源码分析Shiro框架的密码加密及校验

最新推荐文章于 2024-08-19 16:45:25 发布
最新推荐文章于 2024-08-19 16:45:25 发布
阅读量1.3k 收藏 2
点赞数 1
分类专栏: Shiro 文章标签: 分析Shiro密码加密及校验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rexueqingchun/article/details/103288532
版权

前言

         我们知道Shiro框架有提供凭证匹配器类HashedCredentialsMatcher来实现密码校验的,在该类中可以自定义加密方式、加密次数、编码规则等

//权限管理
@Bean
public SecurityManager securityManager() {
    DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();	
    securityManager.setRealm(myShiroRealm(hashedCredentialsMatcher()));
    return securityManager;
}

//凭证匹配器
public HashedCredentialsMatcher hashedCredentialsMatcher() {
    HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
    //采用SHA-512方式加密
    hashedCredentialsMatcher.setHashAlgorithmName("SHA-512");
    //设置加密次数
    hashedCredentialsMatcher.setHashIterations(1024);
    //true加密用的hex编码,false用的base64编码
    hashedCredentialsMatcher.setStoredCredentialsHexEncoded(false);
    return hashedCredentialsMatcher;
}

如上图,假如我们采用SHA-512的加密方式,加密次数为1024次,采用base64的编码方式,来看一下是如何实现密码校验的

打开HashedCredentialsMatcher类的源码

可以看到,他是通过doCredentialsMatch方法来进行判断的,其中参数AuthenticationToken包含用户输入的密码信息,AuthenticationInfo包含用户的身份认证信息(如库中存入的密码、盐值等信息)

先进入hashProvidedCredentials方法看一下他的实现

这里先进行判断,取到用户设置的盐值salt,然后调用了hashProvidedCredentials方法

发现最后是通过new SimpleHash方法,分别传入加密方式、用户输入的密码、库中存入的盐值、加密次数,来生成加密后的密码

再进入getCredentials方法看一下他的实现

这里先判断在凭证匹配器中设置的编码方式,由于前面setStoredCredentialsHexEncoded方法设置的false,所以这里采用Base64的方式来进行解码,最终返回库中密码进行Base64解码后的值,所以我们库中存入的密码是加密后再进行Base64编码后的值

模拟Shiro框架的密码校验

import org.apache.shiro.codec.Base64;
import org.apache.shiro.crypto.SecureRandomNumberGenerator;
import org.apache.shiro.crypto.hash.SimpleHash;
import org.springframework.stereotype.Controller;
 
@Controller
public class EncodePassTest {
	
    public static void main(String[] args) throws Exception {
    	String password = "123456";//原密码
    	String hashAlgorithmName = "SHA-512";//加密方式
        int hashIterations = 1024; //加密次数
    	//生成随机盐值
    	String salt = new SecureRandomNumberGenerator().nextBytes().toBase64();
    	//密码和盐值加密并转为Base64
    	String dbPassord = new SimpleHash(hashAlgorithmName, password, salt, hashIterations).toBase64();
    	System.out.println("加密后需入库的密码:"+dbPassord);
    	/*校验密码*/
    	//库中的密码Base64解密后,对应shiro的getCredentials方法
    	SimpleHash dbPassordDecode = new SimpleHash(hashAlgorithmName);
    	dbPassordDecode.setBytes(Base64.decode(dbPassord));
    	System.out.println("库中的密码Base64解密后:"+dbPassordDecode);
    	//用户输入的密码加密后,对应shiro的hashProvidedCredentials方法
        SimpleHash tokenHashedCredentials = new SimpleHash(hashAlgorithmName, password, salt, hashIterations);
        System.out.println("用户输入的密码加密后:"+tokenHashedCredentials);
    }
    
}

 

王绍桦
关注
专栏目录
源码分析Apache Shiro 加密与登录验证
Kenny的博客
07-21 1673
前言 最近项目中用到Shiro安全框架,做加密验证的时候遇到一些问题,网上的多数Shiro的环境搭建只是简单的明文密码匹配,甚至有些文章的注释也不尽正确。在这里通过源码解析来还原真相。 大纲 使用Shiro提供的类进行密码加密 验证用户输入的账号密码的流程 使用Shiro提供的类进行密码加密 Shiro提供了org.apache.shiro.crypto.hash.SimpleH...
Shiro框架-史上详解
qq_46416934的博客
08-02 590
权限管理概述某个拥有什么,被允许做什么事情()用户登录—>分配角色---->(权限关联映射)---->鉴权(拥有什么什么权限)
Shrio框架实现自定义密码校验规则
05-15 1044
java,springboot,shiro实现自定义用户认证
shiro加密解密方法
码来-陈平安的博客
12-10 2415
一、加密(添加用户) @RequestMapping("/add") public Result addUser(String username,String password){ final SysUser user = new SysUser(); user.setCreateTime(new Date()); String salt = RandomStringUtils.randomAlphanumeric(20); u
若依前后端分离项目修改登录加密方式(MD5+盐值)
最新发布
qq_25995697的博客
08-19 483
项目中增加一个MD5+盐值加密
Shiro加密
阿劼
01-09 576
shiro md5 加密 java.lang.IllegalArgumentException: Odd number of characters
Shiro权限控制 ---base64加密、MD5加密
太年轻的博客
10-12 5954
在Java中也有MD5加密,现在咱们讲的是Shiro权限控制框架中自带的加密方式,有base64加密、MD5加密 package com.java1234.util; import org.apache.shiro.codec.Base64; import org.apache.shiro.crypto.hash.Md5Hash; public class CryptographyUtil {
shiro放行_浅谈Apache 安全框架Shiro(十三)——RememberMe
weixin_39808953的博客
12-08 157
RememberMeShiro 提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下:首先在登录页面选中 RememberMe 然后登录成功;如果是浏览器登录,一般会把 RememberMe 的 Cookie 写到客户端并保存下来;关闭浏览器再重新打开;会发现浏览器还是记住你的;访问一般的网页服...
shiro源码
01-14
- **源码分析**:通过阅读Shiro源码,可以理解其内部的工作机制,包括如何进行身份验证、授权以及会话管理,有助于定制化开发和性能优化。 - **设计模式**:Shiro源码中大量运用了设计模式,如工厂模式、代理...
Shiro1.2.2_源码(压缩包)
05-29
通过对 Shiro1.2.2 的源码分析,我们可以了解到它如何处理各种安全问题,以及如何构建高效、灵活的安全架构。同时,源码的学习有助于我们理解和解决在实际开发中遇到的安全问题,提升我们的编程技能。
Shiro安全框架
m0_59598908的博客
11-25 460
前言 在没有使用安全框架之前,大家做的登录,权限什么的都是五花八门,各种花里胡哨的代码,不同系统的做法很有可能千差万别。但是使用了一些现成的安全框架之后,大家做权限的方式都一致化了,这样的好处就是你的代码我看起来容易,我的代码你也好理解。 前言:重要单词 Authorization: Shiro中的授权 Security[安全]Manager[管理器] Authenticator: 即认证器 Authorizer: 授权器 Realm: 领域,相当于datasourc...
记录shiro的配置
书香代码
09-12 1935
//springShiro.xml <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/
shiro:HashedCredentialsMatcher认证匹配
拒绝熬夜啊的博客
10-18 627
shiro:HashedCredentialsMatcher认证匹配 1、HashedCredentialsMatcher类的介绍 shiro提供了用于加密密码和验证密码服务的CredentialsMatcher 接口,而 HashedCredentialsMatcher 正是 CredentialsMatcher 的一个实现类写项目的话,总归会用到用户密码的非对称加密,目前主流的非对称加密方式是 MD5 ,以及在 MD5 上的加盐处理,而 HashedCredentialsMatcher 也允许我们指定自
springboot整合shiro大全
qq_41362717的博客
08-19 712
springboot整合shiro大全 1、权限控制的两种方式:粗粒度基于URL级别权限控制、细粒度基于方法级别权限控制 2、基于Apache Shiro实现登录认证和权限控制,重点讲解shiro权限控制流程、自定义Realm对象控制系统认证和授...
深入探究Shiro反序列化漏洞
Elite的博客
04-01 1092
Shiro-550反序列化漏洞(CVE-2016-4437) 漏洞简介shiro-550主要是由shiro的rememberMe内容反序列化导致的命令执行漏洞,造成的原因是默认加密密钥是硬编码在shiro源码中,任何有权访问源代码的人都可以知道默认加密密钥。
shiro的MD5盐值加密的使用
二十一克阳光!的博客
05-02 865
如何将一个字符串加密为MD5,如果两个用户的密码相同则会有相同的加密结果,为了使两个密码相同的时候所产生的密码还不一样进一步提高安全性,所以考虑添加盐值。 首先添加依赖 <!-- Shiro使用Spring框架 --> <dependency> <groupId>org.apache.shiro</groupId&...
codec.CodecException:报原因之一
snailisBigbull的博客
08-07 1510
org.apache.shiro.codec.CodecException: The org.apache.shiro.crypto.hash.SimpleHash implementation only supports conversion to byte[] if the source is of type byte[], char[], String, org.apache.shiro.u...
JAVA Web02——JSP的页面元素、JSP九大内置对象
qiao39gs的博客
10-09 292
一、JSP的页面元素 1.JAVA代码(脚本Scriptlet) ① <% 局部变量、Java语句 %> ② <%! 全局变量、定义方法 %> ③ <%=输出表达式%> eg: <%@ page language="java" contentType="text/html; charset=utf-8" pageEncoding="utf-8"%> <!DOCTYPE html> <h...
shiro基于cookie多服务器共享session,坑记录
m0_67393295的博客
08-24 497
cacheManager、sessionManager、rememberMeManager各种都配置好了,死活共享不了session。罪魁祸首是【filterChainDefinitions】配置中**/** = authc。(我的检查方法:两台服务器,启动其中一台后登陆,然后关闭启动另一台,看登陆效果)/** = user** ,解决问题……user:登录用户才可以访问,包含remember me;authc:必须是登录之后才能进行访问,(这种比较严格的,一般用于支付)anno,任何人都可以访问;
SpringBoot与Shiro框架集成详解及完整源码示例
资源摘要信息: "本教程主要讲解如何在Spring Boot项目中集成Apache Shiro安全框架,并提供完整的源码和数据库配置,适用于对Shiro框架刚接触或者需要深入学习Shiro的开发者。Shiro是一个功能强大、易于使用且灵活的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值