shiro登陆时密码加盐哈希实现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wy862740672/article/details/109818314
实现
废话不多说,开搞。此篇采用SHA-256哈希算法,采用其他算法只需要更改算法名字段。
1.在shiro配置中添加对于HashedCredentialsMatcher的配置
@Bean
public HashedCredentialsMatcher hashedCredentialsMatcher(){
HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
//1.选择哈希方式
hashedCredentialsMatcher.setHashAlgorithmName("SHA-256");
//2.选择哈希次数
hashedCredentialsMatcher.setHashIterations(1);
return hashedCredentialsMatcher;
}
2.在自定义的Realm文件中重写构造函数
public CustomRealm(@Autowired HashedCredentialsMatcher matcher) {
super.setCredentialsMatcher(matcher);
}
3.在自定义Realm文件中重写doGetAuthenticationInfo方法
@Override
protected AuthenticationInfo doGetAuthenticationInfo(
AuthenticationToken token) throws AuthenticationException {
//1.把AuthenticationToken转换为UsernamePasswordToken
UsernamePasswordToken userToken = (UsernamePasswordToken) token;
//2.从UsernamePasswordToken中获取username
String username = userToken.getUsername();
//3.从数据库读取信息
UserEntity user = userService.findByUsername(username);
if (user == null) {
//用户名错误
throw new UnknownAccountException();
}
String principal = user.getUsername();
String credentials = user.getPassword();
//4.设置id为盐值
ByteSource credentialsSalt = ByteSource.Util.bytes(user.getId().toString());
return new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, getName());
}
new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, getName())中的参数分别对应身份识别的元素,从数据库中取得的加盐密码哈希值,进行相应哈希散列的盐值和Realm的名字
4.登录验证
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
subject.login(token);
简单原理
shiro登陆时需要注册一个token,然后Realm中会提交一个info,就是上面的SimpleAuthenticationInfo,SimpleAuthenticationInfo根据参数的不同分为加盐哈希和不处理,分别对应上面配置过的HashedCredentialsMatcher和他的父类SimpleCredentialsMatcher
shiro会将cm赋值为我们上面配置过的HashedCredentialsMatcher
然后调用HashedCredentialsMatcher中的doCredentialsMatch方法
hashProvidedCredentials会根据一开始token中传入的password明文(相对于后端而言的明文,因为前端传来的值可能已经经过了哈希运算),和info中保存的salt盐值进行哈希计算,使用的算法就是之前的Bean中配置的算法。
最后通过判断经过哈希计算的token里的password值和info中保存的密码哈希值进行比较来判断登陆是否成功