目录
Shiro实现密码加密和解密
Shiro实现密码加密和解密
常见的加密方式有很多,Shiro中提供的一套散列算法加密方式。散列算法,是一种不可逆的算法(自然是要不可逆的,因为可逆的算法破解起来也很容易,所以不可逆的算法更安全),常见的散列算法如MD5、SHA,但是网上看到很多破解MD5加密的网站,不是说散列算法是不可逆的吗?为什么还存在那么多破解密码的网站?
其实散列算法确实是不可逆的,即使是常见的MD5加密也是不可逆的加密方式,而网上的破解网站并不是能够逆向算出这个加密密码,而是通过大数据的方式得出来的,相当于,MD5解密的网站中存在一个很大的数据库,里面存放了用户常见的加密密码,然后当用户再用此密码解密时,再从数据库中比对加密后的MD5密码,如果存在就能得到原密码了。为了避免这种情况,引入了盐salt的概念,如果能通过大数据的方式破解MD5的加密,但如果在加密的密码中再添加一组数据进行混淆,破解起来就相当难了,因为添加的salt只有自己知道是什么
自定义一套散列算法
(1)实例化一个RandomNumberGenerator对象生成随机数,可以用来设置盐值
(2)设定散列算法的名称和散列迭代次数
(3)调用SimpleHash()构造方法,将算法名称、用户输入的密码、盐值、迭代次数传入
(4)通过SimpleHash()构造方法,Shiro能自动对密码进行加密,并调用实体类对象的setter()将密码设置进去
@Component
public class PasswordEncryption {
// 实例化RandomNumberGenerator对象,用于生成一个随机数
private RandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator();
// 散列算法名称
private String algorithName = "MD5";
// 散列迭代次数
private int hashInterations = 2;
// 省略私有属性的getter/setter方法...
// 加密算法
public void encryptPassword(User user) {
if (user.getPassword() != null) {
// 对user对象设置盐:salt
// 这个盐值是randomNumberGenerator生成的随机数,所以盐值并不需要我们指定
user.setSalt(randomNumberGenerator.nextBytes().toHex());
/* 调用SimpleHash指定散列算法参数:
1、算法名称;
2、用户输入的密码;
3、盐值(随机生成的);
4、迭代次数;
*/
String newPassword = new SimpleHash(algorithName, user.getPassword(),
ByteSource.Util.bytes(user.getCredentialsSalt()), hashInterations).toHex();
user.setPassword(newPassword);
}
}
}
在encryptPassword中进行了核心的密码加密过程,只需要调用SimpleHash()传入需要加密的参数即可。应该注意两个地方:user.setSalt()和user.getCredentialsSalt()。