Shiro中的MD5和盐

已于 2022-03-11 09:56:05 修改
阅读量388 收藏
点赞数
分类专栏: Shiro 文章标签: java shiro spring boot
于 2021-08-09 18:28:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40675243/article/details/119544149
版权

Shiro的MD5和Salt

1. 原理

用户注册时

  • 生成一段随机字符串,一般使用UUID,生成的字符串即所谓的salt
  • 将用户输入的密码+salt,整体进行加密,
  • 将加密后的数据存储到数据库,
  • salt也应该存储到数据库中。

用户登录时

  • 将用户输入的密码+salt,整体进行加密
  • 与数据库中存储的数据进行比对
  • 相同则为密码正确,不同则为密码错误

2. md5哈希散列

/**
 * @Author: Hjx
 * @Date: 2021/8/9 17:24
 */
public class TestShiroMd5 {
    public static void main(String[] args) {
        // 参数1:字符串的值,即需要加密的字符串
        Md5Hash md5Hash = new Md5Hash("123");
        System.out.println(md5Hash.toHex());
        // 参数2:salt
        Md5Hash md5Hash1 = new Md5Hash("123", "hjx");
        System.out.println(md5Hash1);
        // 参数3:散列值,即散列多少次
        Md5Hash md5Hash2 = new Md5Hash("123", "hjx", 1024);
        System.out.println(md5Hash2);
    }
}

3. shiro添加md5

shiro中凭证信息的查验是在AuthenticatingRealm类中的assertCredentialsMatch函数实现的

public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

    AuthenticationInfo info = getCachedAuthenticationInfo(token);
    if (info == null) {
        //otherwise not cached, perform the lookup:
        info = doGetAuthenticationInfo(token);
        log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);
        if (token != null && info != null) {
            cacheAuthenticationInfoIfPossible(token, info);
        }
    } else {
        log.debug("Using cached authentication info [{}] to perform credentials matching.", info);
    }

    if (info != null) {
        // 在这里进行凭证信息的验证
        assertCredentialsMatch(token, info);
    } else {
        log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}].  Returning null.", token);
    }

    return info;
}

protected void assertCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) throws AuthenticationException {
    // 获取凭证适配器
    CredentialsMatcher cm = getCredentialsMatcher();
    if (cm != null) {
        // 默认的进行 字符串的匹配 equals 比较
        if (!cm.doCredentialsMatch(token, info)) {
            //not successful - throw an exception to indicate this:
            String msg = "Submitted credentials for token [" + token + "] did not match the expected credentials.";
            throw new IncorrectCredentialsException(msg);
        }
    } else {
        throw new AuthenticationException("A CredentialsMatcher must be configured in order to verify " +
                "credentials during authentication.  If you do not wish for credentials to be examined, you " +
                "can configure an " + AllowAllCredentialsMatcher.class.getName() + " instance.");
    }
}

所以,如果我们要使用md5加密,可以修改 凭证适配器的类型

在这里插入图片描述

Test测试类

public class TestMd5Authenticator {
    public static void main(String[] args) {
        // 创建SecurityManager安全管理器
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();

        // 给SecurityManager设置自定义Realm
        CustomerMd5Realm customerMd5Realm = new CustomerMd5Realm();

        // 设置md5 凭证适配器
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        hashedCredentialsMatcher.setHashAlgorithmName("md5");
        customerMd5Realm.setCredentialsMatcher(hashedCredentialsMatcher);

        defaultSecurityManager.setRealm(customerMd5Realm);
        // 给安全工具类SecurityUtils 设置 SecurityManager
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        // 通过安全工具类SecurityUtils获取 主体subject
        Subject subject = SecurityUtils.getSubject();
        // 创建Token,模拟接收前端用户输入的用户名和密码
        UsernamePasswordToken token = new UsernamePasswordToken("hjx", "123");
        try {
            System.out.println("认证状态 : "+subject.isAuthenticated());
            subject.login(token);
            System.out.println("认证状态 : "+subject.isAuthenticated());
        }catch (UnknownAccountException e){
            e.printStackTrace();
            System.out.println("用户名错误");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("密码错误");
        }catch (Exception e){
            e.printStackTrace();
        }
    }
}

自定义的Realm

/**
 * @Author: Hjx
 * @Date: 2021/8/9 18:03
 */
public class CustomerMd5Realm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }

    
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 从 token 中获取用户输入的身份凭证
        String userName = (String) token.getPrincipal();
        // 模拟从数据库查询出的用户名和密码
        String name = "hjx";
        String pass = "3edd36faca731a93a8a00be8490d2276";

        if (name.equals(userName)){
            /*
                SimpleAuthenticationInfo 是 AuthenticationInfo 的实现类
                参数1:用户名
                参数2:md5加密后的密码
                参数3:自定义realm的名称
             */
            return new SimpleAuthenticationInfo(name, pass, this.getName());
        }
        return null;
    }
}

4. 加盐

修改自定义Realm

/**
 * @Author: Hjx
 * @Date: 2021/8/9 18:03
 */
public class CustomerMd5Realm extends AuthorizingRealm {
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        return null;
    }


    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        // 从 token 中获取用户输入的身份凭证
        String userName = (String) token.getPrincipal();
        // 模拟从数据库查询出的用户名和密码
        String name = "hjx";
        String pass = "3edd36faca731a93a8a00be8490d2276";
        String credentialsSalt = "hjx";

        if (name.equals(userName)){
            /*
                SimpleAuthenticationInfo 是 AuthenticationInfo 的实现类
                参数1:用户名
                参数2:md5加密后的密码
                参数3:盐值,类型为ByteSource,需要进行格式转换
                参数4:自定义realm的名称
             */
            return new SimpleAuthenticationInfo(name, pass, ByteSource.Util.bytes(credentialsSalt), this.getName());
        }
        return null;
    }
}

5. 添加散列次数

修改Test测试类

/**
 * @Author: Hjx
 * @Date: 2021/8/9 17:57
 */
public class TestMd5Authenticator {
    public static void main(String[] args) {
        // 创建SecurityManager安全管理器
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();

        // 给SecurityManager设置自定义Realm
        CustomerMd5Realm customerMd5Realm = new CustomerMd5Realm();

        // 设置md5 凭证适配器
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        // 设置加密方式
        hashedCredentialsMatcher.setHashAlgorithmName("md5");
        // 设置散列次数
        hashedCredentialsMatcher.setHashIterations(1024);
        customerMd5Realm.setCredentialsMatcher(hashedCredentialsMatcher);

        defaultSecurityManager.setRealm(customerMd5Realm);
        // 给安全工具类SecurityUtils 设置 SecurityManager
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        // 通过安全工具类SecurityUtils获取 主体subject
        Subject subject = SecurityUtils.getSubject();
        // 创建Token,模拟接收前端用户输入的用户名和密码
        UsernamePasswordToken token = new UsernamePasswordToken("hjx", "123");
        try {
            System.out.println("认证状态 : "+subject.isAuthenticated());
            subject.login(token);
            System.out.println("认证状态 : "+subject.isAuthenticated());
        }catch (UnknownAccountException e){
            e.printStackTrace();
            System.out.println("用户名错误");
        }catch (IncorrectCredentialsException e){
            e.printStackTrace();
            System.out.println("密码错误");
        }catch (Exception e){
            e.printStackTrace();
        }
    }
}

代码及资料地址:hjx: 知道的越多,越发觉自己的无知 (gitee.com)
视频学习参考:【编程不良人】2020最新版Shiro教程,整合SpringBoot项目实战教程_哔哩哔哩_bilibili

萝卜7
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro身份认证&&md5加密
qq_63492318的博客
08-26 897
我们可以看到,数据库密码的发展史让着我们的密码越来越安全,这也极大的保障了用户数据的安全性,就算数据泄露也让别人无处下手。在MyRealm添加userBiz属性的get、set方法,通过配置的方式才可以进行使用。改变原来的md5加密过的密码,相当于再次加密;加次数就是给这串密码一步步的进行多次加加密,极大的提高了密码的安全性;2、利用 999 原始密码 + 生成的随机的 得到加密后的密码;演示完成,后面我们就可以利用加加密来实现用户的注册功能了。的分享就到这里啦,喜欢的可以持续关注噢,下次再见啦!.
springboot+shiro+md5
07-23
这里详细记录一次springboot使用shiro进行登录验证操作,同时结合MD5加密技术,实现web后台的登录功能。
Shiro权限管理】10.Shiro为密码加
热门推荐
程序猿之洞
11-20 3万+
上一篇我们提到了使用Shiro为密码进行MD5加密,这次来说一下密码加的问题。 当两个用户的密码相同时,单纯使用不加MD5加密方式,会发现数据库存在相同结构的密码, 这样也是不安全的。我们希望即便是两个人的原始密码一样,加密后的结果也不一样。 如何做到呢?其实就好像炒菜一样,两道一样的鱼香肉丝,加的不一样,炒出来的味道就不一样。 MD5加密也是一样,需要进行盐值加密。 在之
Shiro学习笔记(三):MD5和Salt的介绍和使用
weixin_47382783的博客
12-09 821
一、MD5算法的介绍 MD5算法用于保证信息传输完整的一致。MD5是一个不可逆的字符串变换算法,它将任意长度的“字节串”变换成一个128bit的大整数。即使看到源程序和算法描述,也无法将一个MD5的值变换回原始的字符串。从数学原理上说,是因为原始的字符串有无穷多个。 MD5的典型应用是对一段信息串产生签名,以防止被“篡改”。比方说,将一段内容写在一个文本文件,并对这个文本文件产生一个MD5的值并进行记录,然后可以传播这个文件给别人,别人如果修改了文件的任何内容,当我们...
Shiro 重放攻击登录验证(密码加密加
Charge8的博客
04-19 1861
1、加: 简单来说就是一组安全随机数。它在特定的时候,加入到密码(一般来说是加密后的密码)。从而使密码变得更有味道(从单一简单化到复杂化),更安全。 2、对密码进行加密 盐值是一个随机数。当用户注册一个简单密码时,系统会同时生成这样一个salt,与该用户对应,保存到数据库。 加密操作步骤: (1)注册、修改密码时,前台将 888888加密后的pwd1...
Springboot + Shiro——MD5 盐值加密(配置)
鹿谷門実的博客
04-09 2383
其实这里所说的,简单的说,就是一组安全随机数。它会在特定的时候,加入到密码(一般来说是加密后的密码)。从而使密码变得更有味道(从单一简单化到复杂化),更安全。 如何做到? 1). 在 doGetAuthenticationInfo 方法返回值创建 SimpleAuthenticationInfo 对象的时候, 需要使用 SimpleAuthenticationInfo(principal,...
redis+shiro+md5
01-15
该部分代码是一个完整的案例,后台使用ssm框架,前台使用easyui框架,该项目叫学生成绩系统的设计与实现,整合了shiro安全校验,redis缓存热点数据,以及freemarker的使用,也涵盖了ehcache的使用。
Springboot整合Shiro之加MD5加密的方法
08-26
主要介绍了Springboot整合Shiro之加MD5加密的方法,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
Shiro学习手册.md
11-24
Apache Shiro的操作手册,涵盖整个Shiro的大部分知识点,入门好资料。对于公司要使用的童鞋来说,非常有用。
Shiro.md
10-08
Shiro.md
Java基于ssm框架的shiro整合,带有md5加密
01-06
使用:1,更改数据库配置文件2,创建test表(User的数据结构)。。。工具:Java7+eclipse+maven。 基于ssm框架的shiro整合,带有md5加密,注释只针对于shiro,其有搭建过程参考的博客地址,如有不懂的请参考注释给的地址
Java高级技术
12-19
本阶段课程涵盖Java开发流行的自动化构建工具:Maven,版本控制系统:SVN和Git,容器虚拟化技术:Docker,权限模型:RBAC,集成测试:Jenkins,微服务架构:SpringCloud等核心内容。旨在应对各种实际开发情况下的的各种开发场景及业务的需要。
shiro 盐值加密
快乐的小三菊的博客
05-17 868
shiro 盐值加密
springboot shiro 权限认证 配合数据库 和 salt加
LYR 的博客
02-26 231
老实说吧,小白应该用拦截器,先不用权限框架,但是不知道为什么,我感觉框架很强, 然后数据库是 加加密算法,加 salt 配合 md5, 因为帮亲戚写网页,框架原理什么的还不是很懂,调试这能用,先记在这,以后读源码,写项目再回这参考 配置类: package com.ywfcake.demo.config; import com.ywfcake.demo.pojo.ManagerRealm; i...
shiro配置盐值加密
马尾与发圈
06-12 1255
springboot配置盐值加密 一:在shiro配置文件ShiroConfig.java配置密码凭证匹配器 /** * 密码凭证匹配器,作为自定义认证的基础 * @return */ @Bean public HashedCredentialsMatcher hashedCredentialsMatcher() { HashedCredentialsMatcher hashedCredentialsMatcher = new HashedC
shiro MD5盐值加密
Young_Fee的博客
04-15 2752
shiro加密流程: ——————————————————————————————————–图片仅供参考! 我是用的shiro与SSM整合: 首先是shiro配置文件: <!-- 配置进行授权和认证的 Realm,要新增一个java类来实现,下面会有,class=包名.类名 --> <bean id="myRealm" class="shiro.MyR...
sprinboot整合shiro,MD5加密,加
JJoinLin的博客
12-18 648
前段时间看到的springbootshiro整合的视频,现特意在此进行展示出来,方便以后来进行查看,看过的朋友点个赞是最好的,自己加油! 说起整合,必须要搭建的是springboot的环境,以及进行shiro整合包的导入,项目是做的mavne项目,后期会陆续推送springboot与websocket的整合,springboot全局异常处理,springboot与quartz整合,spring...
shiro认证之md5加密及shiro认证测试----shiro与SSM整合
men_ma的博客
10-29 1105
转载请标明出处:https://blog.csdn.net/men_ma/article/details/106847165. 本文出自 不怕报错 就怕不报错的小猿猿 的博客 shiro认证之md5加密及shiro认证测试----SSM目标1.shiro认证第一步:导入pom.xml依赖第二步:配置web.xml第三步:通过逆向工程将五张表生成对应的model、mapper第步:写MyReaml文件(相当于ini文件) 目标 1、shiro认证 2、加密 1.shiro认证 第一步:导入p.
Shiro密码的MD5加密
ZZHMMD957
05-02 4630
散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据,常见的散列算法如MD5、SHA等。一般进行散列时最好提供一个salt(),比如加密密码“admin”,产生的散列值是“21232f297a57a5a743894a0e4a801fc3”,可以到一些md5解密网站很容易的通过散列值得到密码“admin”,即如果直接对密码进行散列相对来说破解更容易,此时我们可以加一些
shiro.ini md5
最新发布
07-27
Shiro,可以使用MD5Utils类对密码进行MD5加密。\[3\] #### 引用[.reference_title] - *1* *3* [shiro使用ini 设置 MD5加密](https://blog.csdn.net/qq_35919264/article/details/99672929)[target="_blank" data...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值