleIdsStr.split(",");  
  103.         for(String roleIdStr : roleIdStrs) {  
  104.             if(StringUtils.isEmpty(roleIdStr)) {  
  105.                 continue;  
  106.             }  
  107.             getRoleIds().add(Long.valueOf(roleIdStr));  
  108.         }  
  109.     }  
  110.       
  111.     public Boolean getLocked() {  
  112.         return locked;  
  113.     }  
  114.   
  115.     public void setLocked(Boolean locked) {  
  116.         this.locked = locked;  
  117.     }  
  118.   
  119.     @Override  
  120.     public boolean equals(Object o) {  
  121.         if (this == o) return true;  
  122.         if (o == null || getClass() != o.getClass()) return false;  
  123.   
  124.         User user = (User) o;  
  125.   
  126.         if (id != null ? !id.equals(user.id) : user.id != null) return false;  
  127.   
  128.         return true;  
  129.     }  
  130.   
  131.     @Override  
  132.     public int hashCode() {  
  133.         return id != null ? id.hashCode() : 0;  
  134.     }  
  135.   
  136.     @Override  
  137.     public String toString() {  
  138.         return "User{" +  
  139.                 "id=" + id +  
  140.                 ", organizationId=" + organizationId +  
  141.                 ", username='" + username + '\'' +  
  142.                 ", password='" + password + '\'' +  
  143.                 ", salt='" + salt + '\'' +  
  144.                 ", roleIds=" + roleIds +  
  145.                 ", locked=" + locked +  
  146.                 '}';  
  147.     }  
  148. }  

-------------------------------------------------------------------------------------------加密----------------------------------------------

正如前面散列算法的说法:加密采用的是MD5或者SHA算法和salt盐结合产生不可逆的加密。

什么是盐?

      抛开盐不说: 

     例如用户名admin        密码123,通过md5加密密码得到新的密码值为21232f297a57a5a743894a0e4a801fc3,这样通过数字字典很容易就知道md5加密后的密码为123.

     若加入一些系统已经知道的干扰数据,这些干扰的数据就是盐。则密码就是由  sale(盐) + 通过盐生成的密码组成,这样同一个密码加密生成的密码是各不相同的达到不可逆加密。



对密码进行盐加密的工具:

这个是jdbc.properties配置文件,里面有shiro加密中需要配的算法名称和迭代次数。算法名称可以为md5,sha-1,sha-256.

若填的算法名称不是加密算法如aaa,则会报错:Caused by: Java.security.NoSuchAlgorithmException: abc MessageDigest not available

  1. #dataSource configure  
  2. connection.url=jdbc:mysql://localhost:3306/shiro-demo  
  3. connection.username=root  
  4. connection.password=  
  5.   
  6. #druid datasource  
  7. druid.initialSize=10  
  8. druid.minIdle=10  
  9. druid.maxActive=50  
  10. druid.maxWait=60000  
  11. druid.timeBetweenEvictionRunsMillis=60000  
  12. druid.minEvictableIdleTimeMillis=300000  
  13. druid.validationQuery=SELECT 'x'  
  14. druid.testWhileIdle=true  
  15. druid.testOnBorrow=false  
  16. druid.testOnReturn=false  
  17. druid.poolPreparedStatements=true  
  18. druid.maxPoolPreparedStatementPerConnectionSize=20  
  19. druid.filters=wall,stat  
  20.   
  21. #shiro  
  22. password.algorithmName=sha-1  
  23. password.hashIterations=2  

密码加密工具类:
  1. package com.lgy.service;  
  2.   
  3. import org.apache.shiro.crypto.RandomNumberGenerator;  
  4. import org.apache.shiro.crypto.SecureRandomNumberGenerator;  
  5. import org.apache.shiro.crypto.hash.SimpleHash;  
  6. import org.apache.shiro.util.ByteSource;  
  7. import org.springframework.beans.factory.annotation.Value;  
  8. import org.springframework.stereotype.Service;  
  9.   
  10. import com.lgy.model.User;  
  11.       
  12. @Service  
  13. public class PasswordHelper {  
  14.   
  15.     private RandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator();  
  16.   
  17.     @Value("${password.algorithmName}")  
  18.     private String algorithmName;  
  19.     @Value("${password.hashIterations}")  
  20.     private int hashIterations;  
  21.   
  22.     public void encryptPassword(User user) {  
  23.   
  24.         user.setSalt(randomNumberGenerator.nextBytes().toHex());  
  25.   
  26.         String newPassword = new SimpleHash(  
  27.                 algorithmName,           //加密算法  
  28.                 user.getPassword(),      //密码  
  29.                 ByteSource.Util.bytes(user.getCredentialsSalt()),  //salt盐   username + salt  
  30.                 hashIterations   //迭代次数  
  31.                 ).toHex();  
  32.   
  33.         user.setPassword(newPassword);  
  34.     }  
  35. }  

密码中干扰的值是username+salt组成, salt是用RandomNumberGererator随机生成的值。可以自定义,也可以不需要salt这个字段。这样在数据库中生成的数据有:

同样的密码123456,得到的密码值是不一样的!

用户名                                    密码                                                              盐值

admin c4270458aca71740949bead254d6e9fb          228723e1ecce4511f2ff3a02a1a6a57b

feng 2053ad769d326bc6b36f97aac53b72a6a        cf12465e22601b8399439e526499f5c


---------------------------------------------------------------------------解密-----------------------------------------------------------------


shiro框架的解密是通过:HashedCredentialsMatcher实现密码验证服务

a.首先配置自己的realm:     

  1. <!-- Realm实现 -->  
  2. <bean id="userRealm" class="com.lgy.realm.UserRealm">  
  3.     <!-- 密码验证方式 -->  
  4.     <property name="credentialsMatcher" ref="credentialsMatcher"/>  
  5.     <property name="cachingEnabled" value="false"/>  
  6.     <!--<property name="authenticationCachingEnabled" value="true"/>-->  
  7.     <!--<property name="authenticationCacheName" value="authenticationCache"/>-->  
  8.     <!--<property name="authorizationCachingEnabled" value="true"/>-->  
  9.     <!--<property name="authorizationCacheName" value="authorizationCache"/>-->  
  10. </bean>  
  1. <!-- 凭证匹配器 -->  
  2. <bean id="credentialsMatcher" class="com.lgy.credentials.RetryLimitHashedCredentialsMatcher">  
  3.     <constructor-arg ref="cacheManager"/>  
  4.     <property name="hashAlgorithmName" value="sha-1"/>  
  5.     <property name="hashIterations" value="2"/>  
  6.     <property name="storedCredentialsHexEncoded" value="true"/>  
  7. </bean>  

密码验证方式是自定义实现的,RetryLimitHashedCredentialsMatcher实现类如下:
  1. package com.lgy.credentials;  
  2.   
  3. import org.apache.shiro.authc.AuthenticationInfo;  
  4. import org.apache.shiro.authc.AuthenticationToken;  
  5. import org.apache.shiro.authc.ExcessiveAttemptsException;  
  6. import org.apache.shiro.authc.credential.HashedCredentialsMatcher;  
  7. import org.apache.shiro.cache.Cache;  
  8. import org.apache.shiro.cache.CacheManager;  
  9.   
  10. import java.util.concurrent.atomic.AtomicInteger;  
  11. public class RetryLimitHashedCredentialsMatcher extends HashedCredentialsMatcher {  
  12.   
  13.     private Cache<String, AtomicInteger> passwordRetryCache;  
  14.   
  15.     public RetryLimitHashedCredentialsMatcher(CacheManager cacheManager) {  
  16.         passwordRetryCache = cacheManager.getCache("passwordRetryCache");  
  17.     }  
  18.   
  19.     @Override  
  20.     public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {  
  21.         String username = (String)token.getPrincipal();  
  22.         //retry count + 1  
  23.         AtomicInteger retryCount = passwordRetryCache.get(username);  
  24.         if(retryCount == null) {  
  25.             retryCount = new AtomicInteger(0);  
  26.             passwordRetryCache.put(username, retryCount);  
  27.         }  
  28.         if(retryCount.incrementAndGet() > 5) {  
  29.             //if retry count > 5 throw  
  30.             throw new ExcessiveAttemptsException();  
  31.         }  
  32.   
  33.         boolean matches = super.doCredentialsMatch(token, info);  
  34.         if(matches) {  
  35.             //clear retry count  
  36.             passwordRetryCache.remove(username);  
  37.         }  
  38.         return matches;  
  39.     }  
  40. }  

这里要注意认证凭证中的2个参数值的设置要与加密时的一致,分别是算法名称)和迭代次数.

userRealm类如下:

  1. @Override  
  2. protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {  
  3.     String username = (String)token.getPrincipal();  
  4.     User user = userService.findByUsername(username);  
  5.     if(user == null) {  
  6.         throw new UnknownAccountException();//没找到帐号  
  7.     }  
  8.     if(Boolean.TRUE.equals(user.getLocked())) {  
  9.         throw new LockedAccountException(); //帐号锁定  
  10.     }  
  11.     //交给AuthenticatingRealm使用CredentialsMatcher进行密码匹配,如果觉得人家的不好可以自定义实现  
  12.     SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(  
  13.             user.getUsername(), //用户名  
  14.             user.getPassword(), //密码  
  15.             ByteSource.Util.bytes(user.getCredentialsSalt()),//salt=username+salt  
  16.             getName()  //realm name  
  17.     );  
  18.     return authenticationInfo;  
  19. }  

通过SimpleAuthenticationInfo将盐值以及用户名和密码信息封装到AuthenticationInfo中,进入证书凭证类中进行校验。
Shiro----散列算法(算法加密)
qq_48788523的博客
01-11 3461
Shiro , 走一走,瞧一瞧,md5加密密码, 保护你
Shiro框架
最新发布
云扬的博客
09-18 970
本文主要介绍了Shiro框架的概念与使用,包括权限管理、Shiro框架简介、Shiro的配置、认证业务、认证后获得用户信息、登出、Handler方法与权限等内容。供个人学习使用。
Shiro入门(五)Shiro自定义Realm和加密算法
jwang的博客
05-11 2176
前言 本章讲解shiro自定义的realm和它的加密算法 方法 1.概念 通过前面的讲解,我已经带入了自定义Realm的相关概念。那么为什么要自定义realm呢?显而易见,我们在数据库创建的users表和它的字段受限于shiro自己的jdbcRealm,所以通常情况下我们需要使用自己的表,跟着必须使用自定义realm。 再者,在用户表,密码字段的值是一个敏感的存在。我们需...
Java Shiro 安全框架:(八)加密算法
地球村
07-01 420
加密算法1.手动处理数据时,自行使用MD5加密2.使用Shiro的MD5方式进行加密 在身份认证的过程往往都会涉及到加密,如果不加密,这个时候信息就会非常的不安全,shiro 提供的算法比较多 如 MD5 SHA 等 1.手动处理数据时,自行使用MD5加密 package com.shiro3; import org.apache.shiro.crypto.hash.Md5Hash; public class TestDemo { public static void main(Str
Shiro加密方式-yellowcong
m0_67402731的博客
04-07 2025
Shiro加密验证,是通过自身的方式来进行验证的。有无加密加密的两种验证方式。在密码的生成方面,我们可以通过SimpleHash来生成密码。 源码下载地址 https://gitee.com/yellowcong/shior-dmeo/tree/master/test 1、密码比对方式 Shiro密码的比对,是由Shiro的AuthenticatingRealm.getCredentialsMatcher 的方法来进行比对的,我们只需要在AuthorizingRealm的继承类,复写验证asse.
学习shiro加密程序
04-05
在这个“学习shiro加密程序”项目,我们将会探讨Shiro如何帮助开发者实现数据加密,以及如何在Eclipse环境进行开发和测试。 Shiro加密功能主要体现在以下几个方面: 1. **密码哈希**:Shiro提供了一套...
浅谈shiro的SecurityManager类结构
08-29
Apache Shiro 是一个强大且易用的 Java 安全框架,提供认证、授权、加密和会话管理功能,简化了企业级应用的安全实现。在 Shiro ,`SecurityManager` 是核心组件,它负责整个安全体系的管理和协调工作。本文将深入...
Shiro 加密
m0_67631696的博客
06-06 491
比如我的密码是 123456,你的密码也是,通过 md5 加密之后的字符串一致,所以你也就能知道我的密码了,如果我们把常用的一些密码都做 md5 加密得到一本字典,那么就可以得到相当一部分的人密码,这也就相当于“破解”了一样,所以其实也没有我们想象的那么“安全”。,就无法通过计算还原回 123456,我们把这个加密的字符串保存在数据库,等下次用户登录时我们把密码通过同样的算法加密后再从数据库取出这个字符串进行比较,就能够知道密码是否正确了,这样既保留了密码验证的功能又大大增加了安全性,
Shiroshiro加密
来日浅谈的博客
05-27 1492
Shiroshiro加密1. shiro加密介绍2. 加密3. 密码比对4. 更改自定义Realm ⽤户的密码是不允许明⽂存储的,因为⼀旦数据泄露,⽤户的隐私信息会完全暴露。所以密码必须结果加密,⽣成密⽂,然后数据库只存储⽤户的密码的密⽂。 在加密过程需要使⽤到⼀些"不可逆加密",如 md5,sha等 所谓不可逆是指: 加密函数A, 明⽂ “abc”, A("abc") = "密⽂" 不能通过 “密⽂” 反推出 “abc”,即使密⽂泄露密码仍然安全。 1. shiro加密介绍 shiro⽀持ha
shiro登陆身份认证和权限管理 密码加密
01-23
shiro登陆,shiro登陆身份认证和权限管理 密码加密。自己写的demo。实用。希望大家多多支持。谢谢大家
Shiro--密码加密
吴声子夜歌的博客
02-09 1148
散列算法 散列算法一般用于生成一段文本的摘要信息,将内容可以生成摘要,无法将摘要转成原始内容。 散列算法不可逆 散列算法常用于对密码进行散列 常用的散列算法有 MD5、SHA 一般散列算法需要提供一个 salt (盐) 与原始内容生成摘要信息,这样做的目的是为了安全性 比如:111111 的 md5值是:96e79218965eb72c92a549dd5a330112, 拿着 96e79218...
初次使用Shiro进行加密密码的算法实例
BADAO_LIUMANG_QIZHI的博客
04-10 500
场景 Apache Shiro 是一个强大易用的 Java 安全框架,用以执行身份验证、授权、密码和会话管理,而且可以方便地被 Spring Boot 所集成。 大部分 Web 应用的用户密码一般通过散列算法 + 盐的形式持久化在数据库。在使用 Shiro 进行身份验证时,可以在 Shiro 配置类配置密码散列匹配器,来对数据库保存的密码进行验证。 实现 1.在接收到密码的地方 S...
Shiro 框架的MD5加密算法实现原理
持 开源思想,撰 必胜所学,望 勤学者,无难处
05-09 234
该代码可以直接用于项目做MD5加密,加盐加密,多层散列加密
Shiro安全框架》专题(四)-Shiro加密
专业的计算机毕业设计指南
01-29 726
目录1.概念2.加密分类2.1.对称加密2.2.非对称加密2.3.对称加密和非对称加密小结3.加密算法分类3.1.单向加密3.2.双向加密4.常见算法5.MD5的使用6.盐值的作用7.shiro使用MD5加密 1.概念 加密,是以某种特殊的算法改变原有的信息数据,使得未授权的用户即使获得了已加密的信息,但因不知解密的方法,仍然无法了解信息的内容 数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为"密文",使其只能在输入相应的密钥之后才能显示出本来内容,通过
shiro使用(密码加密以及加盐,附:加盐或者加密之后认证不通过的靠谱解决方案)
特别享受思考问题的过程
04-20 4606
既然要做,就做的细致一点,对得起自己! 一个应用最基本的职责就应该保护用户信息的安全,至于为什么登录密码或者相关的密码要加密,不再赘述。 前台新增用户时,用户设置登录名和密码,shiro对用户输入的密码进行加密处理,由于最近在搞Springboot,所以以后shiro相关的配置都会以在springboot的形式展示。 常见问题:1.如果在加密时,发现数据库里的密码还是没有加密成功,还是明文...
Shiro学习(五)——密码的加密解密
sadoshi的专栏
09-09 6129
前言 前面几篇文章的密码都是以明文形式存储。在真实项目当然不可能明文存储密码,密码一定是以加密的形式存储的。前面我们可以看到当我们给出帐号和密码后,shiro就会去查找ini配置文件或者数据库对应字段来匹配账号密码。那如果我们把存储的密码加密shiro又如何根据我们提交的明文密码与存储的加密密码匹配呢? Shiro加密与匹配的原理 这里不准备展示源码。相信很多读者看文章时面对大量源码也看得一头雾水,并不能总结出什么来,所以这里大致讲讲思路,有兴趣的读者可以自行跟踪源码。这里以读取ini文件为例
shiro学习分享(二)——登陆次数限制,RemberMe功能以及验证码功能实现
madonghyu的博客
03-19 811
实现登陆次数限制,RemberMe功能以及验证码功能的整合 登陆次数限制 实现:通过重写HashedCredentialsMatcher这个类实现,并且使用Ehcache管理内存 实现类: public class RetryLimitHashedCredentialsMatcher extends HashedCredentialsMatcher { private Ca...
深入浅出Shiro框架学习教程
Shiro是一个简单易用的安全控制框架,不像Spring Security那样需要一次简单控制拦截N次。Shiro提供了一个灵活的安全框架,可以满足各种应用程序的安全需求。 **权限管理基础** 权限管理是Shiro的核心功能之一。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值