shiro登陆时密码加盐哈希实现和简单原理

最新推荐文章于 2022-08-26 20:33:08 发布
最新推荐文章于 2022-08-26 20:33:08 发布
阅读量895 收藏 1
点赞数 1
分类专栏: java shiro spring boot 文章标签: java shiro 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wy862740672/article/details/109818314
版权
spring boot 同时被 3 个专栏收录
6 篇文章 0 订阅
订阅专栏
java
5 篇文章 0 订阅
订阅专栏
shiro
1 篇文章 0 订阅
订阅专栏

shiro登陆时密码加盐哈希实现

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wy862740672/article/details/109818314

实现

废话不多说,开搞。此篇采用SHA-256哈希算法,采用其他算法只需要更改算法名字段。

1.在shiro配置中添加对于HashedCredentialsMatcher的配置

在这里插入图片描述

	@Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        //1.选择哈希方式
        hashedCredentialsMatcher.setHashAlgorithmName("SHA-256");
        //2.选择哈希次数
        hashedCredentialsMatcher.setHashIterations(1);
        return hashedCredentialsMatcher;
    }
2.在自定义的Realm文件中重写构造函数

在这里插入图片描述

	public CustomRealm(@Autowired HashedCredentialsMatcher matcher) {
        super.setCredentialsMatcher(matcher);
	}
3.在自定义Realm文件中重写doGetAuthenticationInfo方法

在这里插入图片描述

	@Override
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken token) throws AuthenticationException {
        //1.把AuthenticationToken转换为UsernamePasswordToken
        UsernamePasswordToken userToken = (UsernamePasswordToken) token;
        //2.从UsernamePasswordToken中获取username
        String username = userToken.getUsername();
        //3.从数据库读取信息
        UserEntity user = userService.findByUsername(username);
        if (user == null) {
            //用户名错误
            throw new UnknownAccountException();
        }
        String principal = user.getUsername();
        String credentials = user.getPassword();
        //4.设置id为盐值
        ByteSource credentialsSalt = ByteSource.Util.bytes(user.getId().toString());

        return new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, getName());
    }

new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, getName())中的参数分别对应身份识别的元素,从数据库中取得的加盐密码哈希值,进行相应哈希散列的盐值和Realm的名字

4.登录验证

在这里插入图片描述

Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(username, password);
subject.login(token);

简单原理

shiro登陆时需要注册一个token,然后Realm中会提交一个info,就是上面的SimpleAuthenticationInfo,SimpleAuthenticationInfo根据参数的不同分为加盐哈希和不处理,分别对应上面配置过的HashedCredentialsMatcher和他的父类SimpleCredentialsMatcher
在这里插入图片描述
shiro会将cm赋值为我们上面配置过的HashedCredentialsMatcher
然后调用HashedCredentialsMatcher中的doCredentialsMatch方法
在这里插入图片描述
hashProvidedCredentials会根据一开始token中传入的password明文(相对于后端而言的明文,因为前端传来的值可能已经经过了哈希运算),和info中保存的salt盐值进行哈希计算,使用的算法就是之前的Bean中配置的算法。
最后通过判断经过哈希计算的token里的password值和info中保存的密码哈希值进行比较来判断登陆是否成功

ignoHH
关注
专栏目录
系统登录的密码加盐和动态加盐
Phoenix_smf的博客
04-24 5256
关于系统登录,在上大学的候就是简单的用户名密码存储到数据库进行匹配,当然这是最基本的登录,但是实际的应用系统中这是非常不安全的,账户密码不论是在数据库中存储还是在网上传输过程中都应该是密文而不能是明文,一般都是采用MD5或者SHA加密算法把密码加密,但是这也是不安全的,因为现在网上对于这些流行的加密算法都有密码库,他可以利用库去对比加密后的密文从而反向推出你的密码,网上也有各种在线MD5加密解密...
shiro盐加密.7z
10-30
在这个名为"shiro盐加密.7z"的项目中,开发者分享了一个完整的示例,其中包含了使用Shiro进行用户登录密码盐加密以及权限认证的实现。 首先,让我们来理解一下什么是盐加密。在密码存储中,盐(Salt)是一种增加...
Shiro 重放攻击登录验证(密码加密加盐
Charge8的博客
04-19 1915
1、加盐简单来说就是一组安全随机数。它在特定的候,加入到密码中(一般来说是加密后的密码)。从而使密码变得更有味道(从单一简单化到复杂化),更安全。 2、对密码进行加密 盐值是一个随机数。当用户注册一个简单密码,系统会同生成这样一个salt,与该用户对应,保存到数据库中。 加密操作步骤: (1)注册、修改密码,前台将 888888加密后的pwd1...
加盐哈希
Debug_zhang的博客
03-15 1195
总的来说,就是在server端,用函数生成一个随机的盐值,将其和密码连起来,用加密算法加密,然后将加密后的密码和盐值都存入到数据库中。。当客户端登陆候,根据用户名从数据库中先取出盐值,对用户输入的密码进行加盐哈希,然后与数据库中的密码进行对比。。。 如果为了更高的安全性,页可以再前端用js先对密码进行加密,也可以采用加盐哈希原理就是可以用用户名和密码连起来进行加密,虽然在前端进行了加盐哈希
shiro笔记之----SimpleAuthenticationInfo 验证password
hubeilihao的专栏
05-28 8181
公司项目中用的是shiro做安全认证框架,从代码中看到了判断验证码的,也看到了判断用户名是否存在的,就是没有发现判断密码是否正确的,后从网上文章以及查看源码才大概了解shiro对于密码验证的流程。 自定义的shiroRealm public class ShiroRealm extends AuthorizingRealm { @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
Shiro权限管理】10.Shiro密码加盐
热门推荐
程序猿之洞
11-20 3万+
上一篇我们提到了使用Shiro密码进行MD5加密,这次来说一下密码加盐的问题。 当两个用户的密码相同,单纯使用不加盐的MD5加密方式,会发现数据库中存在相同结构的密码, 这样也是不安全的。我们希望即便是两个人的原始密码一样,加密后的结果也不一样。 如何做到呢?其实就好像炒菜一样,两道一样的鱼香肉丝,加的盐不一样,炒出来的味道就不一样。 MD5加密也是一样,需要进行盐值加密。 在之
使用Shiro进行密码加密和安全存储
它为开发人员提供了丰富的身份认证、授权、密码加密和安全存储功能,大大简化了应用程序的安全性实现。 ## 1.2 Shiro密码加密和安全存储功能概述 密码加密和安全存储是任何应用程序中非常重要且必不可少的一部分...
Shiro密码加密与密码策略
它提供了易于理解和使用的API和组件,可在任何类型的应用程序中实现安全性。 ### 1.2 Shiro安全特性和功能 Shiro框架提供了以下主要安全特性和功能: - 身份验证:Shiro可以验证用户的身份,并确保用户是可信任的...
Shiro密码加密与解密:保护用户密码安全
### 1.1 什么是Shiro密码加密与解密 Shiro密码加密与解密是Apache Shiro框架中提供的一种密码保护的机制。在系统开发中,用户的密码安全至关重要,因此对密码进行加密和解密是保障用户数据安全的重要一环。 ### ...
安全框架shiro密码加密与安全存储
因此,对用户密码进行加密和安全存储至关重要,以防止密码被恶意获取和利用。 ## Shiro框架基础 Shiro是一个强大且灵活的开源安全框架,提供了身份验证、授权、加密、会话管理等安全功能。它可以轻松地集成到任何...
Shiro认证--盐加密(SSM)
weixin_67450855的博客
08-26 1522
shiro认证 MD5盐加密
shiro简单密码加盐与登录验证
wogoshu1的博客
07-27 2538
一、pom.xml配置 首先导入依赖,从guns项目的pom.xml中拽出并把版本号替换成1.3.2 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.3.2</versi...
shiro认证-SSM
hao_dream_xi的博客
10-13 181
Shiro认证 Pom依赖: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.3.2</version> </dependency> ...
shiro使用(密码加密以及加盐,附:加盐或者加密之后认证不通过的靠谱解决方案)
特别享受思考问题的过程
04-20 4539
既然要做,就做的细致一点,对得起自己! 一个应用最基本的职责就应该保护用户信息的安全,至于为什么登录密码或者相关的密码要加密,不再赘述。 前台新增用户,用户设置登录名和密码shiro对用户输入的密码进行加密处理,由于最近在搞Springboot,所以以后shiro相关的配置都会以在springboot中的形式展示。 常见问题:1.如果在加密,发现数据库里的密码还是没有加密成功,还是明文...
Shiro 框架进阶(四) ----------加盐加密
qq_42112846的博客
08-03 762
                                                       Shiro 框架进阶(四)                                                                                                            ----------加盐加密     在...
shiro 加密加盐
weixin_39450681的博客
06-04 555
出处:http://blog.csdn.net/acmman/article/details/78585662controller 层 @RequestMapping("/login.action") @ResponseBody public Map&lt;String, Object&gt; login(DicUser dicUser, String validateCode, HttpS...
Shiro密码加密 盐值加密
WormholeStack
05-20 5891
1.为什么要盐值加密 对于同一密码,同一加密算法会产生相同的hash值。这样,当用户进行身份验证,对用户输入的明文密码应用相同的hash加密算法,得出一个hash值,然后使用该hash值和之前存储好的密文值进行对照,如果两个值相同,则密码认证成功,否则密码认证失败。出于更安全的考虑,即使两个用户输入的是相同的密码,也应该要保存为不同的密文,即使用户输入的是弱密码,也需要考虑进行增强,从而增加密码被攻破的难度。因此出现了加盐加密。 那么盐值加密是怎么加密的呢,用下面的图来解释: 加密过程(用户注册) 也就
shiro注册登录流程(如何加密加盐)+配置多个Ream+密码加密验证底层分析+Remember使用+不同密码比对器原理(二)
weixin_43189971的博客
07-08 1999
1.shiro注册登录流程(如何加密加盐)+ 2.配置多个Ream 3.密码加密验证底层分析 4.Remember使用 5.不同密码比对器原理
Python项目-Day26-数据加密-hash加盐加密-token-jwt
qq_37892223的博客
08-15 1172
Python项目-Day26-数据加密-hash加盐加密-token-jwt 数据加密 import hashlib pwd='a123456' #sha1的参数必须是二进制 temp=hashlib.sha1(pwd.encode()) print(temp.hexdigest()) hash加盐加密 导入加密函数 from werkzeug.security import ge...
shiro实现密码登录
最新发布
10-28
在使用Shiro实现密码登录,可以自定义一个Token,继承自UsernamePasswordToken,并添加一个标识符表明是否免密登录。在这个Token中,可以添加一个LoginType属性,用于标识登录类型,包括PASSWORD(密码登录)和...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值