Spring Boot 整合 shiro 之盐值加密认证详解(六)

最新推荐文章于 2024-02-17 10:59:58 发布
最新推荐文章于 2024-02-17 10:59:58 发布
阅读量493 收藏 2
点赞数 1
分类专栏: shiro专题 文章标签: java spring boot shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42081445/article/details/120334081
版权

Spring Boot 整合 shiro 之盐值加密认证详解

概述

上一篇博客我们主要讲了自定义 Realm,里面的用户认证所使用的密码都是明文,这种方式是不可取的,往往我们在实战开发中用户的密码都是以密文形势进行存储,并且要求加密算法是不可逆的,著名的加密算法有MD5、SHA1等。所以这篇博客我们主要介绍 Shiro 安全框架学习它的加密方案。这里我们采用md5的方式加密,然后呢。md5加密又分为加盐,和不加盐

不加盐认证

    @Test
    public void testMatcher() {
        CustomRealm customRealm = new CustomRealm();
        //1,构建SecurityManager环境
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        //设置Realm
        defaultSecurityManager.setRealm(customRealm);
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        //获取主体
        Subject subject = SecurityUtils.getSubject();
        //用户名和密码的token
        UsernamePasswordToken token = new UsernamePasswordToken("dev", "123456");
        try {
            //2,主体提交认证请求
            subject.login(token);
            System.out.println("是否权限认证:isAuthenticated=" + subject.isAuthenticated());
            //检查是否有角色
            subject.checkRoles("admin");
            System.out.println("有admin角色");
            //检查是否有权限
            subject.checkPermissions("user:delete", "user:edit", "user:list", "user:add");
            System.out.println("有 user:add、user:list、user:edit、user:delete权限");

        } catch (IncorrectCredentialsException exception) {
            System.out.println("用户名或密码错误");
        } catch (LockedAccountException exception) {
            System.out.println("账号已被锁定");
        } catch (DisabledAccountException exception) {
            System.out.println("账号已被禁用");
        } catch (UnknownAccountException exception) {
            System.out.println("用户不存在");
        } catch (UnauthorizedException ae) {
            System.out.println("用户没有权限");
        }
    }

CustomRealm 请参考Spring Boot 使用自定义 Realm 进行认证授权(五)

加入密码认证核心代码

        //进行加密
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
        //采用md5加密
        matcher.setHashAlgorithmName("md5");
        //设置加密次数
        matcher.setHashIterations(2);
        customRealm.setCredentialsMatcher(matcher);

修改 CustomRealm 新增获取密文的方法

     /**
     * 获得密文密码
     * @Author:     djy
     * @UpdateUser:
     * @Version:     0.0.1
     * @param currentPassword
     * @return       java.lang.String
     * @throws
     */
    private String getPasswordMatcher(String currentPassword){
        return new Md5Hash(currentPassword, null,2).toString();
   }

修改 doGetAuthenticationInfo

    /**
     * 用户认证
     *
     * @param authenticationToken
     * @return org.apache.shiro.authc.AuthenticationInfo
     * @throws
     * @Author: djy
     * @UpdateUser:
     * @Version: 0.0.1
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("开始执行*******doGetAuthenticationInfo方法啦****");
        //获取登录用户名
        String userName = (String) authenticationToken.getPrincipal();
        //通过用户名到数据库获取用户信息
        String password = getPasswordByUsername(userName);
        if (null == password) {
            return null;
        }
        System.out.println("密码为:" + password);
        String matcherPwd = getPasswordMatcher(password);
        System.out.println(matcherPwd);
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(userName, password, getName());
        return authenticationInfo;
    }

当用户 admin 登录进来的时候 程序输出

UsernamePasswordToken token = new UsernamePasswordToken("admin", "123456");
  • 程序输出
是否权限认证:isAuthenticated=true
开始执行*******doGetAuthorizationInfo方法啦****
admin
有admin角色
开始执行*******doGetAuthorizationInfo方法啦****
admin
开始执行*******doGetAuthorizationInfo方法啦****
admin
开始执行*******doGetAuthorizationInfo方法啦****
admin
开始执行*******doGetAuthorizationInfo方法啦****
admin
有 user:add、user:list、user:edit、user:delete权限
  • 假如改成还是用明文检验
//       String matcherPwd=getPasswordMatcher(password);
//       System.out.println(matcherPwd);
//       SimpleAuthenticationInfo authenticationInfo = new 
//SimpleAuthenticationInfo(username,matcherPwd,getName());
        SimpleAuthenticationInfo authenticationInfo = new
SimpleAuthenticationInfo(username,password,getName());
  • 程序输出
开始执行*******doGetAuthenticationInfo方法啦****
密码为:123456
4280d89a5a03f812751f504cc10ee8a5
用户名或密码错误

加盐认证

当两个用户的密码相同时,单纯使用不加盐的MD5加密方式,会发现数据库中存在相同结构的密码,这样也是不安全的。我们希望即便是两个人的原始密码一样,加密后的结果也不一样。如何做到呢?其实就好像炒菜一样,两道一样的鱼香肉丝,加的盐不一样,炒出来的味道就不一样。MD5加密也是一样,需要进行盐值加密。

创建 testSaltMatcher 方法

    @Test
    public void testSaltMatcher() {
        CustomRealm customRealm = new CustomRealm();
        //进行加密
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
        //采用mdf加密
        matcher.setHashAlgorithmName("md5");
        //设置加密次数
        matcher.setHashIterations(1);
        customRealm.setCredentialsMatcher(matcher);
        //1,构建SecurityManager环境
        DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
        //设置Realm
        defaultSecurityManager.setRealm(customRealm);
        SecurityUtils.setSecurityManager(defaultSecurityManager);
        //获取主体
        Subject subject = SecurityUtils.getSubject();
        //用户名和密码的token
        UsernamePasswordToken token = new UsernamePasswordToken("admin", "123456");
        try {
            //2,主体提交认证请求
            subject.login(token);
            System.out.println("是否权限认证:isAuthenticated=" + subject.isAuthenticated());
            //检查是否有角色
            subject.checkRoles("admin");
            System.out.println("有admin角色");
            //检查是否有权限
            subject.checkPermissions("user:delete", "user:edit", "user:list", "user:add");
            System.out.println("有 user:add、user:list、user:edit、user:delete权限");
            //if no exception, that's it, we're done!
        } catch (IncorrectCredentialsException exception) {
            System.out.println("用户名或密码错误");
        } catch (LockedAccountException exception) {
            System.out.println("账号已被锁定");
        } catch (DisabledAccountException exception) {
            System.out.println("账号已被禁用");
        } catch (UnknownAccountException exception) {
            System.out.println("用户不存在");
        } catch (UnauthorizedException ae) {
            System.out.println("用户没有权限");
        }
    }

加盐验证核心代码

//设置盐的值
 authenticationInfo.setCredentialsSalt(ByteSource.Util.bytes(username));

修改 CustomRealm 新增获取加盐密文的方法

    /**
     * 获得密文密码
     *
     * @param currentPassword
     * @return java.lang.String
     * @throws
     * @Author: djy
     * @UpdateUser:
     * @Version: 0.0.1
     */
    private String getPasswordMatcher(String currentPassword, String username) {
        return new Md5Hash(currentPassword, username).toString();
    }

修改 doGetAuthenticationInfo

    /**
     * 用户认证
     *
     * @param authenticationToken
     * @return org.apache.shiro.authc.AuthenticationInfo
     * @throws
     * @Author: djy
     * @UpdateUser:
     * @Version: 0.0.1
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        System.out.println("开始执行*******doGetAuthenticationInfo方法啦****");
        //获取登录用户名
        String userName = (String) authenticationToken.getPrincipal();
        //通过用户名到数据库获取用户信息
        String password = getPasswordByUsername(userName);
        if (null == password) {
            return null;
        }
//        System.out.println("密码为:" + password);
//        String matcherPwd = getPasswordMatcher(password);
        String matcherPwd = getPasswordMatcher(password,userName);
        System.out.println(matcherPwd);
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(userName, matcherPwd, getName());
        //设置盐的值
        authenticationInfo.setCredentialsSalt(ByteSource.Util.bytes(userName));
        return authenticationInfo;
    }

测试

  • 当用户 admin 登录进来 程序输出
UsernamePasswordToken token = new UsernamePasswordToken("admin", "123456");

开始执行*******doGetAuthenticationInfo方法啦****
a66abb5684c45962d887564f08346e8d
是否权限认证:isAuthenticated=true
开始执行*******doGetAuthorizationInfo方法啦****
admin
有admin角色
开始执行*******doGetAuthorizationInfo方法啦****
admin
开始执行*******doGetAuthorizationInfo方法啦****
admin
开始执行*******doGetAuthorizationInfo方法啦****
admin
开始执行*******doGetAuthorizationInfo方法啦****
admin
有 user:add、user:list、user:edit、user:delete权限
  • 当用户 admin 登录但是密码却输成1234567 程序输出
UsernamePasswordToken token = new UsernamePasswordToken("admin", "1234567");

开始执行*******doGetAuthenticationInfo方法啦****
a66abb5684c45962d887564f08346e8d
用户名或密码错误
  • 当用户 admin 登录进来密码也输入正确了但是 验证的时候改用明文 程序输出
//把下面两个方法注释掉
//String matcherPwd = getPasswordMatcher(password,userName);
//System.out.println(matcherPwd);
SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(username,password,getName());

开始执行*******doGetAuthenticationInfo方法啦****
用户名或密码错误

shiro 加密就讲到这里,其实有的小伙伴会有疑问,假如我们公司用sessionID 作为登录状态的凭证那么我们该怎么办呢,怎么才能让用户通过认证呢?这里我们可以自定义密码匹配类继承 HashedCredentialsMatcher类 重写它的 doCredentialsMatch (密码匹配的方法)即可。后面我们讲解实战开发的时候会详细的讲解。

一名技术极客
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Springboot学习-MD5密码加密 DigestUtils 和 BCryptPasswordEncoder
NeverGiveUp
09-04 4803
Springboot学习-MD5密码加密 DigestUtils和BCryptPasswordEncoder 使用场景:当需要从后端向数据库中存储密码类型的信息时,可以采取可逆加密或不可逆加密.
Springboot整合Shiro之加MD5加密的方法
08-26
主要介绍了Springboot整合Shiro之加MD5加密的方法,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
SpringBoot整合Shiro MD5加密
can_meng_yun的博客
05-02 420
springBoot整合Shiro MD5加密 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。...
SpringBoot整合shiro-MD5加密
pedro7k的博客
02-07 713
为什么要进行密码加密? 在我们的日常生活中,许多人有着在不同网站上使用相同密码的坏习惯(包括我也是qaq),假如应用程序或服务器出现漏洞,数据被窃取,用户的明文密码直接被暴露给黑客。显然后果将不堪设想。使用密码加密可以有效地增加黑客破解密码的难度,提高安全性。 什么是md5加密和md5加密? md5加密: 明文密码 + md5算法 = 密文密码 md5加密 值处理后的明文密码 + md5算法 = 密文密码 值可以由开发者进行自定义,这样密码被破解的可能性就有了显著的降低。 下面演示基于Spr
shiro认证(自定义realm,shirospring整合shiro的md5加密
f_1314520的博客
01-02 309
1.导入基于Shiro的数据库脚本 例如: t_sys_user t_sys_role t_sys_permission t_sys_user_role t_sys_role_permission 关联关系: 用户与角色 角色与权限 用户--------------角色---------------权限 2.自定义Realm Shiro从R...
详解Spring Boot 集成Shiro和CAS
08-30
Spring Boot 集成 Shiro 和 CAS 本文将详细介绍 Spring Boot 集成 Shiro 和 CAS 的知识点,帮助读者了解 Shiro 和 CAS 的概念、使用方法,以及它们在 Spring Boot 中的集成方式。 Shiro 介绍 Shiro 是一个开源的 ...
Spring boot整合shiro+jwt实现前后端分离
08-25
Spring Boot 整合 Shiro+JWT 实现前后端分离 Spring Boot 框架是一个流行的 Java 框架,用于构建 Web 应用程序。Shiro 是一个强大的安全框架,提供了身份验证、授权、会话管理、加密等功能。JWT(JSON Web Token)...
Spring Boot整合Shiro搭建权限管理系统教学提纲.docx
06-08
#### 三、Spring Boot整合Shiro搭建权限管理系统步骤详解 ##### 1. 创建Maven项目并配置POM文件 - **创建Maven项目**: - 使用IDEA或Eclipse等开发工具创建一个新的Maven项目。 - **修改`pom.xml`文件**: - 继承...
楠哥Spring Boot整合Shiro.zip
11-24
Spring Boot整合Shiro实战详解》 在Java Web开发领域,Spring Boot以其便捷的配置、快速的启动和强大的集成能力,已经成为主流的框架选择。而Shiro作为一款轻量级的安全框架,它提供了身份验证、授权、会话管理和...
spring_boot_shiro
10-23
Spring Boot整合Shiro实战详解》 在现代Java Web开发中,Spring Boot以其简洁的配置、快速的开发体验,已经成为主流框架。而Apache Shiro作为一款强大的安全管理框架,提供了认证、授权、会话管理和安全加密等...
Springboot实现密码加密解密
08-28
主要为大家详细介绍了Springboot实现密码加密解密,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
SpringBoot整合shiro之盐值加密详解
热门推荐
和我一起学习吧
04-04 1万+
值是什么首先我们来探讨一下关于密码安全的问题在一个系统中我们通常会将用户名和密码存在数据库中,如果我们直接将密码存入数据库,会存在很大的安全隐患,比如:数据库被盗,传输过程中被黑客拦截,这都是很常见的问题,数据库所在的服务并不是绝对的安全,传输过程中也有可能被黑客拦截得到你传输的数据获得一些隐私的数据,并篡改后发往服务器。那么针对这种问题我们如何解决呢,安全在升级,骇客的技术同样也在进步,一个网...
SpringBoot Security 自定义登录验证逻辑+密码
℡メ㏑╭ァ小凯
03-24 2687
密码思路 JAVA加密方法_Teln_小凯的博客-CSDN博客 加密方法 @ApiOperation(value = "002-加密") @PreAuthorize("hasAuthority('sys:app:all')") @GetMapping(value = "/encodePassword") public HttpResult encodePassword(String password,String salt){ String pwd
35 | SpringBoot整合Shiro之MD5加密
NSX-Truth
09-03 902
前言 这篇文章是对上一篇 34 | Spring Boot整合Shiro框架(Shiro简介+实现登录拦截、用户认证、请求授权并整合Mybatis和Thymeleaf)的扩展 1. MD5加密和MD5加密的区别 当两个用户的密码相同时,单纯使用不加的MD5加密方式,会发现数据库中存在相同结构的密码,这样是不安全的。为了实现两个人的原始密码一样,但加密后的结果是不一样的效果,就要使用加了的MD5加密方式。其实就好像炒菜一样,两道一样的鱼香肉丝,加的不一样,炒出来的味道就不一样。 2. 使用步骤 2.
SpringBoot+Shiro密码MD5加密及校验
Brave_heart4pzj的博客
08-15 335
简单点说就是 注册账号的时候,把用户密码进行值MD5处理,并存入库中 登录的时候,把用户密码进行同样的值MD5处理,存入Shiro中 这样,Shiro在验证的时候,就可以把数据库的MD5密码和页面传来的密码MD5操作后 比对通过了 参考: https://blog.csdn.net/zhaolulu916/article/details/102766041 ...
SpringBoot实现密码加密
weixin_49071539的博客
04-27 2802
pom.xml: <!--md5加密--> <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-lang3</artifactId> </dependency> <dependency> <gro
Spring篇】 项目加加密处理
最新发布
m0_56361048的博客
02-17 1387
Spring Security 实现项目的加加密
springboot md5加密
面朝大海,春暖花开
12-03 869
修改密码
Springboot整合Shiro-实现MD5加密
weixin_47208793的博客
09-10 464
mysql创建用户表 DROP TABLE IF EXISTS `t_user`; CREATE TABLE `t_user` ( `id` int(10) unsigned NOT NULL AUTO_INCREMENT, `user_id` varchar(255) NOT NULL COMMENT '用户名', `name` varchar(255) NOT NULL, `password` varchar(255) NOT NULL COMMENT '密码', `state`
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一名技术极客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值