密码加密
在上面的密码比对中,都是使用明文来比对。
而通常来说,被存储起来的用户密码通常都是加密后的。也就是说,在使用SimpleAuthenticationInfo返回的认证信息时候,里面的密码信息是被加密过的,如果我们直接拿用户提交的明文密码匹配的话就会匹配失败,所以我们应该还需要告诉Shiro使用什么加密方式来进行密码比较。
在Shiro中,使用credentialsMatcher来解决这个问题。
算法加密
在配置realm的时候,可以定义一个credentialsMatcher属性,例如:
复制代码
<bean id="jdbcRealm" class="com.progor.realms.MyRealm">
<property name="credentialsMatcher">
<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
<!--定义加密的算法-->
<property name="hashAlgorithmName" value="MD5"></property>
</bean>
</property>
</bean>
多重加密
密码加密一次后可以得到一串hash值,但还可以进行多次加密来提高安全性。
复制代码
<bean id="jdbcRealm" class="com.progor.realms.MyRealm">
<property name="credentialsMatcher">
<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
<!--定义加密的算法-->
<property name="hashAlgorithmName" value="MD5"></property>
<!--定义加密的次数-->
<property name="hashIterations" value="1024"></property>
</bean>
</property>
</bean>
盐值加密
除了多重加密,还可以加入一个”盐值“来进行加密。一个人的名字可能是会重复的,但如果带上他的身份证的话,那么这个人就是特定唯一的。密码也是如此,直接将密码进行加密可能还是比较容易分析出来的(网上有一些md5的密码库,常见的加密结果很容易查找出来),但如果加入一个具有比较罕见的参数来进行加密的话,那么得到的结果就会难以解析了。
盐值由于不是每一个加密都是一样的,所以不能在realm中设置,需要在返回AuthenticationInfo时带上,这样securityManager就会对提交的明文密码依据加密算法、加密次数和盐值来进行加密后再与AuthenticationInfo中的密码进行比对。
复制代码
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
System.out.println("RealmForDouble认证中---->用户:"+token.getPrincipal());
UsernamePasswordToken upToken = (UsernamePasswordToken) token;
String password="e10adc3949ba59abbe56e057f20f883e";// md5(123456)
String salt = "lilei";//假设这个盐值是从数据库中查出的
ByteSource credentialsSalt = ByteSource.Util.bytes(salt);
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(upToken.getUsername(),password,credentialsSalt,this.getName());
return info;
}
680
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
