shiro框架的密码校验(二)

最新推荐文章于 2023-09-06 16:04:12 发布
最新推荐文章于 2023-09-06 16:04:12 发布
阅读量2.9k 收藏 29
点赞数 15
分类专栏: shiro+spring boot 文章标签: shiro 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26103133/article/details/116796162
版权

其他的的内容在这里
shiro框架简单介绍以及使用(一)
shiro框架的权限设定(三)
shiro框架的密码校验进阶(四)多登陆方式实现思路
上一篇简单介绍了一下shiro框架和账号验证,这篇简单写一下shiro密码校验的介绍和几种使用方式

一、加密/加盐介绍

  • 什么是加密?什么是加盐?

    1.加密:加密是以某种特殊的算法改变原有的信息数据,这样的话即使你拿到了密文,但因为你不知道加密方式也没办法知道密文的内容。比如说电报,你监听到了发的电报,但是你不知道用的是那个密码本,一样无法知道电报内容是什么。
    2.加盐:加盐是指将每口令同一个叫做”盐“值相关联,我们这里用于密码加盐,盐值一般都是随机数。

  • 为什么要加密加盐?
    1.加密的作用我上面已经说了即使你拿到了密文,但因为你不知道加密方式也没办法知道密文的内容。
    2.加盐的话是为了让相同的密码值不同,例如说你使用的md5加密方式,只要你的密码是相同的,那么你加密后的数据也是相同的,这样如果密码密文泄露,只需要找到相应的加密方式就能还原明文密码,如果我们使用加盐加密,盐值为随机数,这样即使密码相同密文也会不同,加大安全性

二、实现加密的方式

2.1shiro提供的密码校验接口

Shiro 提供了 PasswordService 接口及 CredentialsMatcher 接口 用于密码的校验服务

CredentialsMatcher接口用于验证密码

在这里插入图片描述

boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info);

这个方法的token就是从前台过来的token,你在登录页面输入的明文账号密码

info的值是从重写AuthorizingRealm的doGetAuthenticationInfo(AuthenticationToken token)的返回值
也就是我上一篇写的AuthRealm中的doGetAuthenticationInfo方法的返回值

return new SimpleAuthenticationInfo(upToken.getUsername(), upToken.getPassword(), “ShiroReaml”);

通过重写CredentialsMatcher接口的doCredentialsMatch()方法然后将两个参数的值进行比对就可以做密码校验了

/***
     * @Description: 这块是登录验证配置
     * @Param: [token]
     * @return: org.apache.shiro.authc.AuthenticationInfo
     * @Author: lizelin
     * @Date: 2021/5/13 0013 1:25
    */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //AuthenticationToken转成UsernamePasswordToken这样可以直接拿到用户名和密码
        UsernamePasswordToken upToken = (UsernamePasswordToken) token;
        String username = upToken.getUsername();
        //判断用户名是否为aaa否则抛出异常完事密码错误
        if(!username.equals("aaa")){
            throw new UnknownAccountException("用户错误");
        }
        return new SimpleAuthenticationInfo(upToken.getUsername(), upToken.getPassword(), "ShiroReaml");

PasswordService 用于加密密码
在这里插入图片描述
encryptPassword()方法为输入明文密码获得加密密文
passwordsMatch()方法为输入明文密码和输入加密密文进行比对

2.2shiro提供的密码校验实现

CredentialsMatcher提供的实现类:
  1. SimpleCredentialsMatcher
  2. HashedCredentialsMatcher
  3. PasswordMatcher

这三个实现类中HashedCredentialsMatcher为SimpleCredentialsMatcher的实现类。
但是SimpleCredentialsMatcher为明文密码校验,所以我们不做考虑。
后面主要讲HashedCredentialsMatcher与PasswordMatcher。
相对于PasswordMatcher来说HashedCredentialsMatcher的功能更加强大

三、shiro通过HashedCredentialsMatcher来实现密码校验

那么理论讲的差不多了,我们直接开始撸代码,没有代码的话去看我的上一篇文章,拿里面的代码进行修改

3.1将HashedCredentialsMatcher注入到securityManager中

我们需要将HashedCredentialsMatcher注入到AuthorizingRealm中才能使用 
    //将自己的验证方式加入容器
    @Bean
    public Realm AuthRealm() {
        AuthRealm authRealm = new AuthRealm();
        HashedCredentialsMatcher credentials= new HashedCredentialsMatcher();
        credentials.setHashIterations(3);//加密次数
        credentials.setHashAlgorithmName("MD5");//加密方式
        authRealm.setCredentialsMatcher(credentials);//注入到AuthRealm实现类中
        return authRealm;
    }

将Shiro中的AuthRealm()方法修改注入HashedCredentialsMatcher实现类

3.2获得加密密文

这个因为我没连数据库,就模拟数据了,连接数据库也不难嗷,我把值都给你拿到,你放数据库就完事了
到时候用户注册或者是修改密码的时候,将明文密码放进来,获得密文与盐放入数据库 
/***
 * @Description: 获得密文
 * @Param: 
 * @return: 
 * @Author: lizelin
 * @Date: 2021/5/14 0014 17:58
*/
@Component
public class CheckUtil{
    
    public String encryption(HashedCredentialsMatcher Hashed, char[] passWord){
        System.out.println("开始");
        String random = new SecureRandomNumberGenerator().nextBytes().toHex();//获得随机数盐值
        System.out.println(random);//打印盐值
        ByteSource salt=ByteSource.Util.bytes(random);//将盐值转为ByteSource类型
        System.out.println();
        //获得加密后的密码
        //SimpleHash hash = new SimpleHash("HashedCredentialsMatcher配置的加密方式","明文密码" , "盐值", "加密次数");
        SimpleHash hash = new SimpleHash(Hashed.getHashAlgorithmName(), passWord, salt, Hashed.getHashIterations());
        String encodedPassword = hash.toHex();
        //打印加密后的密文
        System.out.println(encodedPassword);
        return "";
    }

}

3.3跑起来获得盐和密文

首先打开我们的postman,然后访问

username为:aaa
password为:ccc

在这里插入图片描述
获得了盐值:6186808fa1ad5ba0ef39a88c97e900df
和加密密文:90a1626d55503a2c2e7eb345a4f3a607
然后我们去修改doCredentialsMatch()方法进行测试

3.4将盐值注入HashedCredentialsMatcher进行模拟测试

@Autowired
    CheckUtil check;
    /***
     * @Description: 这块是登录验证配置
     * @Param: [token]
     * @return: org.apache.shiro.authc.AuthenticationInfo
     * @Author: lizelin
     * @Date: 2021/5/13 0013 1:25
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        //AuthenticationToken转成UsernamePasswordToken这样可以直接拿到用户名和密码
        UsernamePasswordToken upToken = (UsernamePasswordToken) token;
        String username = upToken.getUsername();
        //判断用户名是否为aaa否则抛出异常完事密码错误
        if(!username.equals("aaa")){
            throw new UnknownAccountException("用户错误");
        }
        //这个3.3的测试写的,刚刚忘记写了
        check.encryption((HashedCredentialsMatcher)getCredentialsMatcher(),upToken.getPassword());
        //把盐放进来
        ByteSource salt=ByteSource.Util.bytes("6186808fa1ad5ba0ef39a88c97e900df");
        return new SimpleAuthenticationInfo(upToken.getUsername(), "90a1626d55503a2c2e7eb345a4f3a607", salt,getName());
        //new SimpleAuthenticationInfo(登录的用户名,数据库查的加密密码,盐值, Realm名可以直接写getName()随便叫啥没所谓)
    }

3.5测试密码加密以及校验是否正确

在这里插入图片描述
密码为ccc时登录成功,测试没毛病

在这里插入图片描述
密码为bbb时登录失败用户或密码不正确,测试没毛病

阿沐沐,
关注
专栏目录
Shiro密码校验
weixin_45703665的博客
08-13 358
Shiro密码校验 import com.allianity.common.utils.Constant; import com.allianity.modules.sys.dao.SysMenuDao; import com.allianity.modules.sys.dao.SysUserDao; import com.allianity.modules.sys.entity.SysMenuEntity; import com.allianity.modules.sys.entity.SysUserEn
使用shiro框架的项目增加忘记密码功能遇到的一些问题
qq_40668646的博客
11-06 527
开发忘记密码功能遇到的问题 后端验证功能用的是shiro框架,当前端发送AJax请求到后端,如果在application.yml文件中配置
shiro验证用户名密码的内部流程
最新发布
qq_27361945的博客
09-06 1100
1、com.atguigu.shiro.controller.MyController#userLogin(java.lang.String, java.lang.String, boolean, javax.servlet.http.HttpSession),携带参数token。6、org.apache.shiro.authc.pam.ModularRealmAuthenticator#doAuthenticate,传给下一级的参数有2个,分别是Realm对象和authenticationToken。
Shrio框架实现自定义密码校验规则
05-15 1044
java,springboot,shiro实现自定义用户认证
shiro简单的密码加盐与登录验证
wogoshu1的博客
07-27 2556
一、pom.xml配置 首先导入依赖,从guns项目的pom.xml中拽出并把版本号替换成1.3.2 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.3.2</versi...
shiro 密码如何验证
dllnw04060的专栏
12-21 280
Authentication:身份认证/登录,验证用户是不是拥有相应的身份。 Authorization:授权,即权限验证验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情。 这里我们主要分析Authentication过程 一般在登陆方法中我们会这么写: Subject subject =SecurityUtils.getSubject(); Usern...
shiro登录拦截校验demo
07-19
"shiro登录拦截校验demo"是一个实际应用Shiro框架进行登录验证和权限拦截的示例项目。 在该demo中,我们可以学习到以下几个核心知识点: 1. **Shiro的基本概念**: - **身份验证(Authentication)**:确认用户...
springMVC整合shiro框架
02-12
- 登录验证:如用户登录时的账号密码校验。 - 权限控制:控制用户对不同页面和资源的访问权限。 - 安全会话管理:跟踪用户的会话状态,防止会话劫持或会话固定攻击。 综上所述,SpringMVC 和 Shiro 的整合提供了...
公司培训的shiro框架 可以下载看一下
12-01
Apache Shiro是一个强大的Java安全框架,它提供了身份验证、授权(权限控制)、会话管理和加密服务等功能,使得在开发过程中可以轻松地实现安全控制。...记得动手实践,理论结合实际,才能更好地掌握Shiro框架
shiro框架的基础学习
02-02
1. **身份认证**:Shiro 提供了一套完整的认证流程,包括用户登录、密码加密和校验。开发者可以自定义 Realm(域)来对接后端数据源,如数据库或 LDAP 服务器,获取用户信息并验证凭证。Shiro 提供了 Remember Me ...
shiro登陆身份认证和权限管理 密码加密
01-23
shiro登陆,shiro登陆身份认证和权限管理 密码加密。自己写的demo。实用。希望大家多多支持。谢谢大家
Shiro缓存的使用、密码加密、Kaptcha验证
Hansiyu111111的博客
07-31 710
一.缓存的使用 在shiro使用缓存有三种方式:自定义的缓存(如redis),EhCacheManager,MemoryConstrainedCacheManager 自定义缓存需要自己编写类去实现CacheManager和Cache接口,后shiro则已经实现 它们需要在配置文件里添加对应的bean,在然后在securityManager注册即可使用 1 /...
ShiroShiro登录验证失败问题
哈哈哈哈哈哈哈
07-02 6218
shiro登录验证一直失败: 原因: 在用户注册时,采用如下加密方法: /** * md5加密工具 * @param var * 要加密的字符串 * @param iterations * 加密次数 * @return */ public static String encrypt(String var,int iterations){ return new Sim...
Shiro认证-身份认证加密
oyang的博客
08-26 1232
在面对这个网络世界的时候,密码安全总是各个公司和用户都非常关心的一个内容,毕竟现在大家不管是休闲娱乐还是学习购物都是通过网上的帐号来进行消费的,所以我们通常会给用户的密码进行加密。在加密的时候,经常会听到“加盐”这个词,这是什么意思呢?加盐加密是一种对系统登录口令的加密方式,它实现的方式是将每一个口令同一个叫做”盐“(salt)的n位随机数相关联。无论何时只要口令改变,随机数就改变。随机数以未加密的方式存放在口令文件中,这样每个人都可以读。...
shiro自定义密码验证
koproblem的专栏
04-11 570
首先建立一个自定义的验证类 package com.wsmail.shiroController; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.UsernamePass
shiro的加密和认证
weixin_45750514的博客
10-12 337
package com.xiexin.shiroTest; import org.apache.shiro.crypto.hash.Md5Hash; import org.junit.jupiter.api.Test; /* shiro 的加密和认证测试 */ public class MyShiro { //shiro有对明文密码123456的加密功能 让web密码安全 //md5加密 简单但不可逆 但是可以根据加密后的密码进行反推 //如果想要更加安全 就需要加盐sal.
Shiro 权限校验(一)
qq1371189713的博客
11-04 379
前言 最近因为工作需要,集中精力在研究第三方shiro鉴权框架的使用技巧,既然说到了shiro是用来做权限校验功能的,那么shiro的核心在哪呢,它由哪几块组成的,每一块的作用是什么?它与其它鉴权框架相比有什么优势? 带着这些问题,我便对shiro展开了猛烈攻击。 shiro简介 Apache ShiroJava的一个安全框架,因为对比Spring Sercurity相对简单,所...
Shiro登录校验
chunyouhai5703的博客
11-08 349
shiro是一种权限认证框架,实现一个简单的登录鉴权: 1、控制器层: @Controller @RequestMapping("/blogger") public class BloggerController { @Resource priva...
Shiro加密
amoscxy的博客
09-18 433
文章目录Shiro加密 Shiro加密
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值