【Shiro】shiro加密

最新推荐文章于 2023-07-06 19:24:02 发布
最新推荐文章于 2023-07-06 19:24:02 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: shiro 文章标签: shiro shiro加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41879343/article/details/106378590
版权

【Shiro】shiro加密

⽤户的密码是不允许明⽂存储的,因为⼀旦数据泄露,⽤户的隐私信息会完全暴露。所以密码必须结果加密,⽣成密⽂,然后数据库中只存储⽤户的密码的密⽂。

在加密过程中需要使⽤到⼀些"不可逆加密",如 md5,sha等
所谓不可逆是指:

加密函数A, 明⽂ “abc”,

A("abc") = "密⽂"

不能通过 “密⽂” 反推出 “abc”,即使密⽂泄露密码仍然安全。

1. shiro加密介绍

shiro⽀持hash(散列)加密,常见的如 md5, sha等

  • 基本加密过程
    md5(明⽂),sha(明⽂) 得到明⽂的密⽂,但明⽂可能⽐较简单,导致密⽂容易被破解。

  • 加盐加密过程
    系统⽣成⼀个随机salt=“xxxxxx”, md5(明⽂+salt) ,sha(明⽂+salt),则提升了密⽂的复杂度。

  • 加盐多次迭代加密过程
    如果迭代次数为2,则加密2次: md5(明⽂+salt)=密⽂a , md5(密⽂a+salt)=最终密⽂
    sha(明⽂+salt)=密⽂a , sha(密⽂a+salt)=最终密⽂
    则进⼀步提升了密⽂的复杂度,和被破解的难度。

加密过程中建议使⽤salt,并指定迭代次数,迭代次数的建议值1000+

  • 实例代码:
String password="abc";//密码明⽂
String salt=UUID.randomUUID().toString();//盐
Integer iter = 1000;//迭代次数
String pwd = new Md5Hash(password, salt,iter).toString(); //md5加密
String pwd = new Md5Hash(password, salt, iter).toBase64(); //加密后转base64
String pwd = new Sha256Hash(password, salt, iter).toString();//sha256加密
String pwd = new Sha256Hash(password, salt, iter).toBase64();//加密后转base64
String pwd = new Sha512Hash(password, salt, iter).toString();//sha256加密
String pwd = new Sha512Hash(password, salt, iter).toBase64()//加密后转base64

2. 加密

增加⽤户,或修改⽤户密码时,涉及到密码的加密

在注册⽤户的业务中,对⽤户提交的密码加密即可。
注意:我们需要在用户表中加⼀列【 salt varchar(50) 】,⽤于存储每个⽤户的盐(即随机字符串)。

class UserServiceImpl implements UserService{
    @Autowired
    private UserDAO userDAO;
    public void createUser(User user){
        user.setSalt(UUID.randomUUID().toString());//设置随机盐
        //设置加密属性:sha256算法,随机盐,迭代1000次
        Sha256Hash sha256Hash = new Sha256Hash(user.getPassword(),user.getSalt(),1000);
        //将⽤户信息 (包括密码的密⽂ 和 盐) 存⼊数据库
        user.setPassword(sha256Hash.toBase64());//密⽂采⽤base64格式化
        userDAO.createUser(user);
    }
}

3. 密码比对

在登录认证身份的时候,我们需要将登录的密码与正确的密码进行比对,所以我们只需要将登录用的密码加入相同的盐,并进行相同次数的迭代,最后进行比对就行了。

在shiro中,我们只需要声明加密方式,加入的盐,以及次数即可。

首先指定比对器

[main]
...
#声明密码⽐对器
credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher
credentialsMatcher.hashAlgorithmName=sha-256
credentialsMatcher.hashIterations=1000
# true=hex格式 false=base64格式
credentialsMatcher.storedCredentialsHexEncoded=false
#⽐对器关联给realm,则realm中对⽤户做身份认证时,可以使⽤加密⽐对器,对密⽂做⽐对
realm1 = com.siyi.realm.MyRealm
realm1.credentialsMatcher=$credentialsMatcher
#realm关联给securityManager
securityManager.realms=$realm1

4. 更改自定义Realm

通过上面的配置我们很容易可以看出还缺少盐的加入。而我们的salt本身就是随机的所以不可能写在配置文件中。所以我们将在程序中从数据库中获取盐,并加入到认证方法中。

doGetAuthenticationInfo⽅法的返回值需要做修改。

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws
    AuthenticationException {
    String username = (String) token.getPrincipal();
    UserService userService =
        (UserService)ContextLoader.getCurrentWebApplicationContext().getBean("userService");
    User user = userService.queryUser(username);
    System.out.println("user:"+user);
    if(user==null){
        System.out.println("⽤户不存在");
        throw new UnknownAccountException("username:"+username+"不存在");
    }
    //以上逻辑不变
    //在最后返回⽤户认证info时,添加⼀个属性:ByteSource.Util.bytes(user.getSalt()) = 盐
    //⽤于密码⽐对
    return new SimpleAuthenticationInfo(user.getUsername(),
                                        user.getPassword(),
                                        ByteSource.Util.bytes(user.getSalt()),
                                        getName());
}

这样,可以进⾏注册,注册中已经会加密密码。
然后登陆认证身份,认证时realm会调⽤⽐对器⽐对密⽂。

来日浅谈
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro(三):Shiro 密码的比对、MD5盐值加密
12程序猿的博客
10-16 1540
Shiro(二)介绍如何实现一个简单的Shiro认证流程,接下来对 密码的比对与加密进行简单的介绍。 Shiro 密码的比对、MD5盐值加密 密码的比对、MD5盐值加密都是通过CrendentialsMatcher(凭证匹配器)来实现的。 一、Shiro认证时的密码比对 在Shiro进行密码比对时,一定会去拿UsernamePasswordToken 和SimpleAuthenticationInfo中封装的密码信息,那么此时要调用UsernamePasswordToken的 getPassword方法,或
学习shiro中的加密程序
04-05
此代码用eclipse编写开发,是为了学习入门shiro安全框架而编写的,用于学习和测试shiro的中的加密机制
SpringBoot Shiro配置自定义密码加密器代码实例
08-19
主要介绍了SpringBoot Shiro配置自定义密码加密器代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
shiro编码和加密代码详解
08-29
Shiro提供了base64和16进制字符串编码/解码的API支持,方便一些编码解码操作。下面通过实例代码给大家详解shiro编码和加密知识,感兴趣的朋友一起看看吧
Shiro学习(五)——密码加密解密
sadoshi的专栏
09-09 5580
前言 前面几篇文章的密码都是以明文形式存储。在真实项目中当然不可能明文存储密码密码一定是以加密的形式存储的。前面我们可以看到当我们给出帐号和密码后,shiro就会去查找ini配置文件或者数据库对应字段来匹配账号密码。那如果我们把存储的密码加密shiro又如何根据我们提交的明文密码与存储的加密密码匹配呢? Shiro加密与匹配的原理 这里不准备展示源码。相信很多读者看文章时面对大量源码也看得一头雾水,并不能总结出什么来,所以这里大致讲讲思路,有兴趣的读者可以自行跟踪源码。这里以读取ini文件为例
Shiro之实现加密
JustinNeil的博客
07-14 355
Shiro实现加密加密概念加密分类对称加密非对称加密加密算法分类单向加密双向加密常见算法MD5使用实例盐值的作用shiro中使用MD5加密 加密概念 数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为"密文",使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密,即将该编码信息...
Shiro加密方式-yellowcong
m0_67402731的博客
04-07 1700
Shiro加密验证,是通过自身的方式来进行验证的。有无加密加密的两种验证方式。在密码的生成方面,我们可以通过SimpleHash来生成密码。 源码下载地址 https://gitee.com/yellowcong/shior-dmeo/tree/master/test 1、密码比对方式 Shiro密码的比对,是由Shiro中的AuthenticatingRealm.getCredentialsMatcher 的方法来进行比对的,我们只需要在AuthorizingRealm的继承类中,复写验证asse.
Shiro 加密
m0_67631696的博客
06-06 409
比如我的密码是 123456,你的密码也是,通过 md5 加密之后的字符串一致,所以你也就能知道我的密码了,如果我们把常用的一些密码都做 md5 加密得到一本字典,那么就可以得到相当一部分的人密码,这也就相当于“破解”了一样,所以其实也没有我们想象中的那么“安全”。,就无法通过计算还原回 123456,我们把这个加密的字符串保存在数据库中,等下次用户登录时我们把密码通过同样的算法加密后再从数据库中取出这个字符串进行比较,就能够知道密码是否正确了,这样既保留了密码验证的功能又大大增加了安全性,
使用shiro对数据库中的密码进行加密存储(java+springboot+shiro
jakelihua
04-16 1685
shiro加盐,加密,数据库加密存储
shiro实现密码加密
qq_45053091的博客
11-03 2210
1shiro实现MD5加密 @Test public void testMD5() throws Exception{ Md5Hash hash = new Md5Hash("1","admin",3); System.out.println(hash);//f3559efea469bd6de83d27d4284b4a7a } 第一参数为需要加密的数字 第二个参数为加密的第一道程序(加盐) 第三个参数一般为加密的层数 不加层数会很容易简单的利用官网软件进行破解 2.在shiro框架中实现密码
shiro密码加密
weixin_69797860的博客
04-14 348
密码加密
shiro加密.7z
10-30
该项目包含数据库全部代码,登录密码也进行盐加密了,权限认证效果都有的,欢迎下载
shiro-master
01-03
shiro-master - 详情:https://blog.csdn.net/Dream_Weave/article/details/85688151
Shiro入门(五)Shiro自定义Realm和加密算法
jwang的博客
05-11 2123
前言 本章讲解shiro自定义的realm和它的加密算法 方法 1.概念 通过前面的讲解,我已经带入了自定义Realm的相关概念。那么为什么要自定义realm呢?显而易见,我们在数据库中创建的users表和它的字段受限于shiro自己的jdbcRealm,所以通常情况下我们需要使用自己的表,跟着必须使用自定义realm。 再者,在用户表中,密码字段的值是一个敏感的存在。我们需...
2021年你还不会Shiro?----4.使用MD5+盐+hash散列进行密码加密
初心不忘、始终方得
03-18 836
使用shiro加密就是这么简单丝滑
shiro注册登录流程(如何加密加盐)+配置多个Ream+密码加密验证底层分析+Remember使用+不同密码比对器原理(二)
weixin_43189971的博客
07-08 1882
1.shiro注册登录流程(如何加密加盐)+ 2.配置多个Ream 3.密码加密验证底层分析 4.Remember使用 5.不同密码比对器原理
shiro安全框架+密码加密
最新发布
yhl15736773842的博客
07-06 542
shiro安全框架+密码加密
Shiroshiro的Session管理
来日浅谈的博客
05-27 1524
Shiroshiro的Session管理1. Session管理介绍2. JavaSE环境下3. JavaEE环境下4. Session监听5. Session检测 1. Session管理介绍 shiro作为⼀款安全管理框架,对状态保持有很强的需要。 ⽐如最常⽤的⽤户认证,就必需状态的保持,以及其他的⼀些功能实现的需要。 【shiro需要:认证中的 记住我中的⽤户名 正式登陆的⽤户名 】 【 开发者需要:其他功能中需要存⼊session的值 】 shiro提供了⼀整套session管理⽅案. 1. s
查看 Shiro 加密方式
06-03
Shiro框架提供了一个简单的工具类 `Hash`,可以用于生成散列值。可以使用以下代码来查看Shiro当前使用的散列算法: ``` String hashAlgorithmName = Hash.DEFAULT_HASH_ALGORITHM; ``` 默认情况下,`Hash`使用的是SHA-256散列算法。如果需要使用其他散列算法,可以通过在shiro.ini配置文件中配置`hashAlgorithmName`属性来指定所需的散列算法,例如: ``` [main] # 使用MD5散列算法 hashAlgorithmName = MD5 ``` 这样,`Hash`工具类在生成散列值时就会使用MD5散列算法。可以根据实际需求选择合适的散列算法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值