【SaaS - Export项目】23 - Shiro加密实现登录注销,MD5加密算法,加盐加密,shiro凭证匹配器,实现增加用户密码密文存储数据库,登录时通过加盐加密对密文进行比较

最新推荐文章于 2021-10-05 18:14:59 发布
最新推荐文章于 2021-10-05 18:14:59 发布
阅读量1.9w 收藏 13
点赞数 21
分类专栏: SaaS-Export项目 文章标签: java shiro 加盐加密 md5加密 shiro凭证匹配器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40542534/article/details/109587390
版权

文章目录

Shiro凭证匹配器(密码匹配器)

1. 普通加密

加密:将明文加密成密文保存,常见的用户密码保存在数据库中是需要加密码保存的(防止出现密码泄露造成用户的损失)。
在实际项目中,密码基本上都是密文保存的(加密后保存)

常见加密算法:
MD5,SHA-512,SHA-256等等(或者叠加使用md5(SHA512))

常见加密解密算法地址:
http://www.ttmd5.com/list.php
在这里插入图片描述

Shiro普通加密(md5)实现

实现步骤:
1)对数据库密码进行md5加密
使用mysql的md5函数对密码进行加密,然后直接修改数据库的用户密码测试登录。
2) 在applicationContext-shiro.xml,添加加密认证配置

1.1 编写MD5加密工具类MD5Utils
/**MD5加密工具类
 * 进行数据加密
 * 本项目只用于测试,用shiro自带的hash.Md5Hash算法加密
 */
public class MD5Utils {
    //参1 传入的明文
    public static String stringToMD5(String plainText) {
        byte[] secretBytes = null;
        try {
            //对明文的字节进行摘要加密
            secretBytes = MessageDigest.getInstance("md5").digest(plainText.getBytes());
        } catch (NoSuchAlgorithmException e) {
            throw new RuntimeException("没有找到MD5算法");
        }

        //radix参数 16位或者32位(加密之后的位数)
        String md5code = new BigInteger(1, secretBytes).toString(16);

        //补0操作,一个字节转两位的16进制
        for (int i = 0; i < 32 - md5code.length(); i++) {
            md5code = "0" + md5code;
        }
        return md5code;
    }
}
1.2 测试MD5算法
/**
 * 测试MD5加密工具类
 * 测试shiro自带的hash.Md5Hash加密
 */
public class MD5UtilsTest {

    //测试MD5工具类加密
    @Test
    public void stringToMD5() {
        //对123456进行MD5加密
        String result = MD5Utils.stringToMD5("123456");
        //md5(123456)= e10adc3949ba59abbe56e057f20f883e
        System.out.println(result);
    }

    //测试shiro自带的hash.Md5Hash算法加密,(shiro也集成常用的加密的算法md5,sha-1)
    @Test
    public void test02() {
        // 对123456加密
        Md5Hash md5Hash = new Md5Hash("123456");
        System.out.println(md5Hash.toString()); //e10adc3949ba59abbe56e057f20f883e
    }
}
1.3 在applicationContext-shiro.xml添加凭证匹配器(使用默认匹配器)
    <!-- 配置一个密码的匹配器 -->
    <!--  123456 是用户提交过来的密码明文, 密码的匹配器,得到密文,与数据库的密码 -->
    <!--创建凭证匹配器-->
    <bean id="credentialsMatcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
        <!--指定加密算法-->
        <property name="hashAlgorithmName" value="md5"/>
    </bean>
    <!-- 3.创建Realm(类似dao),在AuthRealm类上就不需要加@Component注解了 -->
    <bean id="authRealm" class="com.xgf.web.shiro.AuthRealm">
        <!-- 使用自定义匹配器(密码) -->
        <property name="credentialsMatcher" ref="credentialsMatcher"/>
    </bean>

2. 加盐加密

1)为什么要加盐(加盐实现加密的意义)

如果只是单纯使用md5或sha1进行加密,容易被人利用"彩虹表"撞库来破解密码,导致密码不安全!这时可以进行加盐加密来解决。
破解方法:将很多的字符串进行调用加密算法,生成对应的很多的密文,然后根据密文倒过来查表(这个表非常的大比如100G,时间虽然久一点,但是能够破解),得出明文(撞库更具密文查找明文)。

2)如何加盐加密

添加一个特殊字符串,别人推导明文的时候,还需要去推导那个特殊的字符串,增加推导任务,造成算率不够导致推导不出来等。

3)shiro加盐加密步骤

1、编写代码对密码加盐加密
2、编写自定义凭证匹配器
3、在applicationContext-shiro.xml,添加自定义凭证匹配器

2.1 测试加盐加密(添加一个特殊的字符串)

MD5UtilsTest

//测试加盐加密(添加一个特殊字符串)
    @Test
    public void test03() {
        //参1:传入明文  参2:加盐(特殊字符串)
        Md5Hash md5Hash = new Md5Hash("123456","strive_day@163.com");
        System.out.println(md5Hash.toString());//2f660a3a69e023b9033c83ef3d418c9b
    }
    
    //测试加另一个盐(另一个字符串)
    @Test
    public void test04() {
        Md5Hash md5Hash = new Md5Hash("123456","study@export.com");//参1 传入明文  参2盐
        System.out.println(md5Hash.toString());//4154661a85ae8bafac91433e7003f4a2和上面的密文不一样,因为特殊字符串盐不一样
    }
2.2 配置自定义的密码匹配器

CustomCredentialsMatcher

/**创建自己的密码匹配器 - 通过加盐加密对用户输入的明文进行加密然后和数据库中存储的密文比较
 * 必须指定父类SimpleCredentialsMatcher
 */
public class CustomCredentialsMatcher extends SimpleCredentialsMatcher {
    private Logger l = LoggerFactory.getLogger(this.getClass());

    //将密码加密成密文,但需要使用账号(这里账号是邮箱)作盐
    //subject.login(token) 获取页面提交的密码 (比如123456)  通过加盐加密转为 -> 密文1
    //info  调relam 查询数据库中的密码(数据库中的密码存储就是加密存储的) -> 密文2
    //通过比较密文1(用户输入的值)和密文2(数据库中的值),来判断用户输入是否正确
    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        //token获取账号密码
        UsernamePasswordToken t = (UsernamePasswordToken) token;
        String email = t.getUsername(); //获取用户名(邮箱)
        //密码是char[] '1','2','3'  => "123"  new String(char[])
        String pwd1 = new String(t.getPassword());  //密码获取的是字符数组,转换为字符串
        l.info("doCredentialsMatch 用户输入的密码明文pwd1 = "+pwd1);
        //进行加盐加密,得到用户输入的密码明文加密后的密文
        Md5Hash md5Hash = new Md5Hash(pwd1, email);//参1 传入明文  参2盐
        pwd1 = md5Hash.toString();  //转换为字符串
        l.info("doCredentialsMatch 用户输入的密码加盐加密后pwd1 "+pwd1);

        //读取数据库的密码,数据库存储的就是密文
        String pwd2 = (String) info.getCredentials();
        l.info("doCredentialsMatch 数据库的密码密文pwd2 = "+pwd2);
        if (pwd1.equals(pwd2)) {
            return true;//密码正确(两个密文比较)
        } else {
            return false;//密码不正确
        }

    }
}
2.3 在applicationContext-shiro.xml添加自定义的凭证匹配器(自定义密码匹配)
    <!--使用自己定义的匹配器-->
    <bean id="credentialsMatcher2" class="com.xgf.web.utils.CustomCredentialsMatcher"></bean>

    <!-- 3.创建Realm(类似dao),在AuthRealm类上就不需要加@Component注解了 -->
    <bean id="authRealm" class="com.xgf.web.shiro.AuthRealm">
        <!-- 使用自定义匹配器(密码) -->
        <property name="credentialsMatcher" ref="credentialsMatcher2"/>
    </bean>
2.4 修改业务,当添加一个用户的时候进行密码加盐加密保存

UserServiceImpl

    @Override
    public void saveUser(User user) {
        String uuid= UUID.randomUUID().toString();
        user.setUserId(uuid);
        //原来保存用户使用的密码是明文,现在需要对它进行加密
        if(user.getPassword()!=null){//不能对空字符串进行加密
            //使用shiro自带的加密Md5Hash
            //参1:密码明文  参2:盐(按照邮箱设置盐)
            Md5Hash md5Hash = new Md5Hash(user.getPassword(),user.getEmail());
            user.setPassword(md5Hash.toString());
        }
        l.info("save user = " + user);
        iUserDao.save(user);
    }
2.5 shiro退出登录

UserController

    //使用shiro退出登录(不再使用前面的普通登录退出了)
    @RequestMapping(path = "/loginOut-shiro", method = {RequestMethod.GET, RequestMethod.POST})
    public String loginOutShiro(){
        //删除session中的用户信息
        Subject subject = SecurityUtils.getSubject();
        //shiro退出登录
        subject.logout();
        l.info("loginOut-shiro注销用户");
        return "redirect:/login-shiro.jsp";
    }

header.jsp的注销方式改为shiro注销

<%-- 非加密方式注销 --%>
<%--<a href="${path}/system/user/loginOut" class="btn btn-default btn-flat">注销</a>--%>
<%--使用shiro退出 subject.logout(); --%>
<a href="${path}/system/user/loginOut-shiro" class="btn btn-default btn-flat">注销</a>
2.5 测试登录,登录成功(数据库密码已经加盐加密)

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

strive_day
关注
专栏目录
[Shiro]多Realm,指定登录Realm
Yihy的博客
06-06 6033
[Shiro]多Realm,指定登录Realm 之前写过多Realm登录前后台区分问题,实现了当的需求,可是再下一步的候,角色与权限校验会失效。为了满足当项目需求,又拓展了鉴权源,以及若干功能类。在本人看来,这种方式很Low,玷污了Shiro。 现在有一个较好的方式去实现前后台的认证与鉴权。通过自定义Token类来达到鉴别目的。 Token的介绍Shiro使用Token作为认证的
Shiro-MD5加密
qq_41995896的博客
11-10 868
使用shiroMD5Hash对密码进行加盐加密及验证 步骤1、在添加用户候,将密码加密之后再保存 这里是使用的shiro框架中自带的MD5hash加密算法 //保存用户 @Override public void saveUser(User user) { String uuid= UUID.randomUUID().toString(); user.setUserId(uuid); //将用户密码进行加盐加密 if
菜鸟学习shiro实现自定义的Realm,从而实现登录验证,身份验证和权限验证4
保持愤怒
07-28 806
讲了那么多使用的内置的类从而实现四郎,现在讲自定义的境界 首先行家的依赖依然是第一篇的那个依赖 下边是自定义的境界: import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.Au...
shiro加密realm登录登出
这天有点热的博客
05-06 256
shiro加密操作 散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据,常见的散列算法人MD5、SHA等。一般进行散列算法最好提供一个,比如加密密码(admin),产生的散列值是“21232f9757a837dasddadw”,可以到一些MD5 解密网站很容易的通过散列值得到“admin”,即如果直接对密码进行散列相对来说破解更容易,此我们可以加一些干扰...
springboot+shiro+md5 用户密码加密登录
鲸鱼姐的专栏
10-27 3039
一.对密码进行 md5 加密 String md5Password = DigestUtils.md5DigestAsHex(user.getPassword().getBytes()); 就这么简单!!!! 二.springboot+shiro请参照springboot 与shiro整合——(二)mybatis用户登录认证 三.在以上基础上增加md5加密,修改代码如下 1.引入依...
shiro加密realm登录登出
qq_44971387的博客
04-06 240
第一步MD5加密 public class MD5Test { @Test public void test01(){ String password ="666";//密码 明文 //加密md5 Md5Hash md5Hash = new Md5Hash(password); System.out.print...
shiro mysql 密码加密_Apach Shiro MD5密码加密过程(明文生成密码过程)详细解析
weixin_31256083的博客
01-31 339
前言:最近再项目当中使用的ApachShiro安全框架,对于权限和服务资源的保护都有一个很好的管理。前期主要参考的文章有项目中设计密码加盐处理以及二次加密问题,跟着断点 一步步揭开Apach Shiro 的神秘面纱数据库:这里我们就用最简单的admin + 123456(加密前的密码) 来做测试ShiroConfig 配置/*** 凭证匹配 告诉*@return*/@BeanpublicH...
SpringBoot 整合 Shiro MD5加密,thymeleaf页面展示
norang的博客
10-05 433
这里写目录标题ShiroConfig Shiro配置类UserRealm 类Controller MyController 类mapper UserMapperpojo User 类service UserService 接口service UserServiceImpl 实现类UserMapper 的XML 映射文件index.html 页面login.html 页面add.html 页面update.html 页面application.properties 配置文件applicatio
源码分析Apache Shiro 加密登录验证
Kenny的博客
07-21 1652
前言 最近项目中用到Shiro安全框架,做加密验证的候遇到一些问题,网上的多数Shiro的环境搭建只是简单的明文密码匹配,甚至有些文章的注释也不尽正确。在这里通过源码解析来还原真相。 大纲 使用Shiro提供的类进行密码加密 验证用户输入的账号密码的流程 使用Shiro提供的类进行密码加密 Shiro提供了org.apache.shiro.crypto.hash.SimpleH...
Shiro加密
zhouym_的博客
07-28 629
数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为"密文",使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密,即将该编码信息转化为其原来数据的过程。 ...
shiro 加密登陆登出
theONLY的博客
07-05 141
文章目录1. md5 Hash 加密算法介绍2. 首先了解一下md5加密3. shiro 加密登陆登出 1. md5 Hash 加密算法介绍 md5使用的是对称加密算法 通过一套算法将一个字符串以一定的规则打乱,对比的候也同样将提供的字符串打乱对比,相同的算法当然得到相同的结果。 2. 首先了解一下md5加密 package top.theonly.shiro; import org.apache.shiro.crypto.hash.Md5Hash; import org.junit.Test;
Shiro自定义Realm密码加密步骤(三)
qq_37431224的博客
01-10 576
先看(Shiro自带的Md5加密方法)MD5加密的例子 public static void main(String[] args) { String password ="666"; Md5Hash md5Hash =new Md5Hash(password); System.out.println(md5Hash); ...
shiro学习--2、使用域(Realm)实现登录验证
逸致
04-15 905
一、对Realm的认识Realm:域,掌握着shiro的验证,一般在Realm中对所要验证的数据进行对比,确认是否符合条件,例如确认用户身份是否合法,验证用户是否能进行操作。可以把Realm看做是shiro的DataSource,即安全数据源。二、...
shiro web 登录加密功能
flxjean的博客
05-29 291
添加 Realm log.info("authenticationToken:"+authenticationToken); UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken; String loginName = token.getUsername(); User user = new User(loginName,null); //根据用
realm登录认证
zhengchunyuaner的博客
12-07 504
CrmRealm @Component public class CrmRealm extends AuthorizingRealm { @Autowired private EmployeeMapper employeeMapper; @Autowired private RoleMapper roleMapper; @Autowired private PermissionMapper permissionMapper; @Autowired
shiro学习记录(二)
m0_43584016的博客
01-16 305
1 登录用户对象,封装成一个token对象 2 根据SecurityUtils获得一个subject对象,再调用subject的login(token)方法进行登录,如果正常登陆(执行subject.login(token)成功,就能在全局通过SecurityUtils.getSubject().getPrincipal()获取用户信息。 3 MD5加密: String password=&amp;quot;12...
Shiro登录身份认证(从SecurityUtils.getSubject().login(token))到Realm的doGetAuthenticationInfo
热门推荐
╃緣分天空╃
06-23 4万+
ssm框架下,controller接收到登录请求交给Service并开始处理流程:1.Service的login方法:@Service public class SysUserServiceImpl implements SysUserService { @Autowired SysUserMapper mapper; @Override public Login...
Shrio02 Realm作用、自定义简洁Realm、Realm实现类使用
weixin_30662539的博客
01-20 174
1 Realm简介 1.1 Realm作用 shiro最终是通过Realm获取安全数据的(如用户、角色、权限),也就是说认证或者授权都会通过Realm进行数据操作 1.2 Realm接口 1.2.1 源代码 1.2.2 方法说明》getName:返回一个唯一的 Realm 名字》supports:判断此 Realm 是否支持此 Token》getAuthenticationInfo:...
Shiro学习(二)--自定义reaml
qq_40616823的博客
12-25 316
一、前言 上一篇中,我们直接去shiro.ini中去查找对应的账号和密码,直接将这些固定写死的数据加载到SecurityManager中。这种方式不灵活,正常的逻辑应该允许我们去数据库中查找某个用户是否存在。再获取用户信息,做密码校验。我们可以通过自定义的Realm方式,完成这种功能。 二、 自定义Realm的步骤 2.1. 写一个类MyRealm继承 AuthorizingReaml并重写以下三个方法 getName() 用于获取自定义reaml的名字 doGetAuthorizationInfo(P
Shiro教程:编码、加密与散列算法在安全存储中的应用
编码和加密是信息安全的基础,Shiro 提供了便捷的工具来实现这些功能,同密码存储中推荐使用散列算法结合值,以提高系统的安全性。在实际应用中,理解并正确使用这些技术对于保障用户数据安全至关重要。
评论 20
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值