Shiro 使用Realm进行密码散列

最新推荐文章于 2021-05-21 23:28:07 发布
最新推荐文章于 2021-05-21 23:28:07 发布
阅读量223 收藏
点赞数
分类专栏: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenHaiJaheike/article/details/101379292
版权

散列算法

散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据,常见的散列算法如MD5、SHA等。一般进行散列时最好提供一个salt(盐),比如加密密码“admin”,产生的散列值是“21232f297a57a5a743894a0e4a801fc3”,可以到一些md5解密网站很容易的通过散列值得到密码“admin”,即如果直接对密码进行散列相对来说破解更容易,此时我们可以加一些只有系统知道的干扰数据,如用户名和ID(即盐);这样散列的对象是“密码+用户名+ID”,这样生成的散列值相对来说更难破解。

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.crypto.hash.Md5Hash;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;

public class MD5Test {

    @Test
    public void md5Test(){
        String password="666";

        //加密:MD5
        Md5Hash md5Hash=new Md5Hash(password);
        System.out.println(md5Hash);//fae0b27c451c728867a567e8c1bb4e53

        //加密:MD5 + 盐
        md5Hash = new Md5Hash(password,"zhangsan");
        System.out.println(md5Hash); //2f1f526e25fdefa341c7a302b47dd9df

        //加密:MD5 + 盐 + 散列次数
        md5Hash = new Md5Hash(password,"zhangsan",3);
        System.out.println(md5Hash); //cd757bae8bd31da92c6b14c235668091

    }
}

在Realm中应用

实际应用是将盐和散列后的值存在数据库中,自动realm从数据库取出盐和加密后的值由shiro完成密码校验。

步骤:

1、自定义加密之后realm: 重写3个方法:getName doGetAuthorizationInfo doGetAuthenticationInfo

public class PasswordReaml extends AuthorizingRealm {

    @Override
    public String getName() {
        return "MyReaml";
    }

    //授权操作
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {


        return null;
    }

    //认证操作
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String userName = (String) authenticationToken.getPrincipal();
        System.out.println(userName);
        if (!"zhangsan".equals(userName)) {
            return  null;
        }
        String pwd = "cd757bae8bd31da92c6b14c235668091";
        // info对象 表示 Realm 登录比对信息 ByteSource.Util.bytes("zhangsan")用来指定盐
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(userName,pwd, ByteSource.Util.bytes("zhangsan"),getName());
        return info;

    }
}

2、配置ini配置文件

在这里插入图片描述

3、加载配置文件,测试

 @Test
    public void MyReaml3(){
        //1、创建SecurityManager工厂,IniSecurityManagerFactory可以从ini文件中初始化SecurityManager环境
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-cryptography.ini");
        //2、,创建Security通过工厂对象Manger对象
        SecurityManager securityManager = factory.getInstance();
        //3、将securityManager设置到运行环境中,让系统随时随地访问securityManager
        SecurityUtils.setSecurityManager(securityManager);
        //4、创建当前登录主体
        Subject subject = SecurityUtils.getSubject();
        //5、收集主体登录的身份/凭证,即账号密码
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan","666");
        //6、主体登录
        subject.login(token);
        //7、判断登录是否成功
        System.out.println("验证登录是否成功:"+subject.isAuthenticated());
        //8、登出(注销)
        subject.logout();
        System.out.println("验证登录是否成功:"+subject.isAuthenticated());
    }
C小陈童鞋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
自定义Realm 认证 密码加密 自定义realm的授权功能
qq_55682798的博客
08-08 332
/什么时候执行该方法: 当你进行权限校验时会执行该方法//根据账号查询该用户具有哪些权限if(list!}}////1.根据token获取账号//2.根据账号查询用户信息if(user!=null){//从数据库中获取的密码}}}try {System.out.println("账号密码错误");}}}...
Shiro__自定义Realm认证账号密码,doGetAuthenticationInfo相关源码解析
qq_37432174的博客
07-16 1421
自定义MyRealm继承AuthorizingRealm 重写doGetAuthorizationInfo和doGetAuthenticationInfo两个方法, doGetAuthorizationInfo用于授权,doGetAuthenticationInfo用于认证 package com.test; import org.apache.shiro.authc.Authenticatio...
Shiro自定义realm实现密码验证及登录、密码加密注册、修改密码验证
weixin_30905981的博客
05-26 1661
Shiro自定义realm实现密码验证及登录、密码加密注册、修改密码验证 一:先从登录开始,直接看代码 @RequestMapping(value="dologin",method = {RequestMethod.GET, RequestMethod.POST},produces="text/html;charset=UTF-8") @ResponseB...
shirorealm配置免密码登陆
Mr_Wanter
12-06 2058
情景:项目本身shiro集成用的是标准的用户名、密码验证,现需要与第三方平台对接,使用密码shiro验证,需要多加一个免密码验证realm,并保证两个realm都可用。 Shiro.xml 1、安全管理器中添加authenticator认证策略配置 &lt;bean id="securityManager" class="org.apache.shiro.web.mgt.Default...
Shiro - 散列密码与权限缓存
江南烟雨却痴缠丶
09-09 151
散列密码 1.在保存用户时,给用户密码进行加密处理 public void saveEmployee(Employee employee) { // 把密码进行加密 Md5Hash md5Hash = new Md5Hash(employee.getPassword(),employee.getUsername(),2); employee.setPassword(m...
shiro----Realm使用散列算法
userzou的博客
05-21 395
pom.xml <dependency> <groupId>commons-logging</groupId> <artifactId>commons-logging</artifactId> <version>1.1.3</version> </dependency> <dependency> <groupId&gt.
Apache Shiro 使用手册(四) Realm 实现
01-09
因为在Shiro中,最终是通过Realm来获取应用程序中的用户、角色及权限信息的。通常情况下,在Realm中会直接从我们的数据源中获取Shiro需要的验证信息。可以说,Realm是专用于安全框架的DAO. 一、认证实现 正如前文...
shiro-realm案例
03-02
shiro自定义realm案例,参考文档:http://blog.csdn.net/qq_19558705/article/details/50775509
Apache Shiro 使用手册(二) Shiro 认证
01-09
一、Shiro认证过程 1、收集实体/凭据信息 代码如下://Example using most common scenario of username/password pair:UsernamePasswordToken token = new UsernamePasswordToken(username, password);//”...
Shiro-认证(自定义Realm散列密码
weixin_43478300的博客
10-26 194
Shiro-认证 认证 身份认证,就是判断一个用户是否为合法用户的处理过程; 通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确; 关键对象 Subject:主体 用户Principal:身份信息 是主体(subject)进行身份认证的标识,标识必须具有唯一性,如用户名、手机号、邮箱地址等credential:凭证信息 ...
Springboot中使用ShiroRealm进行登录用户的密码校验
玩火的稻草人的博客
02-20 1183
1、登录时调用login /** * 登录 */ @GetMapping(API_PREFIX + PATH + "/login") public ResponseEntity loginGo(HttpServletRequest request,String userName, String password) { Subject curre...
Tomcat默认管理后台被尝试破解密码,org.apache.catalina.realm.LockOutRealm.authenticate
Vv的博客
08-06 1万+
原因: 上周新的测试环境安装的tomcat被尝试破解密码,打开后台发现一堆警告,WARNING。 很多条这些记录。 因为安装tomcat的时候在安装目录下有个tomcat_path/webapps/manager/ 这个是Tomcat的管理后台 而在生产环境webapps这个目录都是清空的 这次测试环境由于没有删除这个,导致后台可以被访问上。 在部署管理页面中可以“Sta...
SpringBoot整合Shiro(看完不会,直播吃屎)
qq_40053836的博客
08-12 783
首先开始前,在这里吹个牛,如果愿意仔细花时间看完这篇文章,如果还不会shiro,直播吃屎(就是这么自信) 本文代码示例已放入github:请点击我 快速导航-------->src.main.java.yq.Shiro 1.Apache Shiro是什么? 答:ApacheShiro是Java安全框架,执行身份验证、授权、密码和会话管理 2.为什么使用Apache Shiro? ...
4.Shiro认证流程2_密码比对,MD5加密,MD5盐值加密
T_P_F的博客
04-26 357
调用自定义Realm之后 执行方法:doGetAuthenticationInfo()方法后返回AuthenticationInfo Realmshiro进行认证和授权的组件,自带了几种实现。自定义Realm继承AuthorizingRealm,分别实现认证和授权的方法 doGetAuthenticationInfo(AuthenticationTokentoken)是...
Realm 初次使用及踩坑
Likianta 的博客
05-14 3906
配置篇 不建议在 Realm使用 Stetho(2018-5-14) 初始化及构造函数篇 JavaBean 必须使用(或包含)无参构造方法 多对一关系使用 RealmList&lt;&gt; 不要使用 List&lt;&gt; 子对象不应有主键 不要在 JavaBean 中使用自增主键 主键类型不可以设为 int 对 javabean 中的成员进行修改后,需要重装 app 才能正常运行...
Shiro学习-密码的比对及密码的MD5加密(八)
PeakGao
12-23 884
密码比对 通过AuthenticatingRealm的credentialsMatcher进行密码的比对 由于你获取数据是从数据库获取的是加密后的密码,所以挺重要的 密码加密 如何把一个字符串加密为MD5 替换当前Realm的CredentialsMatcher属性,可以使用Md5CredentialsMatcher但是推荐使用HashedCredentialsMatcher对象,并设置加密算法 ...
Shiro入门7:修改自定义realm支持散列MD5密码对比
热门推荐
机智猫
03-27 1万+
需求:实际开发时realm进行md5值(明文散列后的值)的对比 此文老猫原创,转载请加本文连接:http://blog.csdn.net/nthack5730/article/details/50971087 更多有关老猫的文章:http://blog.csdn.net/nthack5730 需要在配置文件中进行散列对比 shiro
shiro入门走过的坑
stay hungry ! stay foolish!
04-03 731
shiro入门走过的坑&lt;!-- shiro认证与授权包 --&gt; &lt;dependency&gt; &lt;groupId&gt;org.apache.shiro&lt;/groupId&gt; &lt;artifactId&gt;shiro-core&lt;/artifactId&gt; &lt;versi...
shirorealm多登录界面
最新发布
05-18
Shiro支持多个Realm,你可以在shiro.ini或者shiro-config.xml中配置多个Realm。每个Realm可以用于不同类型的认证,比如一个Realm可以用于数据库认证,另一个Realm可以用于LDAP认证等等。 至于多个登录界面的实现,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值