35 | SpringBoot整合Shiro之MD5盐值加密

最新推荐文章于 2024-04-13 10:26:24 发布
最新推荐文章于 2024-04-13 10:26:24 发布
阅读量870 收藏 11
点赞数 2
分类专栏: SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nsx_truth/article/details/108390732
版权

前言

这篇文章是对上一篇 34 | Spring Boot整合Shiro框架(Shiro简介+实现登录拦截、用户认证、请求授权并整合Mybatis和Thymeleaf)的扩展

1. MD5盐值加密和MD5加密的区别

当两个用户的密码相同时,单纯使用不加盐的MD5加密方式,会发现数据库中存在相同结构的密码,这样是不安全的。为了实现两个人的原始密码一样,但加密后的结果是不一样的效果,就要使用加了盐的MD5加密方式。其实就好像炒菜一样,两道一样的鱼香肉丝,加的盐不一样,炒出来的味道就不一样。

2. 使用步骤

2.1 在控制层的注册用户方法中使用MD5盐值加密

@PostMapping("/register")
    public String register(User user) {
        // 设置盐值
        Object salt = ByteSource.Util.bytes(user.getName());
        // 加密后的密码
        String newPassword = new SimpleHash("MD5", user.getPassword(), salt, 1000).toHex();
        user.setPassword(newPassword);
        if (userService.registerUser(user)) {
            return "redirect:/toLogin";
        }
        return "register";
    }

2.2 在UserRealm的认证方法中加入盐值校验

@Override
    // 认证
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        System.out.println("执行了=>认证doGetAuthorizationInfo");

        // 封装用户的登录数据
        UsernamePasswordToken userToken = (UsernamePasswordToken) token;

        // 连接数据库
        User user = userService.getUserByName(userToken.getUsername());

        // 没有此人,抛出 UnkownAccountException
        if (user == null) {
            return null;
        }

        //获取当前登录的用户对象
        Subject subject = SecurityUtils.getSubject();

        //存放到Session中
        Session session = subject.getSession();
        session.setAttribute("user", user);

        // realmName: 当前 realm 对象的 name. 调用父类的 getName() 方法即可
        String realmName = getName();
        System.out.println(realmName);

        // 盐值。使用 username作为盐值,盐值必须是唯一的
        ByteSource credentialsSalt = ByteSource.Util.bytes(user.getName());

        /*三个参数:
            principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。
            一个主体可以有多个principals,但只有一个Primary principals,一般是用户名/密码/手机号。
            credentials: 传递的密码对象
            realmName: 认证名(指定当前 Realm 的类名)
        */
        // 密码认证, shiro自己做
        // 根据用户的情况, 来构建 AuthenticationInfo 对象并返回. 通常使用的实现类为: SimpleAuthenticationInfo
        return new SimpleAuthenticationInfo(user, user.getPassword(), credentialsSalt, realmName);
    }

2.3 在ShiroConfig中配置认证匹配器

即创建HashedCredentialsMatcher对象,并设置加密算法即可
注意: 如果你没有配置此类,你会发现尽管密码被加密,但你输入原始密码是等不进去的,因为这个HashedCredentialsMatcher类处理密码校验

package com.nsx.shiro.config;

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;
import java.util.Map;

/**
 * Created by NXS
 * 2020/9/1 17:05
 */
@Configuration
public class ShiroConfig {
    //shiroFilterFactoryBean 3
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager securityManager) {
        ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
        // 设置安全管理器
        factoryBean.setSecurityManager(securityManager);

        /*
            anon:无需认证就可以访问
            authc:必须认证了才能访问
            user:必须拥有 记住我功能才能用
            perms:拥有对某个资源的权限才能访问
            role:拥有某个角色权限才能访问
        */
        //添加shiro的内置过滤器 拦截
        Map<String, String> fiterMap = new LinkedHashMap<>();

        // 设置哪些路径授予哪些权限
        fiterMap.put("/user/add", "perms[user:add]");
        fiterMap.put("/user/update", "perms[user:update]");

        // /user/* 指的是路径 必须认证了才能访问
        fiterMap.put("/user/*", "authc");
        factoryBean.setFilterChainDefinitionMap(fiterMap);

        // 设置登录的请求
        factoryBean.setLoginUrl("/toLogin");

        // 跳转至未授权页面
        factoryBean.setUnauthorizedUrl("/unauthorize");
        return factoryBean;
    }

    //DefaultWebSecurityManager 2
    @Bean(name = "securityManager")
    public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm) {
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        // 关联userRealm
        securityManager.setRealm(userRealm);
        return securityManager;
    }

    //创建realm对象,需要自定义类 1
    @Bean
    public UserRealm userRealm(@Qualifier("credentialsMatcher") HashedCredentialsMatcher matcher) {
        UserRealm userRealm = new UserRealm();
        userRealm.setCredentialsMatcher(matcher);
        return userRealm;
    }

    // ShiroDialect 用来整合shiro和thymleaf
    @Bean
    public ShiroDialect getShiroDialect() {
        return new ShiroDialect();
    }


    /**
     * 替换当前 Realm 的 credentialsMatcher 属性.
     * 直接使用 HashedCredentialsMatcher 对象, 并设置加密算法即可.
     * 密码校验规则HashedCredentialsMatcher
     * 这个类是为了对密码进行编码的
     * 防止密码在数据库中明码表示,当然在登录认证的时候,
     * 这个类也负责对form里输入的密码进行编码
     * 处理认证匹配处理器
     */
    @Bean("credentialsMatcher")
    public HashedCredentialsMatcher credentialsMatcher() {
        HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
        //设置加密算法
        matcher.setHashAlgorithmName("MD5");
        //设置加密次数
        matcher.setHashIterations(1000);
        //是否存储为16进制
        //将setStoredCredentialsHexEncoded设置为true,则需要使用toHex()进行转换成字符串,默认使用的是toBase64()
        matcher.setStoredCredentialsHexEncoded(true);
        return matcher;
    }
}

重点加入什么,参见下面图片
在这里插入图片描述

3. 效果

分享视频啦啦啦啦啦啦

4. 总结:

最后总结一下Shiro的MD5加盐加密:
1)在doGetAuthenticationInfo方法返回值创建SimpleAuthenticationInfo对象的时候,需要使用
SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName)构造器。
2)使用ByteSource.Util.bytes()来计算盐值
3)盐值需要唯一,一般使用随机字符串或者userid
4)使用new SimpleHash(hashAlgorithmName,crdentials,salt,hashIterations)来进行MD5盐值加密,并且hashIterations一定要与HashedCredentialsMatcher设置的加密次数相同
参考:http://blog.csdn.net/acmman/article/details/78585662

༺鲸落༻
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Springboot学习-MD5盐值密码加密 DigestUtils 和 BCryptPasswordEncoder
NeverGiveUp
09-04 4760
Springboot学习-MD5盐值密码加密 DigestUtils和BCryptPasswordEncoder 使用场景:当需要从后端向数据库中存储密码类型的信息时,可以采取可逆加密或不可逆加密.
Springboot整合Shiro之加MD5加密的方法
08-26
主要介绍了Springboot整合Shiro之加MD5加密的方法,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
使用springboot整合shiro进行登录认证(md5+盐值+散列次数)
最新发布
qq_58341172的博客
04-13 280
由于我们使用的是jsp,需要引入相关的依赖(防止访问页面时,访问的是资源路径(访问后不解析,会直接下载文件))当点击安全退出按钮,默认返回的是login.jsp界面,再次输入index.jsp,也会跳到登陆界面。,不能使用@RestController,返回的是json/xml文件,不会进行解析;Spring MVC中内嵌9大成员,使用model可以将数据带到前端界面。
MD5+盐值
XiongChaiJun的博客
12-21 270
1. 盐值加密 import java.util.ArrayList; import java.util.List; import java.util.Random; public class StrUtils { /** * 把逗号分隔的字符串转换字符串数组 * * @param str * @return */ public static String[] splitStr2StrArr(Strin.
Springboot + Shiro——MD5 盐值加密(配置)
鹿谷門実的博客
04-09 2405
其实这里所说的,简单的说,就是一组安全随机数。它会在特定的时候,加入到密码中(一般来说是加密后的密码)。从而使密码变得更有味道(从单一简单化到复杂化),更安全。 如何做到? 1). 在 doGetAuthenticationInfo 方法返回值创建 SimpleAuthenticationInfo 对象的时候, 需要使用 SimpleAuthenticationInfo(principal,...
shiro 盐值加密
快乐的小三菊的博客
05-17 897
shiro 盐值加密
MD5盐值的java加密算法
张连海
07-27 2万+
现在的MD5密码数据库的数据量已经非常庞大了,大部分常用密码都可以通过MD5摘要反向查询到密码明文。为了防止内部人员(能够接触到数据库或者数据库备份文件的人员)和外部入侵者通过MD5反查密码明文,更好地保护用户的密码和个人帐户安全(一个用户可能会在多个系统中使用同样的密码,因此涉及到用户在其他网站和系统中的数据安全),需要对MD5摘要结果掺入其他信息,称之为加
springboot+shiro+md5
07-23
总的来说,这个项目展示了如何使用SpringBoot作为基础框架,结合Shiro进行用户身份验证和授权,并利用MD5加密技术来增强密码的安全性。这是一个典型的Web应用安全实践,对于学习和理解SpringBootShiro以及密码学的...
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录
06-19
SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 SpringBoot整合Shiro示例实现动态权限加载更新+Session共享+单点登录 ...
Springboot整合Shiro的代码实例
08-25
Springboot 整合 Shiro 的代码实例 Springboot 整合 Shiro 的代码实例是指在 Springboot 项目中集成 Shiro 框架来实现身份验证和授权管理的过程。Shiro 是一个功能强大且灵活的身份验证和授权框架,可以帮助开发者...
springboot整合shiro
03-30
**SpringBoot整合Shiro**是将流行的Java Web框架Spring Boot与安全管理框架Apache Shiro结合,以构建高效、安全的Web应用程序。Spring Boot以其简洁的配置和快速的开发体验深受开发者喜爱,而Shiro则提供了全面的...
MD5盐值加密
05-28
MD5加密,可以附带16位、19位、32位随机码做盐值
MD5加密实例(加)
02-09
一个MD5的实例,希望能对你们有用,能帮助到你们,
Spring boot登录项目,有验证码,MD5加密。还有简单的 增删改查,还有分页
10-24
这是我自己写的一个Spring boot项目的登录源码,里面登录用到了动态验证码,Mybatis 逆向生成工具,密码使用Base64加密前端,后端解密以后,再用MD5加密到数据库比对。还有资源页面的增删改查和页面分页:http:localhost:8888/ziyuan -这是分页和增删改查页面,登录页面:http:localhost:8888/login 。里面打包了sql文件,大家直接在mysql运行即可。压缩包解压以后,改一下数据库配置,就可以启动。
spring整合shiro系列(三)spring boot 整合 shiro
m0_37723564的博客
06-26 348
之前写了两篇有关shiro和spring的文章,结合目前java开发spring boot框架是大势,决定
SpringBooot MD5加密
qq_47805927的博客
04-21 235
String pwd = userInfo.getPassword(); //随机生成密码(字符) String str = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789"; Random random = new Random(); StringBuffer sb = new StringBuffer(); .
MD5&盐值加密BCryptPasswordEncoder的使用
qq_42604017的博客
08-04 2506
MD5&盐值加密
用Java实现MD5
热门推荐
kswkly的博客
06-03 2万+
1、是什么 一串随机数 2、为什么要加 只要明文相同,那么MD5加密后的密文就相同,于是攻击者就可以通过撞库的方式来破解出明文。加就是向明文中加入随机数,然后在生成MD5,这样一来即使明文相同,每次生成的MD5码也不同,如此就加大了暴力破解的难度。 3、java实现 package md5; import java.security.MessageDigest; import java.s...
MD5盐值加密实现登录和注册功能(前端和后端)
qq_35867862的博客
05-21 6243
为什么要用MD5加密? 当我们的数据库存储的都是明文密码时,一旦你的数据库被截取或破解,就会导致用户的信息暴露,我们采用MD5加密方式来降低这个风险,即使你的数据库被盗取了,攻击者也不会那么轻易就能得到账户和密码。 MD5信息摘要算法(英语:MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。MD5由美国密码学家罗纳德·李维斯特(Ronald Linn Rivest)设计,于1
springboot 整合 shiro
08-20
- *1* *2* *3* [SpringBoot整合Shiro(最详细)](https://blog.csdn.net/m0_67392273/article/details/125243717)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值