用acegi加密你的密码

最新推荐文章于 2019-01-17 15:08:56 发布
最新推荐文章于 2019-01-17 15:08:56 发布
阅读量193 收藏
点赞数
分类专栏: Java 文章标签: Acegi Bean Security Spring Hibernate

基于Acegi的权限控制系统跑起来了,但是保存在数据库中的密码还是明文的形式,要将密码加密一下才行哦,要不用户的密码很容易就泄漏出去了。在google上查了很多相关的文章,建议在spring的配置文件中加入以下bean

<bean class="org.acegisecurity.providers.encoding.Md5PasswordEncoder" id="passwordEncoder"></bean>

搞了半天没有成功,没有那篇文章是介绍的比较详细的,郁闷的是大多文章都是出自某人之手,然后一堆的转载!

本来acegi已经够复杂的,现在又要往里面加入bean就变得更加复杂了。何不自己来做转换呢?这样思路很清晰,而且控制力度加强了。一堆的配置文件不比一堆代码好理解多少。

开始动手了,思路1

通过改造userentity类,使得action获得的是加密过的字符串,但是在查找用户名密码的时候hibernate在查询后看见实体类的密码变了,将密码自动update了一次。失败了!

思路2

1、             updatesave的时候用户在输入密码的时候在将密码进行转换,保存在数据库中的是加密过的字符串。

2、             在登陆的时候将用户输入的密码加密后再跟数据库中的密码进行比较。

3、             扩展authenticationProcessingFilter,因为验证的代码放在authenticationProcessingFilterdoFilter中。

登陆操作:

authenticationProcessingFilterobtainPassword方法中,如果password不为空意味着用户进行的是登陆操作,将password加密先。

    String id=getBiz().saveUser(Md5Password(user), state);<o:p></o:p>

…….<o:p></o:p>

protected String obtainPassword(HttpServletRequest request) {<o:p></o:p>

       String password=request.getParameter(ACEGI_SECURITY_FORM_PASSWORD_KEY);<o:p></o:p>

       if(password!=null){<o:p></o:p>

            return MD5.toMD5(request.getParameter(ACEGI_SECURITY_FORM_PASSWORD_KEY));<o:p></o:p>

       }<o:p></o:p>

           return password;<o:p></o:p>

    }<o:p></o:p>

<o:p> </o:p>

<o:p> </o:p>

保存操作:

useraction中通过页面获得了user的实体类。如果密码不为空那就重新设置一下密码吧

    private User Md5Password(User user){<o:p></o:p>

       if(user.getPassword()!=null){<o:p></o:p>

           user.setPassword(MD5.toMD5(user.getPassword()));         return user;<o:p></o:p>

       }<o:p></o:p>

       return user;<o:p></o:p>

    }<o:p></o:p>

<o:p> </o:p>

Update操作更简单了:

getBiz().updateUserPassowrd(user.getId(), MD5.toMD5(user.getPassword()), state);

只是需要将密码加密后传给后台的方法,由后台保存到数据库中。

<o:p> </o:p>

总结:saveupdate是比较简单的,关键在与登陆的过程获得密码的地方。因为数据库中的密码是加密过的,所以在送用户密码去验证之前要将用户传过来的密码加密一次,以下就是验证密码部分代码。

                UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username,<o:p></o:p>

                        password);<o:p></o:p>

                setDetails(httpRequest, authRequest);<o:p></o:p>

                httpRequest.getSession().setAttribute(ACEGI_SECURITY_LAST_USERNAME_KEY,username);<o:p></o:p>

                authResult = this.getAuthenticationManager().authenticate(authRequest);

<o:p> </o:p>

hoonecan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Acegi 各种加密方式详解
y.a.l.e
08-17 158
Acegi 对于密码提供三种方式:明文及不采用任何加密方式、MD5加密方式、哈希算法加密方式。只需要在DAO的认证管理器中分别加入一下对应一下配置:第一种:不使用任何加密方式的配置 Java代码 &lt;bean id="daoAuthenticationProvider" class="org.acegisecurity.providers.dao.DaoAuthenti...
Spring Acegi 各种加密方式详解
阿永专栏
10-16 1405
Acegi 对于密码 明文及不采用任何加密方式 MD5加密方式 哈希算法加密方式
acegi的验证问题1 ---中文用户名登录,及md5加密密码方式
料峭春风吹酒醒,微冷,山头斜照却相迎。
03-20 240
在框架中使用了acegi,但是割接了一个微软的系统,系统中出现了中文用户名登录,这就造成了问题。因为之前acegi都是另一个同事负责,现在同事不在,只能自己解决,找到acegi中取得用户名的地方org.acegisecurity.ui.webapp.AuthenticationProcessingFilter 中的这段代码 &nbsp;1public&nbsp;Authentication&nb...
二、Acegi安全系统的配置
weixin_34064653的博客
06-08 108
转载于:http://www.springside.org.cn/docs/reference/Acegi3.htm 二 Acegi安全系统的配置 Acegi 的配置看起来非常复杂,但事实上在实际项目的安全应用中我们并不需要那么多功能,清楚的了解Acegi配置中各项的功能,有助于我们灵活的运用Acegi于实践中。 2.1 在Web.xml中的配置 1) FilterToBe...
Spring+Hibernate+Acegi 的初次体验
03-14
在本文中,我们将探讨如何整合SpringHibernateAcegi框架,构建一个安全的J2EE应用程序。...在深入学习和实践中,你会逐渐掌握Acegi的更多高级功能,比如基于表达式的访问控制、会话管理以及密码加密等。
Acegi + Spring + Hibernate + Struts2搭建
02-27
- 用户表(User):包含id、enable(启用状态)、user_name(用户名)、user_pass(加密后的密码)和email_box(电子邮件地址)字段。 - 角色表(Role):存储角色信息,可能包含id和role_name(角色名称)字段。 ...
jasypt API Docs 1.9 (CHM格式)
04-14
根据Jasypt文档,该技术可用于加密任务与应用程序,例如加密密码、敏感信息和数据通信、创建完整检查数据的sums. 其他性能包括高安全性、基于标准的加密技术、可同时单向和双向加密加密密码、文本、数字和二进制...
jasypt-1.9.3.jar
09-22
>根据Jasypt官方文档,Jasypt可用于加密任务与应用程序,例如加密密码、敏感信息和数据通信、创建完整检查数据的sums. 其他性能包括高安全性、基于标准的加密技术、可同时单向和双向加密加密密码、文本、数字和二...
如何在Spring中集成Acegi 2.x安全框架
10-10
此外,Spring Security还允许配置其他高级特性,如密码加密、记住我功能、CSRF防护、会话管理策略等。例如,可以通过`<authentication-manager>`配置认证管理器,通过`<user-service>`定义用户角色信息,或者通过`...
使用acegi控制用户权限实例
zw7534313的专栏
07-04 325
acegi权限控制:1.配置authenticationProcessingFilter的登陆url: &lt;property name="filterProcessesUrl" value="/login.do"/&gt;2.UserDetailsServiceImpl.loadUserByUsername(username)   与登陆页面的&lt;input name="j_usern...
(转)Spring Acegi 各种加密方式详解
xinlanzero
06-28 110
Acegi 对于密码提供三种方式:明文及不采用任何加密方式、MD5加密方式、哈希算法加密方式。 只需要在DAO的认证管理器中分别加入一下对应一下配置: 第一种:不使用任何加密方式的配置 Java代码 &lt;bean id="daoAuthenticationProvider" class="org.acegisecurity.providers.dao.DaoAuthenticationPro...
Acegi Security -- Spring下最优秀的安全系统
cfhgcvb的博客
01-17 1372
Acegi Security -- Spring下最优秀的安全系统
怎样从HttpSession中得到acegi登录的用户名称和密码
earthsky
05-21 252
[b]用户信息 [/b] 默认的Acegi登录成功后会在Session中放下面两个内容: ACEGI_SECURITY_CONTEXT--------org.acegisecurity.context.SecurityContextImpl@fdd91091: Authentication: org.acegisecurity.providers.Username...
Spring Security Acegi 学习之路一
ccd1010的博客
08-03 123
概述        Acegi Security(以下简称Acegi)是一个能为基于Spring的企业应用提供强大而灵活安全访问控制解决方案的框架,Acegi已经成为Spring官方的一个子项目,所以也称为Spring Security。它通过在Spring容器中配置一组Bean,充分利用Spring的IoC和AOP功能,提供声明式安全访问控制的功能。虽然,现在Acegi也可以应用到非Spri...
Spring Security 实现身份认证
热门推荐
小尘
03-30 2万+
Spring Security可以运行在不同的身份认证环境中,当我们推荐用户使用Spring Security进行身份认证但并不推荐集成到容器管理的身份认证中时,但当你集成到自己的身份认证系统时,它依然是支持的。     1. Spring Security中的身份认证是什么?     现在让我们考虑一下每个人都熟悉的标准身份认证场景:    
acegi 登录验证 错误信息 提示
backbase
06-24 286
1:需求:客户使用用户名、密码登录,根据不同的错误类型,在页面提示相应的错误信息       (一) 同一帐号IP或者密码450内3次登录,提示:请450秒后再进行登录      (二) 450内登录失败大于等于3次登录,提示:帐号被设为冻结       (三) 450秒内密码连续3次错误,提示:帐号禁止15分钟内再登录 ............. ...
Exception starting filter [Acegi Filter Chain Proxy]
最新发布
05-18
这个错误通常是由于Spring Security配置有误引起的。...你需要仔细检查你的Spring Security配置文件,排除以上可能的原因,并确保配置正确。如果问题仍然存在,请提供更详细的错误信息和配置文件以供参考。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值