Shiro散列算法加凭证配置

最新推荐文章于 2021-03-08 21:04:15 发布
最新推荐文章于 2021-03-08 21:04:15 发布
阅读量172 收藏
点赞数
分类专栏: shiro 文章标签: shiro java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43735588/article/details/106303923
版权

1.加密简介

在真实开发中我们存在数据库的密码都是加密过的,不会存明文,shiro作为安全管理框架自然也考虑到了这个问题,提供了各种加密算法,其中最常用的就是MD5加密和SHA1加密。我在上一篇实现了自定义Realm的基础上在对密码进行加密。

2.MD5Utils工具类

package cn.hzu;

import org.apache.shiro.crypto.hash.Md5Hash;
import org.apache.shiro.crypto.hash.Sha1Hash;

public class MD5Utils {

    public static void main(String[] args) {
        String source="123456";
        Md5Hash hash1=new Md5Hash(source);
        System.out.println("使用MD5加密后的结果:"+hash1.toString());

        Md5Hash hash2=new Md5Hash(source, "张三");
        System.out.println("使用MD5加密并加盐后的结果:"+hash2.toString());
        Md5Hash hash3=new Md5Hash(source, "张三", 2);
        System.out.println("使用MD5加密加盐并散列两次后的结果:"+hash3.toString());
    }

    /**
     * 对密码加密 md5
     * @param source  要加密的明文
     * @param salt  盐
     * @param hashIterations  散列次数
     * @return
     */
    public static String md5(String source, Object salt, Integer hashIterations) {
        return new Md5Hash(source, salt, hashIterations).toString();
    }


    /**
     * 对密码加密sha1
     * @param source  要加密的明文
     * @param salt  盐
     * @param hashIterations  散列次数
     * @return
     */
    public static String sha1(String source, Object salt, Integer hashIterations) {
        return new Sha1Hash(source, salt, hashIterations).toString();
    }

}

3.修改UserServiceImpl

把模拟从数据库查出的密码改成密文,zhangsan的密码为123456加盐(张三)再散列两次形成。这里使用zhangsan这个用户做测试其他用户不改。

package cn.hzu.service.impl;

import cn.hzu.domain.User;
import cn.hzu.service.UserService;

public class UserServiceImpl implements UserService {


    @Override
    public User queryUserByUserName(String username) {
        //模擬查詢數據庫
        User user=null;
        switch(username){

            case "zhangsan": user=new User("zhangsna","654407ac2e454fe560337510aa6adb97");
                break;
            case "lisi": user=new User("zhangsna","123456");
                break;

        }
        return user;
    }

}

4.修改自定义Realm的认证方法

这里用创建的SimpleAuthenticationInfo对象用另一个构造方法带有4个参数的。前面我们将密码加了密还加盐散列了两次。这个构造方法就是把盐传过去而已,另外的散列次数和使用什么类型的加密算法要在其他地方配置。这里利用shiro的自带的工具类将字符串(盐)转成bytes数组。其他代码不变。

 ByteSource salt= ByteSource.Util.bytes("zhangsan");
 SimpleAuthenticationInfo info=new SimpleAuthenticationInfo(activerUser,user.getPassword(),salt,this.getName());

5.凭证配置

在这里我们要将我们用了什么加密算法和散列次数告诉shiro,shiro的认证器才能根据规则帮我们比对。这里一共有三种方式告诉shiro,原理都一样。
方式1.在自定义Realm里面声明
在自定义Realm的午餐构造函数加个配置

public MyRealm(){
        HashedCredentialsMatcher credentialsMatcher=new HashedCredentialsMatcher();
        //指定加密算法
        credentialsMatcher.setHashAlgorithmName("MD5");
        //指定散列次数
        credentialsMatcher.setHashIterations(2);
        setCredentialsMatcher(credentialsMatcher);
    }

方式2.在xxx.ini文件里面配置
这种方法个spring差不多,上一篇有提到过

[main]
#创建凭证匹配器
credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher
credentialsMatcher.hashAlgorithmName=md5
credentialsMatcher.hashIterations=2
#创建自定义realm
myRealm=cn.hzu.realm.MyRealm
#把当前对象给安全管理器(安全管理器在测试的时候创建)
securityManager.realms=$myRealm
myRealm.credentialsMatcher=$credentialsMatcher

方式3.在测试的时候在安全管理器设置

//        ============================================================
        // 3,创建UserRealm
        MyRealm realm = new MyRealm();
        //注入凭证匹配器
        HashedCredentialsMatcher credentialsMatcher=new HashedCredentialsMatcher();
        //指定加密 算法
        credentialsMatcher.setHashAlgorithmName("md5");
        //指定散列次数
        credentialsMatcher.setHashIterations(2);
        realm.setCredentialsMatcher(credentialsMatcher);
        //将realm注入SecurityManager
        securityManager.setRealm(realm);
//        ============================================================

总结:其实这三种方式的原理都一样,只是在不同的地方设置而已,在整合了spring会更加简单。下一篇测试整合spring。

weixin_43735588
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot整合shiro的步骤
weixin_42847626的博客
12-17 414
1.引入依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.1</version> </dependency> 2.在yml文件配...
shiro-1.8.0.zip
10-08
8. **shiro-crypto-hash-1.8.0.jar**:提供了散列Hashing)算法的实现,用于密码密、数据校验等场景。 9. **shiro-crypto-cipher-1.8.0.jar**:包含了对称和非对称算法的支持,如AES、RSA等,用于数据密...
shiro散列算法凭证配置
京北游戏官方
12-24 9204
1,散列算法概述 散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据,常见的散列算法如MD5、SHA等。一般进行散列时最好提供一个salt(盐),比如 密密码“admin”,产生的散列值是“21232f297a57a5a743894a0e4a801fc3”,可以到一 些md5 解密网站很容易的通过散列值得到密码“admin”,即如果直接对密码进行散列相 对来说破解更容易,此时我们可以一些只有系统知道的干扰数据,如用户名和ID(即盐); 这样散列的对象是“密码+用户名+ID
springboot整合shiro-对密码进行MD5并盐处理(十五)
这个名字想了很久
11-27 1万+
原文地址,转载请注明出处:&amp;nbsp;https://blog.csdn.net/qq_34021712/article/details/84571067&amp;nbsp;&amp;nbsp; &amp;nbsp;&amp;nbsp;©王赛超&amp;nbsp; 数据库中密码相关字段都不是明文,肯定是密之后的,传统方式一般是使用MD5密。 单纯使用不盐的MD5密方式,当两个用户的密码相同时,会发现数据库中存在相同内容的密码,这...
第五章 Shiro编码/
rrz634171的专栏
12-16 854
第五章 编码/密——《跟我学Shiro》 博客分类: 跟我学Shiro 跟我学Shiro    目录贴: 跟我学Shiro目录贴   在涉及到密码存储问题上,应该密/生成密码摘要存储,而不是存储明文密码。比如之前的600w csdn账号泄露对用户可能造成很大损失,因此应密/生成不可逆的摘要方式存储。   5.1 编码/解码  Shiro提供了base64和16
Shiro-密码的MD5
ankan7400的博客
01-07 259
1.密码的密   在数据表中存的密码不应该是123456,而应该是123456密之后的字符串,而且还要求这个算法是不可逆的,即由密后的字符串不能反推回来原来的密码,如果能反推回来那这个密是没有意义的。   著名的算法,比如 MD5,SHA1 2.MD5密   1). 如何把一个字符串密为MD5   2). 使用MD5算法后,前台用户输入的字符串如何使用M...
我的shiro源码.zip
10-09
4. **密(Cryptography)**:Shiro提供了丰富的密工具,如散列函数、密钥生成、算法等,用于保护敏感数据的安全。 在整合SSM框架的项目中,Shiro通常通过以下步骤进行配置: 1. **Shiro配置**:在Spring的...
Shiro安全管理框架
05-29
8. **Cryptography API**:Shiro提供了一系列的密API,包括密码散列、消息摘要、算法等,方便开发者处理敏感数据。 9. **Session集群**:在分布式环境中,Shiro可以与其他组件配合实现session的集群共享,如...
shiro安全框架
08-16
通过分析`shiro-shiro-root-1.4.0-RC1-release-vote1`这个压缩包文件,我们可以深入研究源代码,了解Shiro的具体实现细节,包括类结构、方法逻辑和配置方式。这对于理解Shiro的工作机制,以及如何根据项目需求进行...
MD5密工具类MD5Utils
凡是过往,皆为序章
04-04 2455
import java.math.BigInteger;import java.security.MessageDigest;import java.security.NoSuchAlgorithmException;public class MD5Utils { /** * 使用md5的算法进行密 */ public static String md5(String plainText) ...
Shiro整合SpringBoot实现登录认证
weixin_44048746的博客
01-31 231
这里写自定义目录标题Shiro整合SpringBootShiro以及SpringBoot环境配置mvaen环境配置实体类的创建User类的创建UserVo的创建解释一下VoUserVo代码块SpringBoot的配置application.properties中的配置application.yml中的配置配置合并Shiro配置ShiroConfig文件UserRealm.java文件Contro...
Apach Shiro MD5密码密过程(明文生成密码过程)详细解析
weixin_30632899的博客
08-24 431
前言: 最近再项目当中使用的ApachShiro安全框架,对于权限和服务器资源的保护都有一个很好的管理。前期主要参考的文章有 项目中设计密码的盐处理以及二次密问题,跟着断点 一步步揭开Apach Shiro 的神秘面纱 数据库: 这里我们就用最简单的admin + 123456(密前的密码) 来做测试 ShiroConfig 配置 /*...
哈希算法(Hash Algorithm)初探
热门推荐
Eric的博客
03-12 3万+
不约而同的,几乎所有的流行的hash map都采用了DJB hash function,俗称“Times33”算法。Perl、Berkeley DB 、Apache、MFC、STL 等等。times33的算法也很简单,就是不断的乘33。nHash = nHash*33 + *key++;我没找到什么理论可以说明这种算法的合理性,据说只是通过测试和实践发现这个算法是比较好的。如果有哪位能够提供这方面
Shiro入门(五)Shiro自定义Realm和算法
jwang的博客
05-11 2142
前言 本章讲解shiro自定义的realm和它的算法 方法 1.概念 通过前面的讲解,我已经带入了自定义Realm的相关概念。那么为什么要自定义realm呢?显而易见,我们在数据库中创建的users表和它的字段受限于shiro自己的jdbcRealm,所以通常情况下我们需要使用自己的表,跟着必须使用自定义realm。 再者,在用户表中,密码字段的值是一个敏感的存在。我们需...
ShiroHashedCredentialsMatcher 认证匹配
尽力而为
11-21 1万+
Shiro 提供了用于密密码和验证密码服务的 CredentialsMatcher 接口,而 HashedCredentialsMatcher 正是 CredentialsMatcher 的一个实现类。写项目的话,总归会用到用户密码的非对称密,目前主流的非对称密方式是 MD5 ,以及在 MD5 上的盐处理。而 HashedCredentialsMatcher 也允许我们指定自己的算法和盐。本文介绍 HashedCredentialsMatcher 的使用,以及对相关源码的进行解析,密方面知识略。
# SpringBoot整合shiro MD5盐值
weixin_43424751的博客
03-08 377
对明文密码进行密是当前软件项目安全必须做的一步,而shiro作为安全框架为密码密提供了多种配置方式。md5盐值密是其中一种密方式。 md5一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。 而盐值可以由开发者自行设定,这样大大降低了密码被破译的可能性。 1. 重写doGetAuthenticationInfo方法,编写密验证的逻辑代码 //密码密验证 //credentialsSalt: 盐值,这里我使用的是用户名,也可以
springboot整合shiro登录MD5密详细使用
weixin_45569664的博客
01-21 1557
2、shiro需要引用的jar包 @Configuration public class ShiroConfig { /** * 配置密方式 * @return */ @Bean //用来声明bean 相当于在spring配置文件中配置<bean>标签 HashedCredentialsMatcher credentia...
spring集成shiro实现登录认证自定义验证功能(认证采用国密SM4算法
爱喝浓咖啡
12-20 1871
公司在建项目采用的开发框架为spring+springMvc+hibernate,安全框架采用的是shiro安全认证沿用了shiro自带的HashedCredentialsMatcher,现客户(国企)要求用户密码必须采用国密SM4算法进行密,因此需对安全认证模块进行改造。 SM4JAVA版可参考:http://blog.csdn.net/lemon_tree12138/...
Apache Shiro解密spring配置文件value 示例
最新发布
05-30
以下是一个使用Apache Shiro解密Spring配置文件value的示例: 1. 引入Shiro和Jasypt的依赖 ```xml <groupId>org.apache.shiro <artifactId>shiro-core <version>1.5.3 <groupId>org.jasypt ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值