shiro实现密码加密验证的方法及原理

最新推荐文章于 2021-12-21 15:27:48 发布
最新推荐文章于 2021-12-21 15:27:48 发布
阅读量2.1k 收藏 4
点赞数 2
分类专栏: springboot shiro 文章标签: java shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lucky_shanshan/article/details/119353198
版权

基础的配置不再赘述,仅说明密码加密校验需要增加的配置

1、配置ShiroConfig

  @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        //设置加密算法
        hashedCredentialsMatcher.setHashAlgorithmName("md5");
        //设置加密的次数
        hashedCredentialsMatcher.setHashIterations(5);
        return hashedCredentialsMatcher;
    }

   @Bean
    public ShiroRealm shiroRealm() {
        ShiroRealm shiroRealm = new ShiroRealm();
        //设置shiroRealm的密码验证的匹配器
        shiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return shiroRealm;
    }

2、注册用户的时候密码加密存入数据库

 public AjaxResult register(UserInfo userInfo) {
        String userName = userInfo.getName();
        String password = userInfo.getPassword();
        //判断用户名是否已经存在,如果已存在,那就返回错误信息
        UserInfo selectByUsername = userInfoMapper.selectByUsername(userName);
        if (selectByUsername!=null){
            return AjaxResult.error("改用户名已存在!");
        }
        String salt = new SecureRandomNumberGenerator().nextBytes().toString();
        int times = 5;
        String algorithmName = "md5";
        //SimpleHash类使用md5加密算法加密两次,把盐加进去,生成新的密码
        String encodedPassword = new SimpleHash(algorithmName, password, ByteSource.Util.bytes(salt), times).toString();

        userInfo.setSalt(salt);
        userInfo.setPassword(encodedPassword);
        userInfo.setCreateTime(LocalDateTime.now());
        userInfoMapper.insertSelective(userInfo);
        return AjaxResult.success();
    }

3、登陆的时候使用加密前的密码登陆

配置登陆校验的ShiroRealm 

/**
 * @Description
 * @Author luoss
 * @Date 2021/8/216:35
 */
public class ShiroRealm extends AuthorizingRealm {

    @Autowired
    private UserInfoMapper userInfoMapper;

    /**
     * 权限信息
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        return info;
    }

    /**
     * 认证信息
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        String username = token.getUsername();
        UserInfo userInfo = userInfoMapper.selectByUsername(username);
        if (userInfo == null){
            throw new AuthenticationException("账号不存在");
        }
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(userInfo,userInfo.getPassword(), ByteSource.Util.bytes(userInfo.getSalt()),getName());
        //return的时候进行校验
        return authenticationInfo;
    }

注意:最后的return simpleAuthenticationInfo 的时候就会触发password验证。
我们要知道一个继承关系
shiroRealm----->AuthorizingRealm---->AuthenticatingRealm

当执行"return simpleAuthenticationInfo"之后,会调用AuthenticatingRealm的getAuthenticationInfo()方法

 public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        AuthenticationInfo info = this.getCachedAuthenticationInfo(token);
        if (info == null) {
            info = this.doGetAuthenticationInfo(token);
            log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);
            if (token != null && info != null) {
                this.cacheAuthenticationInfoIfPossible(token, info);
            }
        } else {
            log.debug("Using cached authentication info [{}] to perform credentials matching.", info);
        }

        if (info != null) {
            this.assertCredentialsMatch(token, info);
        } else {
            log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);
        }

        return info;
    }

上面代码中又调用了assertCredentialsMatch(token, info);

protected void assertCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) throws AuthenticationException {
        CredentialsMatcher cm = getCredentialsMatcher();
        if (cm != null) {
        //判断验证是否通过,如果不通过则抛出异常(这个异常将在LoginController中捕获并处理)
            if (!cm.doCredentialsMatch(token, info)) {
                //not successful - throw an exception to indicate this:
                String msg = "Submitted credentials for token [" + token + "] did not match the expected credentials.";
                throw new IncorrectCredentialsException(msg);
            }
        } else {
            throw new AuthenticationException("A CredentialsMatcher must be configured in order to verify " +
                    "credentials during authentication.  If you do not wish for credentials to be examined, you " +
                    "can configure an " + AllowAllCredentialsMatcher.class.getName() + " instance.");
        }
    }

继续看doCredentialsMatch()的源码
调用的是类HashedCredentialsMatcher的方法(在ShiroConfig里设置)

public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        Object tokenHashedCredentials = hashProvidedCredentials(token, info);//这里将得到页面传递来的password通过加密后的结果
        Object accountCredentials = getCredentials(info);//这里得到是数据库的passwrod通过加密后的结果
        return equals(tokenHashedCredentials, accountCredentials);
    }

到这里就可看到password验证的大致流程,
如果返回true,那么验证就通过了。
如何返回false,那么上面的AuthenticatingRealm.assertCredentialsMatch()方法会抛出 IncorrectCredentialsException异常

4、登陆

 @PostMapping("login")
    public AjaxResult login(@RequestBody UserInfo userInfo){
        try {
            Subject subject = SecurityUtils.getSubject();
            UsernamePasswordToken token = new UsernamePasswordToken(userInfo.getName(),userInfo.getPassword());
            subject.login(token);
            return AjaxResult.success();
        }catch (Exception e){
            logger.error("登陆失败:"+e);
            return AjaxResult.error("登陆失败:"+e.getMessage());
        }

    }

lucky_shanshan
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro身份认证&&md5加盐加密
qq_63492318的博客
08-26 897
我们可以看到,数据库密码的发展史让着我们的密码越来越安全,这也极大的保障了用户数据的安全性,就算数据泄露也让别人无处下手。在MyRealm中添加userBiz属性的get、set方法,通过配置的方式才可以进行使用。改变原来的md5加密过的密码,相当于再次加密;加次数就是给这串密码一步步的进行多次加盐加密,极大的提高了密码的安全性;2、利用 999 原始密码 + 生成的随机的盐 得到加密后的密码;演示完成,后面我们就可以利用加盐加密实现用户的注册功能了。的分享就到这里啦,喜欢的可以持续关注噢,下次再见啦!.
shiro框架的密码校验(二)
阿沐沐的博客
05-14 1984
前面的内容在这里 shiro框架简单介绍以及使用(一) 上一篇简单介绍了一下shiro框架和账号验证,这篇简单写一下shiro密码校验的介绍和几种使用方式 一、加密/加盐介绍 什么是加密?什么是加盐? 1.加密加密是以某种特殊的算法改变原有的信息数据,这样的话即使你拿到了密文,但因为你不知道加密方式也没办法知道密文的内容。比如说电报,你监听到了发的电报,但是你不知道用的是那个密码本,一样无法知道电报内容是什么。 2.加盐:加盐是指将每口令同一个叫做”盐“值相关联,我们这里用于密码加盐,盐值一般都是随机
shiro简单的密码加盐与登录验证
wogoshu1的博客
07-27 2499
一、pom.xml配置 首先导入依赖,从guns项目的pom.xml中拽出并把版本号替换成1.3.2 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.3.2</versi...
shiro笔记之----SimpleAuthenticationInfo 验证password
hubeilihao的专栏
05-28 8120
公司项目中用的是shiro做安全认证框架,从代码中看到了判断验证码的,也看到了判断用户名是否存在的,就是没有发现判断密码是否正确的,后从网上文章以及查看源码才大概了解shiro对于密码验证的流程。 自定义的shiroRealm public class ShiroRealm extends AuthorizingRealm { @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
spring集成shiro实现登录认证自定义验证功能(认证采用国密SM4算法)
爱喝浓咖啡
12-20 1849
公司在建项目采用的开发框架为spring+springMvc+hibernate,安全框架采用的是shiro,安全认证沿用了shiro自带的HashedCredentialsMatcher,现客户(国企)要求用户密码必须采用国密SM4算法进行加密,因此需对安全认证模块进行改造。 SM4加密JAVA版可参考:http://blog.csdn.net/lemon_tree12138/...
shiro 盐值加密
快乐的小三菊的博客
05-17 869
shiro 盐值加密
springboot与shiro密码加密,mybatis,redis的整合项目
04-02
后台在通过shiro进行授权和认证,分为普通用户和管理员两种角色,普通用户只能访问商品,管理员可以访问商品和用户界面的基础上加入了密码加密。登录时利用了redis缓存。里面包含数据库文件希望能帮助到大家学习。
SpringBoot Shiro配置自定义密码加密器代码实例
08-19
主要介绍了SpringBoot Shiro配置自定义密码加密器代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
shiro授权的实现原理
08-29
主要介绍了shiro授权的实现原理,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringBoot+Shiro学习之密码加密和登录失败次数限制示例
08-31
本篇文章主要介绍了SpringBoot+Shiro学习之密码加密和登录失败次数限制示例,可以限制登陆次数,有兴趣的同学可以了解一下。
Shiro 身份验证、授权、密码和会话管理
05-07
使用Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序
shiro 如何对用户登录密码进行校验的
mastertojava的博客
12-13 5443
看下官方文档都有,SimpleAuthenticationInfo(Object principal, Object credentials, String realmName),这里principal用于标识用户,比如用户账号,credentials用于验证,比如密码(这里可以是类似md5加密后的)。 比如用户jim,密码是123。 登录时会以UsernamePasswordToken(jim...
Java高级技术
12-19
本阶段课程涵盖Java开发流行的自动化构建工具:Maven,版本控制系统:SVN和Git,容器虚拟化技术:Docker,权限模型:RBAC,集成测试:Jenkins,微服务架构:SpringCloud等核心内容。旨在应对各种实际开发情况下的的各种开发场景及业务的需要。
Shiro 之 SimpleAuthenticationInfo使用(*)
weixin_42408447的博客
12-21 5107
SimpleAuthenticationInfo这里原理很简单,又有一些值得挖掘的东西。 //此处使用的是user对象,不是username SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( user, user.getPassword(), getName() )
shiro自定义密码加密验证
lovely960823的博客
03-08 781
现在数据库密码基本上没有明文存储的,基本上都是加过密之后的信息,今天我们来处理一下我们平时在整合shiro的时候如何处理密文的情况,shiro的登录认证的时候会获取到UsernamePasswordToken里面的password和你返回SimpleAuthenticationInfo(user, user.getPassword(), “”);里面传入的密码进行匹配,一致则通过验证。 那么我们如何自定义密码验证呢,下面我们以MD5加密作为实现 @Override protected Authentica
Shiro(3)实现验证码认证
热门推荐
小9的专栏
08-14 2万+
Shiro整合Spring,图形验证码防止暴力破解。
记录一次shiro验证密码时,输入正确密码仍然提示不正确的问题
大明明
12-11 3105
项目环境是springboot+shiro,具体配置不细说了。 前提:shiro加密使用md5,没有加盐。 问题场景:在测试时前端输入了密码A,数据库中存放的是A加密后的B,所以我把A进行了一下加密A+作为参数传到了图一的位置,但是经过shiro比对仍然不正确,然后开始debug源码找问题,发现shiro会将密码A+又进行一次加密后再与B进行比对,所以图一处的传参不需要手动加密 图一注意点:...
浅谈关于shiro——SimpleAuthenticationInfo中的参数
李公子的博客
09-20 1万+
/** * 执行认证逻辑 */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException { System.out.println("执行认证逻辑"); ...
sptingboot shiro实现用户登录验证代码
最新发布
03-09
你好,以下是 springboot shiro 实现用户登录验证的代码示例: 首先,在 pom.xml 文件中添加以下依赖: ``` <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.6.</version> </dependency> ``` 然后,在 application.yml 文件中配置 shiro 相关信息: ``` shiro: loginUrl: /login successUrl: /index unauthorizedUrl: /unauthorized filterChainDefinitions: /login = anon /logout = logout /** = authc ``` 接着,在 UserRealm 类中实现用户认证和授权: ``` public class UserRealm extends AuthorizingRealm { @Autowired private UserService userService; @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo(); User user = (User) principals.getPrimaryPrincipal(); authorizationInfo.setRoles(user.getRoles()); authorizationInfo.setStringPermissions(user.getPermissions()); return authorizationInfo; } @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token; String username = usernamePasswordToken.getUsername(); User user = userService.findByUsername(username); if (user == null) { throw new UnknownAccountException("用户名或密码错误"); } return new SimpleAuthenticationInfo(user, user.getPassword(), getName()); } } ``` 最后,在 LoginController 类中处理用户登录请求: ``` @Controller public class LoginController { @PostMapping("/login") public String login(String username, String password) { Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken(username, password); try { subject.login(token); return "redirect:/index"; } catch (AuthenticationException e) { return "redirect:/login?error"; } } } ``` 以上就是 springboot shiro 实现用户登录验证的代码示例,希望能对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值