Shiro安全框架学习(三) —— shiro加密处理

最新推荐文章于 2023-02-21 17:25:02 发布
最新推荐文章于 2023-02-21 17:25:02 发布
阅读量1.4k 收藏 9
点赞数 1
分类专栏: ------【Shiro 安全框架】 文章标签: Shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41888813/article/details/81362251
版权
本文介绍了Shiro安全框架中如何使用MD5加密处理用户密码,强调了非对称加密的重要性。同时,文章讨论了MD5加密的局限性,如相同的明文密码会得到相同的加密结果,容易被穷举或预计算攻击。为解决这一问题,引入了盐的概念,通过加盐和多次加密提高安全性。文中还详细说明了如何在数据库、DAO、DatabaseRealm以及shiro.ini配置文件中实现加盐MD5加密策略,并探讨了另一种利用Shiro的HashedCredentialsMatcher进行密码验证的方法。
摘要由CSDN通过智能技术生成

md5 加密

 在前面的例子里,用户密码是明文的,这样是有巨大风险的,一旦泄露,就不好了。
所以,通常都会采用非对称加密,什么是非对称呢?就是不可逆的,而 md5 就是这样一个算法。
如代码所示 123 用 md5 加密后,得到字符串: 202CB962AC59075B964B07152D234B70
这个字符串,却无法通过计算,反过来不会得到源密码是 123。
这个加密后的字符串就存在数据库里了,下次用户再登陆,输入密码 123, 同样用md5 加密后,再和这个字符串一比较,就知道密码是否正确了。
如此这样,既能保证用户密码校验的功能,又能保证不暴露密码。

MD5加密代码(法一), java.security.MessageDigest:

package com.ares_bms.util;

import java.security.MessageDigest;

public class Md5Util {

    public static String MD5(String key) {
        char hexDigits[] = {
                '0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'A', 'B', 'C', 'D', 'E', 'F'
        };
        try {
            byte[] btInput = key.getBytes();
            // 获得MD5摘要算法的 MessageDigest 对象
            MessageDigest mdInst = MessageDigest.getInstance("MD5");
            // 使用指定的字节更新摘要
            mdInst.update(btInput);
            // 获得密文
            byte[] md = mdInst.digest();
            // 把密文转换成十六进制的字符串形式
            int j = md.length;
            char str[] = new char[j * 2];
            int k = 0;
            for (int i = 0; i < j; i++) {
                byte byte0 = md[i];
                str[k++] = hexDigits[byte0 >>> 4 & 0xf];
                str[k++] = hexDigits[byte0 & 0xf];
            }
            return new String(str);
        } catch (Exception e) {
            return null;
        }
    }
    
    public static void main(String[] args) {
    	System.out.println(Md5Util.MD5("666"));
	}
}

 MD5加密代码(法二),org.apache.shiro.crypto.hash.Md5Hash:

package com.how2java;

import org.apache.shiro.crypto.hash.Md5Hash;

public class TestEncryption {

    public static void main(String[] args) {
        String password = "123";
        String encodedPassword = new Md5Hash(password).toString();

        System.out.println(encodedPassword);
    }
}

 盐

上面讲了md5加密,但是md5加密又有一些缺陷:

  1. 如果我的密码是 123,你的也是 123,,那么md5的值是一样的,那么通过比较加密后的字符串,我就可以反推过来,原来你的密码也是123。
  2. 与上述相同,虽然 md5 不可逆,但是我可以穷举法呀,我把特别常用的100万或者更多个密码的 md5 值记录下来,比如12345的,abcde的。 相当一部分人用的密码也是这些,那么只要到数据库里一找,也很快就可以知道原密码是多少了。这样看上去也就破解了,至少一部分没有想象中那么安全吧。

为了解决这个问题,引入了盐的概念。 盐是什么意思呢? 比如炒菜,直接使用md5,就是对食材(源密码)进行炒菜,因为食材是一样的,所以炒出来的味道都一样,可是如果加了不同分量的盐,那么即便食材一样,炒出来的味道也就不一样了。

所以,虽然每次 123 md5 之后都是202CB962AC59075B964B07152D234B70,但是 我加上盐,即 123+随机数,那么md5值不就不一样了吗? 这个随机数,就是盐而这个随机数也会在数据库里保存下来,每个不同的用户,随机数也是不一样的。
再就是加密次数,加密一次是202CB962AC59075B964B07152D234B70,我可以加密两次呀,就是另一个数了。 而黑客即便是拿到了加密后的密码,如果不知道到底加密了多少次,也是很难办的。

在代码里就演示了,如何用Shiro自带的工具类,做生成盐,两次md5的做法,如图所示得到一串机密都很高的密文。

package com.how2java;

import org.apache.shiro.crypto
最低0.47元/天 解锁文章
_夜渐凉
关注
专栏目录
Shiro加密
zhouym_的博客
07-28 630
数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为"密文",使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密,即将该编码信息转化为其原来数据的过程。 ...
shiro中的加密、解密的几种方式
chujiuxt35853的专栏
12-10 2399
shiro授权和认证中,我们经常用到数据的加密和解密,这里做了几种加密方法的测试 步骤: 1、添加依赖 <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-core --> <...
Shiro加密方式-yellowcong
12-17 1万+
Shiro加密验证,是通过自身的方式来进行验证的。有无加密加密的两种验证方式。在密码的生成方面,我们可以通过`SimpleHash`来生成密码
Shiro加密
test253506088的博客
07-02 214
本文档的代码中不会放出查询数据库的代码,以及数据库表结构的SQL,这些请去案例文件中寻找。如果看不懂请先看自定义Realm 注意:Shiro并不接管注册,需要程序猿实现 下列代码是我自定义的Realm,在无参构造中设置了如何加密,在登录验证方法的倒数第二行指定了如何加盐。 /** * 自定义Realm,需要注入到Spring IoC中 */ @Component public class MyRealm extends AuthorizingRealm { private final..
Shiroshiro加密
来日浅谈的博客
05-27 1457
Shiroshiro加密1. shiro加密介绍2. 加密3. 密码比对4. 更改自定义Realm ⽤户的密码是不允许明⽂存储的,因为⼀旦数据泄露,⽤户的隐私信息会完全暴露。所以密码必须结果加密,⽣成密⽂,然后数据库中只存储⽤户的密码的密⽂。 在加密过程中需要使⽤到⼀些"不可逆加密",如 md5,sha等 所谓不可逆是指: 加密函数A, 明⽂ “abc”, A("abc") = "密⽂" 不能通过 “密⽂” 反推出 “abc”,即使密⽂泄露密码仍然安全。 1. shiro加密介绍 shiro⽀持ha
管理系统系列--【基于shiro的权限管理系统——分布式版】一个用spring、mybatis、redis和shir.zip
最新发布
02-25
Shiro框架】:Apache Shiro是一个强大且易用的Java安全框架,负责处理系统的安全相关功能,如身份验证、授权、会话管理和加密。在这个分布式系统中,Shiro主要负责用户的登录验证、权限判断以及会话管理,确保只有...
Shiro框架详解
qq_39756007的博客
02-21 827
Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。记住一点,Shiro 不会去维护用户、维护权限;这些需要我们自己去设计 / 提供;然后通过相应的接口注入给 Shiro 即可。
Shiro权限框架 01(shiro框架入门)
m0_67094505的博客
08-24 463
Shiro是Apache的一个开源框架,是一个权限管理的框架,实现用户认证、用户授权。​ 权限管理,一般指根据系统设置的安全策略或者安全规则,用户可以访问而且只能访问自己被授权的资源,不多不少。权限管理几乎出现在任何系统里面,只要有用户和密码的系统。Spring中有Spring security(原名Acegi),是一个权限框架,它和Spring依赖过于紧密,没有Shiro使用简单。Shiro不依赖于Spring,Shiro不仅可以实现Web应用的权限管理,还可以实现c/s系统。
Shiro安全框架【快速入门】及上手应用
qq_52252193的博客
05-09 362
目录 Shiro 简介 为什么是 Shiro? Apache Shiro Features 特性 High-Level Overview 高级概述 Shiro 认证过程 Shiro 授权过程 自定义 Realm Shiro 加密 加盐 + 多次加密 SpringBoot 简单实例 第一步:新建SpringBoot项目,搭建基础环境 第二步:新建实体类 第步:配置 Shiro 第四步:准备 DAO 层和 Service 层 第五步:controller层 第六步:准备页面..
shiro登陆身份认证和权限管理 密码加密
01-23
shiro登陆,shiro登陆身份认证和权限管理 密码加密。自己写的demo。实用。希望大家多多支持。谢谢大家
shiro笔记之----SimpleAuthenticationInfo 验证password
hubeilihao的专栏
05-28 8185
公司项目中用的是shiro安全认证框架,从代码中看到了判断验证码的,也看到了判断用户名是否存在的,就是没有发现判断密码是否正确的,后从网上文章以及查看源码才大概了解shiro对于密码验证的流程。 自定义的shiroRealm public class ShiroRealm extends AuthorizingRealm { @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
shiro编码/解码、加密/解密
ldk99_的博客
06-13 2287
package com.github.zhangkaitao.shiro.chapter5.test; import org.apache.shiro.codec.Base64; import org.apache.shiro.codec.Hex; import org.apache.shiro.crypto.AesCipherService; import org.apache.shiro....
Shiro权限控制 ---base64加密、MD5加密
太年轻的博客
10-12 5938
在Java中也有MD5加密,现在咱们讲的是Shiro权限控制框架中自带的加密方式,有base64加密、MD5加密 package com.java1234.util; import org.apache.shiro.codec.Base64; import org.apache.shiro.crypto.hash.Md5Hash; public class CryptographyUtil {
shiro用户加密默认方式_shiro加密算法
weixin_39784263的博客
12-22 739
第一节的时候我介绍过,shiro有很多加密算法,如md5和sha,而且还支持加盐,使得密码的解析变得更有难度,更好的保障了数据的安全性。这里我们要介绍的是md5算法,因为比较常用。首先我们来看看md5算法的各种实现方式:packagecom.wujianwu.test;importorg.apache.shiro.crypto.hash.Md5Hash;importorg.apache.shiro...
ShiroSimpleAuthenticationInfo使用(*)
weixin_42408447的博客
12-21 5235
SimpleAuthenticationInfo这里原理很简单,又有一些值得挖掘的东西。 //此处使用的是user对象,不是username SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( user, user.getPassword(), getName() )
解决org.apache.shiro.authc.IncorrectCredentialsException 异常
weixin_44941564的博客
03-09 2261
异常信息 org.apache.shiro.authc.IncorrectCredentialsException : Submitted credentials for token [org.apache.shiro.authc.UsernamePasswordToken - admin, rememberMe=false] did not match the expected credenti...
浅谈Shiro框架中的加密算法,以及校验
热门推荐
qq383264679的专栏
07-23 1万+
在涉及到密码存储问题上,应该加密/生成密码摘要存储,而不是存储明文密码。为什么要加密:网络安全问题是一个很大的隐患,用户数据泄露事件层出不穷,比如12306账号泄露。 Shiro提供了base64和16进制字符串编码/解码的API支持,方便一些编码解码操作,想了解自己百度API操作用法。 看一张图,了解Shiro提供的加密算法: 本文重点讲shiro提供的
利用shiro SimpleHash密码加密
lady132的博客
08-13 2598
1、导入加密需要用到的SimpleHash包 import org.apache.shiro.crypto.hash.SimpleHash; import org.apache.shiro.util.ByteSource; 2、测试 import org.apache.shiro.util.ByteSource; import org.junit.Test; import org.junit.r...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值