散列算法
散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据,常见的散列算法如MD5、SHA等。一般进行散列时最好提供一个salt(盐),比如加密密码“admin”,产生的散列值是“21232f297a57a5a743894a0e4a801fc3”,可以到一些md5解密网站很容易的通过散列值得到密码“admin”,即如果直接对密码进行散列相对来说破解更容易,此时我们可以加一些只有系统知道的干扰数据,如用户名和ID(即盐);这样散列的对象是“密码+用户名+ID”,这样生成的散列值相对来说更难破解。
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.crypto.hash.Md5Hash;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;
public class MD5Test {
@Test
public void md5Test(){
String password="666";
//加密:MD5
Md5Hash md5Hash=new Md5Hash(password);
System.out.println(md5Hash);//fae0b27c451c728867a567e8c1bb4e53
//加密:MD5 + 盐
md5Hash = new Md5Hash(password,"zhangsan");
System.out.println(md5Hash); //2f1f526e25fdefa341c7a302b47dd9df
//加密:MD5 + 盐 + 散列次数
md5Hash = new Md5Hash(password,"zhangsan",3);
System.out.println(md5Hash); //cd757bae8bd31da92c6b14c235668091
}
}
在Realm中应用
实际应用是将盐和散列后的值存在数据库中,自动realm从数据库取出盐和加密后的值由shiro完成密码校验。
步骤:
1、自定义加密之后realm: 重写3个方法:getName doGetAuthorizationInfo doGetAuthenticationInfo
public class PasswordReaml extends AuthorizingRealm {
@Override
public String getName() {
return "MyReaml";
}
//授权操作
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
return null;
}
//认证操作
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
String userName = (String) authenticationToken.getPrincipal();
System.out.println(userName);
if (!"zhangsan".equals(userName)) {
return null;
}
String pwd = "cd757bae8bd31da92c6b14c235668091";
// info对象 表示 Realm 登录比对信息 ByteSource.Util.bytes("zhangsan")用来指定盐
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(userName,pwd, ByteSource.Util.bytes("zhangsan"),getName());
return info;
}
}
2、配置ini配置文件
3、加载配置文件,测试
@Test
public void MyReaml3(){
//1、创建SecurityManager工厂,IniSecurityManagerFactory可以从ini文件中初始化SecurityManager环境
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-cryptography.ini");
//2、,创建Security通过工厂对象Manger对象
SecurityManager securityManager = factory.getInstance();
//3、将securityManager设置到运行环境中,让系统随时随地访问securityManager
SecurityUtils.setSecurityManager(securityManager);
//4、创建当前登录主体
Subject subject = SecurityUtils.getSubject();
//5、收集主体登录的身份/凭证,即账号密码
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan","666");
//6、主体登录
subject.login(token);
//7、判断登录是否成功
System.out.println("验证登录是否成功:"+subject.isAuthenticated());
//8、登出(注销)
subject.logout();
System.out.println("验证登录是否成功:"+subject.isAuthenticated());
}