Shiro 学习笔记(6)—— 加密

最新推荐文章于 2023-07-05 20:34:24 发布
最新推荐文章于 2023-07-05 20:34:24 发布
阅读量3k 收藏 2
点赞数 3
分类专栏: shiro 文章标签: shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lw_power/article/details/52562760
版权

Shiro 学习笔记(6)—— 加密

Shiro 有一个非常强大的功能,就是对加密算法的封装。在我们之前的例子中,我们的密码在 Realm 里返回认证信息的时候,写的都是明文。这样的方式其实是很不安全的。

一般地,密码这样的高度敏感的字段,我们应该是使用一种不可破解的算法加密以后存储到我们的数据库中。当用户登录的时候,在用户输入用户名正确(在库中存在)的前提下,将用户输入的密码使用同样的算法加密以后得到的字符串和数据库中的密文密码进行匹配,匹配成功,则认证通过。

这样处理的好处是,即使是可以接触生产环境的开发人员或者是数据库管理人员,都无法通过数据库信息知道真实用户的密码。即使是密码泄露给外部,别人也无法知道密码的明文是什么,极大地保护了用户信息的安全。

Shiro 提供了 PasswordService 及 CredentialsMatcher 用于提供加密密码及验证密码服务。

我们先来看一个例子:

PasswordService service = new DefaultPasswordService();
String str1 = service.encryptPassword("123456");
String str2 = service.encryptPassword("123456");
System.out.println(str1);
System.out.println(str2);
// 盐值是存放在加密以后的密码中的
boolean boolean1 = service.passwordsMatch("123456",str1);
System.out.println(boolean1);
boolean boolean2 = service.passwordsMatch("123456",str2);
System.out.println(boolean2)

我们发现,同样是“123456”这样的密码,使用 DefaultPasswordService 这个实现类的 encryptPassword() 方法加密以后得到的密文都是不一样的。但是我们可以使用 DefaultPasswordService 这个实现类的 passwordsMatch() 将明文密码与密文密码进行匹配,使用这个方法匹配是成功可靠的,这一点我们须要理解。

那么,我们如何在 Realm 中指定 Shiro 使用 DefaultPasswordService 这个实现类的 passwordsMatch() 方法进行密码的匹配呢?

我们可以使用依赖注入的方式,代码如下:

自定义 Realm 的认证实现部分:

public class MyPasswordRealm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String username  = authenticationToken.getPrincipal().toString();
        // String password = new String((char[]) authenticationToken.getCredentials());
        // 此时我们应该从数据库中根据 username 查询出对应的密码
        // String passwordFromDB = "$shiro1$SHA-256$500000$tSqKNsDkQ4hLsGwJ9JnNUw==$7UxMi+gx5OjIdu8knQdrWlB0RDfWDEF/LwxjL0JdDRs=";
        // String passwordFromDB = "$shiro1$SHA-256$500000$79CtWg6E9u4Bxp0v7BNpxA==$eKAezOeAAQrS2cxTDJZJM8vwovgbCXrqRFSHvbgaMEY=";
        String passwordFromDB = "$shiro1$SHA-256$500000$b282jV6ARlycFe0B4OaUQA==$9r6F9OdmO/kvy0ig0FZbEg9etkJ7hd+10CTS1rRjUdo=";

        SimpleAuthenticationInfo info= new SimpleAuthenticationInfo(username,passwordFromDB,getName());
        return info;
    }
}

如果我们不指定 Realm 使用 PasswordMatcher 的实现类的话,默认的匹配方式就是使用字符串是否相同这样的匹配方式,显然不能达到我们的要求。所以我们要在 Realm 中指定 PasswordMatcher 的属性:

# 声明一个 Shiro 已经有的密码匹配的类
passwordMatcher=org.apache.shiro.authc.credential.PasswordMatcher
# 声明自定义的 Realm 类
myPasswordRealm=com.liwei.realm.MyPasswordRealm
# 将 passwordMatcher 注入到自定义的 Realm 类中
myPasswordRealm.credentialsMatcher=$passwordMatcher
# 将自定义的 Realm 注入到 securityManager 中
securityManager.realms=$myPasswordRealm

这样,密文密码匹配的功能就实现了。

实际应用中,我们喜欢自己定义加密的算法,例如 MD5 算法,我们还可以为 MD5 算法指定盐值,让 MD5 加密得到的密文更加安全。

我们首先介绍使用 MD5 算法,通过加盐的方式得到 “123456” 的密文。

String originPassword = "123456";
String salt = "hello";
String md5 = new Md5Hash(originPassword,salt).toString();
System.out.println(md5);

接下来编写自定义 Realm 中的认证实现部分。

public class MyPasswordRealm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        return null;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String username  = authenticationToken.getPrincipal().toString();
        // String password = new String((char[]) authenticationToken.getCredentials());
        // 此时我们应该从数据库中根据 username 查询出对应的密码
        String passwordFromDB = "eeb9bad681184779aa6570e402d6ef6c";
        String salt = "hello";
        SimpleAuthenticationInfo info= new SimpleAuthenticationInfo(username,passwordFromDB,getName());
        // 设置加密算法的盐值,使用 ByteSource 这个工具类
        info.setCredentialsSalt(ByteSource.Util.bytes(salt.getBytes()));
        return info;
    }
}

最后,我们要在 shiro.ini 配置文件中配置密码匹配的类(配置加密算法和盐值):

# 声明一个 Shiro 已经有的密码匹配的类
hashMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher
hashMatcher.hashAlgorithmName=md5
hashMatcher.hashSalted=hello
# 声明自定义的 Realm 类
myPasswordRealm=com.liwei.realm.MyPasswordRealm
# 将 passwordMatcher 注入到自定义的 Realm 类中
myPasswordRealm.credentialsMatcher=$hashMatcher
# 将自定义的 Realm 注入到 securityManager 中
securityManager.realms=$myPasswordRealm

到这里,加密的部分就简单介绍完成了,我们看到,主要还是通过配置的方式,使得我们的认证更加安全和规范。

liweiwei1419
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro安全框架+密码加密
yhl15736773842的博客
07-06 681
shiro安全框架+密码加密
Shiro 加密
m0_67631696的博客
06-06 437
比如我的密码是 123456,你的密码也是,通过 md5 加密之后的字符串一致,所以你也就能知道我的密码了,如果我们把常用的一些密码都做 md5 加密得到一本字典,那么就可以得到相当一部分的人密码,这也就相当于“破解”了一样,所以其实也没有我们想象中的那么“安全”。,就无法通过计算还原回 123456,我们把这个加密的字符串保存在数据库中,等下次用户登录时我们把密码通过同样的算法加密后再从数据库中取出这个字符串进行比较,就能够知道密码是否正确了,这样既保留了密码验证的功能又大大增加了安全性,
权限管理+安全框架shiro+密码加密
最新发布
不惧困难 顽强拼搏
07-05 325
权限管理+安全框架shiro+使用shiro完成认证功能,完成授权功能+密码加密器+密码匹配器使用在shiro
Shiro加密方式-yellowcong
m0_67402731的博客
04-07 1943
Shiro加密验证,是通过自身的方式来进行验证的。有无加密加密的两种验证方式。在密码的生成方面,我们可以通过SimpleHash来生成密码。 源码下载地址 https://gitee.com/yellowcong/shior-dmeo/tree/master/test 1、密码比对方式 Shiro中密码的比对,是由Shiro中的AuthenticatingRealm.getCredentialsMatcher 的方法来进行比对的,我们只需要在AuthorizingRealm的继承类中,复写验证asse.
Shiro加密
Massimo__JAVA的博客
10-04 158
Shiro加密
shiro学习笔记
04-03
这份"Shiro学习笔记"可能包含了以下主题: - Shiro的安装与配置 - Shiro基本概念详解 - Realm的创建与使用 - 登录与登出流程 - 权限控制机制 - 缓存管理和会话管理 - Shiro与Spring的整合 - Shiro的Filter链配置 - ...
shiro学习笔记.rar
10-06
学习笔记主要涵盖了如何在Spring Boot项目中整合Shiro,并实现用户认证和授权,以及图片验证码的实现。 **1. Shiro 概述** Shiro 的核心组件包括 Realm(域)、Subject(当前操作用户)、Session Manager(会话...
shiro学习笔记0.0.0.0
12-21
尽管这份"shiro学习笔记0.0.0.0"可能内容不多,但通过它,你可以对 Shiro 有个初步的认识,为进一步深入学习打下基础。在实际项目中,根据需求选择合适的 Shiro 组件和配置,可以有效地提升应用的安全性。
learning-shiro:Shiro学习笔记
04-27
本项目“learning-shiro”显然是一个关于 Apache Shiro学习资源集合,包含了作者在学习过程中积累的笔记和示例代码。下面将详细探讨 Shiro 的核心概念以及如何使用它来实现应用安全。 1. **认证(Authentication...
shiro之编码/加密
上班搞IT,下班搞ITF。
04-28 2177
shiro之编码/加密
shiro用户加密默认方式_004--Shiro的MD5加密SHA1加密方式
weixin_36295010的博客
01-13 327
2.使用说明在Demo中使用了MD5加密SHA1两种加密方式,在application.xml中可以直接进行配置文件的切换在MD5加密中又分为不加密,MD5加密,加盐的三种操作,注释掉对应的代码既可以使用main方法,模拟真实的数据验证,我们自己设置密码在main方法中进行转码后加到相对应的判断中3.核心操作代码public class SecondRealm extends Authentic...
使用shiro对数据库中的密码进行加密存储(java+springboot+shiro
jakelihua
04-16 1916
shiro加盐,加密,数据库加密存储
Apache Shiro simplecaptcha验证码MySQL实现 JSP RBAC
allway2的博客
09-25 309
MySQL数据库脚本。
shiro实现密码加密
qq_45053091的博客
11-03 2216
1shiro实现MD5加密 @Test public void testMD5() throws Exception{ Md5Hash hash = new Md5Hash("1","admin",3); System.out.println(hash);//f3559efea469bd6de83d27d4284b4a7a } 第一参数为需要加密的数字 第二个参数为加密的第一道程序(加盐) 第三个参数一般为加密的层数 不加层数会很容易简单的利用官网软件进行破解 2.在shiro框架中实现密码加
Java高级技术
12-19
本阶段课程涵盖Java开发流行的自动化构建工具:Maven,版本控制系统:SVN和Git,容器虚拟化技术:Docker,权限模型:RBAC,集成测试:Jenkins,微服务架构:SpringCloud等核心内容。旨在应对各种实际开发情况下的的各种开发场景及业务的需要。
shiro密码加密
input_out的博客
01-18 2920
shiro密码加密 文章目录shiro密码加密1 MD5加密2 MD5盐值加密 1 MD5加密 在配置文件中设置自定义Realm对象的属性开启MD5加密 @Bean public ShiroRealm userRealm(){ ShiroRealm realm = new ShiroRealm(); //设置加密算法为md5 HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
浅谈Shiro框架中的加密算法,以及校验
qq383264679的专栏
07-23 1万+
在涉及到密码存储问题上,应该加密/生成密码摘要存储,而不是存储明文密码。为什么要加密:网络安全问题是一个很大的隐患,用户数据泄露事件层出不穷,比如12306账号泄露。 Shiro提供了base64和16进制字符串编码/解码的API支持,方便一些编码解码操作,想了解自己百度API操作用法。 看一张图,了解Shiro提供的加密算法: 本文重点讲shiro提供的
shiro 密码加密和解密
热门推荐
笨鸟快飞的专栏
08-15 2万+
前言:对于登录的密码信息加密,增加密码破解难度。在密码使用Shiro的hash加密方法和自定义方法加密算法。 步骤 1.告诉shiro密码使用何种加密方法 2.告诉shiro如何验证加密密码是否正确 1.告诉shiro密码使用何种加密方法 通过Credentials 和 CredentialsMatcher告诉shiro什么加密和密码校验 在配置文件
Shiro权限管理详解教程——实践篇
6. **第七章:与Web集成** - 包括Web环境的准备、SHIROFILTER的使用,以及WEB INI配置,展示了如何将Shiro融入Web应用中。 7. **第八章:拦截器机制** - 解释了拦截器的工作原理,包括拦截器链的构建和自定义拦截器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值