【Shiro 自学笔记二】自定义 Realm 实现 MD5 加密、加盐与再散列

最新推荐文章于 2022-08-08 18:23:05 发布
最新推荐文章于 2022-08-08 18:23:05 发布
阅读量367 收藏 1
点赞数 1
分类专栏: java 文章标签: shiro java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45901207/article/details/107552242
版权

文章目录

上一期我们完成了基本的登录操作,然而,直接通过明文密码登录显然是非常不安全的。因此,我们必须对密码进行加密以加强信息的安全性。

什么是MD5

MD5信息摘要算法(英语:MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。MD5由美国密码学家罗纳德·李维斯特(Ronald Linn Rivest)设计,于1992年公开,用以取代MD4算法。这套算法的程序在 RFC 1321 标准中被加以规范。1996年后该算法被证实存在弱点,可以被加以破解,对于需要高度安全性的数据,专家一般建议改用其他算法,如SHA-2。2004年,证实MD5算法无法防止碰撞(collision),因此不适用于安全性认证,如SSL公开密钥认证或是数字签名等用途。

—— 摘自百度百科

MD5 具有以下特点:

  • 不可逆 我们无法通过生成的 MD5 逆推得到原来的数据串
  • 一致性 固定的数据串经过固定的算法得到的 MD5 也是固定的

根据以上特点,我们就可以使用 MD5 实现密码的加密和安全登录。

加盐

“加盐”即为计算机密码加密中常用的"add salt",一般用于在原密码后面追加一些无关字符后在进行不可逆加密(例如MD5)以便增强安全性

现在有很多 MD5 在线解密的网站,它们其实是使用穷举算法,根据原字符串生成的 MD5 逐个比对,从而通过MD5 得到原先的数据串。

因此我们有必要在加密前,先对数据串做一些修改。例如,在数据串的结尾增加一串新内容,这便是加盐。

原串:“123456”

盐:“Koorye_Love_MD5”

加盐后的串:“123456Koorye_Love_MD5”

我们对加盐后的串再加密,得到的结果便更难被破解。

散列

Hash,一般翻译做散列、杂凑,或音译为哈希,是把任意长度的输入(又叫做预映射pre-image)通过散列算法变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,所以不可能从散列值来确定唯一的输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。

散列实际上是通过 Hash 函数,将原串的值通过 Hash 函数做一次映射,从而得到一个新串。由于散列很难找到逆向规律,这种算法同样可以增加密文的复杂性。

举例:

现定义一种哈希函数,将字符 ‘a’ 映射到 ‘b’,‘b’ 映射到 ‘d’,‘c’ 映射到 ‘f’ (第几个字母就向后推几位,如果超出 ‘z’ 就向前推 26 位)…

那么,对原串 ‘acfbg’ 散列,得到的结果是 ‘bfldn’.

对 ‘bfldn’ 再进行一次散列,得到的结果是 ‘dlxhb’.

这种算法很难找到逆向规律,例如 ‘b’ 可能由 ‘a’ 得到,也可能由 ‘n’ 得到。

我们在 MD5 加密后进行散列时,通常会进行 1024 次或 2048 次,这使得原串很难被破解。

Shiro 实现 MD5 加密

基本 MD5 加密

Shiro 为我们提供了 MD5 的加密算法,我们只需使用 Md5Hash 类即可实现:

  public static void main(String[] args) {
    Md5Hash md5Hash = new Md5Hash("123456");
    System.out.println(md5Hash.toHex());
  }

运行:

e10adc3949ba59abbe56e057f20f883e

Process finished with exit code 0

加盐与散列

加盐和散列也非常简单,只需在构造函数中添加即可。

Md5Hash 的构造函数:

  • 第一个参数 source 字符串型 表示源
  • 第二个参数 salt 字符串型 表示盐,默认加到源尾部
  • 第三个参数 hashIterations 整型 表示散列次数
  public static void main(String[] args) {
    Md5Hash md5Hash = new Md5Hash("123456", "Koorye_Love_MD5", 1024);
    System.out.println(md5Hash.toHex());
  }

运行:

e9261b98c415bee7eaf191f89bee80c9

Process finished with exit code 0

注意加盐和散列后得到结果与不加盐不散列的结果是不同的。

自定义 Realm 实现登录验证

我们自定义的 Realm 类一般都要继承一个名为 AuthorizingRealm 的类,这个类需要我们重写两个方法:

  • doGetAuthorizationInfo 认证
  • doGetAuthenticationInfo 登录验证

我们暂时先不管认证方法。

Shiro 的登录验证分为两步,用户名验证和密码验证。用户名验证需要我们自行判断,而密码验证 Shiro 为我们封装好了一个 SimpleAuthenticationInfo 类帮助我们自动完成。

我们先从明文登录开始。

首先通过 authenticationToken.getPrincipal() 拿到 token 的用户名,如果用户名不存在,返回 null。

如果用户名存在,返回 SimpleAuthenticationInfo 以验证密码,这个类需要三个参数:

  • 第一个参数 Principal Object类型 用户名
  • 第二个参数 Credentials 字符串类型 证书,此处使用密码
  • 第三个参数 RealmName 字符串类型 Realm 的名字,使用 this.getName() 即可
package org.koorye.helloshiro;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;

public class UserRealm extends AuthorizingRealm {
  protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    return null;
  }

  protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
    if ("koorye".equals(authenticationToken.getPrincipal())) {  // 用户存在
      return new SimpleAuthenticationInfo(authenticationToken.getPrincipal(),
          "123456",  // 自动判断密码匹配
          this.getName());
    } else {
      return null;  // 用户不存在
    }
  }
}

编写一个测试类:

  @Test
  public void testLogin() {
    DefaultSecurityManager manager = new DefaultSecurityManager();
    manager.setRealm(new UserRealm());
    SecurityUtils.setSecurityManager(manager);
    Subject subject = SecurityUtils.getSubject();

    UsernamePasswordToken token = new UsernamePasswordToken("koorye", "123456");
    try {
      subject.login(token);
      System.out.println("登录成功");
    } catch (UnknownAccountException e) {
      e.printStackTrace();
      System.out.println("用户名不存在");
    } catch (AuthenticationException e) {
      e.printStackTrace();
      System.out.println("密码错误");
    }
  }

运行:

登录成功

Process finished with exit code 0

自定义 Realm 实现 MD5 加密

首先我们来定义一个 MD5 加密算法,因为,我们必须在验证时用一样的算法,才可以验证成功。

定义的算法:加盐 “Koorye_Love_MD5”,1024 次散列。

编写一个测试类查看结果:

  @Test
  public void showMd5() {
    Md5Hash md5Hash = new Md5Hash("123456", "Koorye_Love_MD5", 1024);
    System.out.println(md5Hash.toHex());
  }

运行:

e9261b98c415bee7eaf191f89bee80c9

Process finished with exit code 0

如果要使用数据库,我们在数据库中存储的就是密码经过 MD5 加密后的串。

不过我们这里没有用到数据库,于是我们将加密后的串作为证书:

return new SimpleAuthenticationInfo(authenticationToken.getPrincipal(),
    "e9261b98c415bee7eaf191f89bee80c9",
    this.getName());

接下来,我们需要在 Realm 中说明加密算法的过程。

声明加密算法

在声明 Realm 时说明加密算法是 MD5:

先声明一个 HashedCredentialsMatcher,然后用 matcher.setHashAlgorithmName("md5") 说明方法是 MD5.

再声明一个 Realm,使用userRealm.setCredentialsMatcher(matcher) 设置加密方法。

最后将 Realm 添加到 SecurityManager 中。

修改后的代码:

  @Test
  public void testLogin() {
    DefaultSecurityManager manager = new DefaultSecurityManager();

    HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
    matcher.setHashAlgorithmName("md5");

    UserRealm userRealm = new UserRealm();
    userRealm.setCredentialsMatcher(matcher);

    manager.setRealm(userRealm);
    SecurityUtils.setSecurityManager(manager);
    Subject subject = SecurityUtils.getSubject();

    UsernamePasswordToken token = new UsernamePasswordToken("koorye", "123456");
    try {
      subject.login(token);
      System.out.println("登录成功");
    } catch (UnknownAccountException e) {
      e.printStackTrace();
      System.out.println("用户名不存在");
    } catch (AuthenticationException e) {
      e.printStackTrace();
      System.out.println("密码错误");
    }
  }

声明加盐和散列

我们需要使用 SimpleAuthenticationInfo 的另一种构造方法,这个方法的第三个参数使用 ByteSource.Util.bytes() 传入盐:

      return new SimpleAuthenticationInfo(authenticationToken.getPrincipal(),
          "e9261b98c415bee7eaf191f89bee80c9",
          ByteSource.Util.bytes("Koorye_Love_MD5"),
          this.getName());

至于散列的声明,则要与加密算法的声明同时进行:

HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
    matcher.setHashAlgorithmName("md5");
    matcher.setHashIterations(1024);

修改后的 Realm:

package org.koorye.helloshiro;

import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;

public class UserRealm extends AuthorizingRealm {
  protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
    return null;
  }

  protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
    if ("koorye".equals(authenticationToken.getPrincipal())) {  // 用户存在
      return new SimpleAuthenticationInfo(authenticationToken.getPrincipal(),
          "e9261b98c415bee7eaf191f89bee80c9",
          ByteSource.Util.bytes("Koorye_Love_MD5"),
          this.getName());
    } else {
      return null;  // 用户不存在
    }
  }
}

修改后的 Test:

package org.koorye.test;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.crypto.hash.Md5Hash;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;
import org.junit.Test;
import org.koorye.helloshiro.UserRealm;

public class TestShiro {
  @Test
  public void showMd5() {
    Md5Hash md5Hash = new Md5Hash("123456", "Koorye_Love_MD5", 1024);
    System.out.println(md5Hash.toHex());
  }

  @Test
  public void testLogin() {
    DefaultSecurityManager manager = new DefaultSecurityManager();

    HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
    matcher.setHashAlgorithmName("md5");
    matcher.setHashIterations(1024);

    UserRealm userRealm = new UserRealm();
    userRealm.setCredentialsMatcher(matcher);

    manager.setRealm(userRealm);
    SecurityUtils.setSecurityManager(manager);
    Subject subject = SecurityUtils.getSubject();

    UsernamePasswordToken token = new UsernamePasswordToken("koorye", "123456");
    try {
      subject.login(token);
      System.out.println("登录成功");
    } catch (UnknownAccountException e) {
      e.printStackTrace();
      System.out.println("用户名不存在");
    } catch (AuthenticationException e) {
      e.printStackTrace();
      System.out.println("密码错误");
    }
  }
}

运行:

登录成功

Process finished with exit code 0

测试成功!

Koorye
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
用于测试shiro自定义Realm的测试代码
04-05
这个程序是eclipse编写的,学习shiro框架,入门的,用于测试自定义Realm的小例子,仅仅用于学习,不得用于商业用途
shiro权限框架自定义Realm示例
09-10
shiro权限框架自定义Realm示例
shiro web自定义Realm
02-01
这里是shiro在web应用自定义Realm的代码,以便做一个参考
Spring配置shiro自定义Realm属性无法使用注解注入的解决办法
08-26
今天小编就为大家分享一篇关于Spring配置shiro自定义Realm属性无法使用注解注入的解决办法,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
Shiro 之 HashedCredentialsMatcher 认证匹配
热门推荐
尽力而为
11-21 1万+
Shiro 提供了用于加密密码和验证密码服务的 CredentialsMatcher 接口,而 HashedCredentialsMatcher 正是 CredentialsMatcher 的一个实现类。写项目的话,总归会用到用户密码的非对称加密,目前主流的非对称加密方式是 MD5 ,以及在 MD5 上的加盐处理。而 HashedCredentialsMatcher 也允许我们指定自己的算法和盐。本文介绍 HashedCredentialsMatcher 的使用,以及对相关源码的进行解析,加密方面知识略。
# SpringBoot整合shiro MD5盐值加密
weixin_43424751的博客
03-08 375
对明文密码进行加密是当前软件项目安全必须做的一步,而shiro作为安全框架为密码加密提供了多种配置方式。md5盐值加密是其一种加密方式。 md5一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。 而盐值可以由开发者自行设定,这样大大降低了密码被破译的可能性。 1. 重写doGetAuthenticationInfo方法,编写加密验证的逻辑代码 //密码加密验证 //credentialsSalt: 盐值,这里我使用的是用户名,也可以
shiro(三)——认证、MD5加密、多Realm验证
Back_Light_F的博客
08-09 292
代码接着之前文章的进行。 首先表单页面:包含用户名密码:只是为了实现功能,就不细究页面的美观了。。 <form action="shiro/login" method="POST"> username:<input type="text" name="username"/> <br><br> passwor
shiro学习笔记
xingchenyv的博客
04-29 284
一、权限的管理 1.1 什么是权限管理 基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。 权限管理包括用户身份认证和授权两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。 1.2 什么是身份认证 身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其
shiro安全框架、MD5加密自定义realm
m0_58212960的博客
08-08 337
Shiro是一个功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理。使用Shiro易于理解的API,您可以快速轻松地保护任何应用程序—从最小的移动应用程序到最大的web和企业应用程序...
学习Spring Boot:(十四)spring-shiro的密码加密
追光者的博客
05-06 6080
前言 前面配置了怎么使用 shiro ,这次研究下怎么使用spring shiro的密码加密,并且需要在新增、更新用户的时候,实现生成盐,加密后的密码进行入库操作。 正文 配置凭证匹配器 @Bean public HashedCredentialsMatcher hashedCredentialsMatcher() { HashedCredent...
Springboot整合Shiro加盐MD5加密的方法
08-26
主要介绍了Springboot整合Shiro加盐MD5加密的方法,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
java实现Md5加盐加密算法
10-26
对接接口时用到的一种常用加密算法,常用于验证签名,使用shiro-all-1.4.1.jar,可自行下载
springboot与shiro密码加密,mybatis,redis的整合项目
04-02
后台在通过shiro进行授权和认证,分为普通用户和管理员两种角色,普通用户只能访问商品,管理员可以访问商品和用户界面的基础上加入了密码加密。登录时利用了redis缓存。里面包含数据库文件希望能帮助到大家学习。
SpringBoot Shiro配置自定义密码加密器代码实例
08-19
主要介绍了SpringBoot Shiro配置自定义密码加密器代码实例,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
MD5加盐源码理解
qq_36325332的博客
04-07 3076
1.shiro主要的类 简单看一下即可,shiro是一个安全验证框架,相对Spring security使用更为简单。本篇文章使用的的md5加密加盐是基于shiro框架。 复制代码 主要功能:认证,授权,加密,会话管理等 2.MD5加盐 所谓加盐:如果直接通过md5进行加密,如果别人知道你的密码散列值,通过查找散列值字典,就可以破译密码。而“加盐”,是当用户注册的时候提供密码,然后由系统里往密码加盐,然后再散列加密。这个盐的值是系统随机生成,只有系统知道,这样,即使两个用户注册时使用了.
Shiro——权限验证框架基本认识
武汉小喽啰
03-08 535
1. 简介 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能: 1)认证(Authentication):用户身份识别,常被称为用户“登录”,判断用户是否登陆,如果未登陆,则拦截其请求 2)授权(Authorization):访问控制。当用户登陆后,判断其身份是否有权限访问相应的资源,如果没有权限则拦截 3)密码加密(Cryptography):保...
shiro框架使用SimpleHash加盐进行密码加密的过程
可行的code
08-19 1万+
本次写的内容不是shiro框架怎么计算hash值的,仅仅是进行使用、 首先声明,本次的加盐加密方法是不可逆的。 首先引入包。 import org.apache.shiro.crypto.hash.SimpleHash; import org.apache.shiro.util.ByteSource; 第一个为shiro的简单哈希的类, 第个为shiro的获取字节数组的类。 ...
06【掌握】散列算法+凭证配置
qq_1595986877
11-03 228
一、散列算法 散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据,常见的散列算法有MD5,SHA等。一般进行散列时最好提供一个salt(盐),比如 使用MD5加密后的结果:e10adc3949ba59abbe56e057f20f883e 使用MD5加密加盐后的结果:19a45a53e8924a742f77183b8878a5fb 使用MD5加密加盐散列两次后的结果:b4f48723743cc5bfa7c1716296703ce1 简单的可以破解出来https://cm
关于权限框架shiro
qq_44969215的博客
02-20 194
介绍 1、Apache ShiroJava 的一个安全框架。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的 Shiro 就足够了。 2、Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓
生成一个shiro自定义Realm的代码
最新发布
03-31
以下是一个简单的Shiro自定义Realm代码示例: ``` import org.apache.shiro.authc.*; import org.apache.shiro.realm.*; public class MyRealm extends AuthorizingRealm { @Override protected ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值