shiro配置盐值加密

最新推荐文章于 2023-04-12 17:19:54 发布
最新推荐文章于 2023-04-12 17:19:54 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: shiro 文章标签: shiro java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yy971733014/article/details/117857163
版权

shiro配置盐值加密

一:在shiro配置文件ShiroConfig.java中配置密码凭证匹配器

	/**
     * 密码凭证匹配器,作为自定义认证的基础
     * @return
     */
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher() {
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
        hashedCredentialsMatcher.setHashAlgorithmName("MD5");//散列算法:这里使用MD5算法
        hashedCredentialsMatcher.setHashIterations(10);//散列的次数
        return hashedCredentialsMatcher;
    }

二:将密码凭证匹配器注入我们的realm中

在shiro配置文件ShiroConfig.java中:

/***
     * 注入我们自定义的realm
     * @return
     */
    @Bean
    public MyRealm myRealm() {
        MyRealm myRealm = new MyRealm();
        //将密码凭证匹配器注入自定义的Realm
        myRealm.setCredentialsMatcher(hashedCredentialsMatcher());
        return myRealm;
    }

三:传参添加盐值

在自定义MyRealm的认证方法中,最后一句第三个参数传入盐值:

在这里插入图片描述

四:测试

1.先根据密码生成加密后的密码,可以通过下面的工具类来生成:

import org.apache.shiro.crypto.hash.Md5Hash;
import org.apache.shiro.crypto.hash.SimpleHash;
import org.apache.shiro.util.ByteSource;
/**
 * md5加密工具类
 */
public class MD5Util {
    // 散列次数
    private static final int HASHITERATIONS = 10;//觉得3次不够,就增加次数
    // 内置salt
    private static final String PUBLIC_SALT = "quyi";//随机生成的UUID当做公盐使用

    /**
     * @param source 要用公共盐加密的字符串
     * @return 用共盐加密的密码
     */
    private static String md5_public_salt(String source) {
        return new Md5Hash(source, PUBLIC_SALT, HASHITERATIONS).toString();
    }

    /**
     * @param source 原始密码
     * @param salt   传入的私盐
     * @return 二次加密后的密码
     */
    public static String md5_private_salt(String source, String salt) {
        //再对加密的后密文用私盐加密一次
        return new Md5Hash(md5_public_salt(source), salt, HASHITERATIONS).toString();
    }

    //调用方法生成密码打印出来
    public static void main(String[] args) {
        String s = md5_public_salt("123");
        System.out.println(s);
    }
}

这里我用的盐值是固定的,正式开发中可以用动态生成的字符串,比如user表中多一个盐值字段存放每个用户的盐值,用户注册的时候随机生成一个uuid作为盐值保存起来。

2.将打印出来的加密之后的密码替换到数据库中,这里我用的是假数据,意会就行:

在这里插入图片描述

3.这个时候我们可以使用密码去登陆调试。

a.过去现在时。
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SpringBoot Shiro配置自定义密码加密器代码实例
08-19
在本篇文章中,我们将详细介绍如何在 SpringBoot 项目中配置自定义密码加密器代码实例,使用 Shiro 框架来实现身份认证和授权管理。Shiro 框架提供了一个灵活的安全管理系统,可以满足各种应用场景的需求。 Shiro ...
shiro密码加密
input_out的博客
01-18 2912
shiro密码加密 文章目录shiro密码加密1 MD5加密2 MD5盐值加密 1 MD5加密配置文件中设置自定义Realm对象的属性开启MD5加密 @Bean public ShiroRealm userRealm(){ ShiroRealm realm = new ShiroRealm(); //设置加密算法为md5 HashedCredentialsMatcher credentialsMatcher = new HashedCredentialsMatcher();
Shiro权限管理】10.Shiro为密码加盐
热门推荐
程序猿之洞
11-20 3万+
上一篇我们提到了使用Shiro为密码进行MD5加密,这次来说一下密码加盐的问题。 当两个用户的密码相同时,单纯使用不加盐的MD5加密方式,会发现数据库中存在相同结构的密码, 这样也是不安全的。我们希望即便是两个人的原始密码一样,加密后的结果也不一样。 如何做到呢?其实就好像炒菜一样,两道一样的鱼香肉丝,加的盐不一样,炒出来的味道就不一样。 MD5加密也是一样,需要进行盐值加密。 在之
springboot+shiro密码验证【MD5加密+盐值验证不匹配(不正确)】解决办法
konglingjun1224的博客
11-30 1665
shiro登陆验证,始终提示密码不匹配,密码也是正确的,添加的时候也是正确的,这是什么原因呢?原因就在于创建bean的时候出的问题。下面是我测试通过的代码贴出来,希望对跟我一样的新手有帮助。 /** * Spring的一个bean , 由Advisor决定对哪些类的方法进行AOP代理 . * @return */ @Bean @Condit...
Shiro (四) shiro的密码加密-MD5
m0_46065798的博客
10-08 240
从数据库中获取的密码不应该是“123456”这种明文,应该是加密过的字符串,这样可以提高安全性。可以用MD5算法实现加密,需要替换当前Realm的credentitalsMatcher属性。直接使用HashedCredentitalsMatcher对象,并设置加密算计即可. 步骤: 1. 在applicationContext.xml中找到,id=jdbcRealm,并改为如下: 这样前台输入的密码就会被加密,但是从数据库查出来的密码还是”123456”,所以要把数据库查出来的密码加密.(注意:工作中这一步
shiro
一切的困难都来自于自己内心的恐惧
11-18 1083
简介 Apache Shiro是一个强大且易用的Java安全框架,主要功能有身份验证、授权、安全加密和会话管理。相比较Spring Security,shiro有小巧、简单、易上手等的优点。shiro权限的操作粒度能控制在路径及按钮上,数据粒度通过sql实现。Shrio简单够用。至于OAuth,OpenID 站点间统一登录功能,现如今单点登录很多已经通过cookies实现。因此Shiro完全能够...
shiro编码和加密代码详解
08-29
Apache Shiro 是一个强大的 Java 安全框架,它提供了身份验证、授权、会话管理和加密等功能。在本文中,我们将深入探讨 Shiro 提供的编码和加密技术,以帮助开发者更好地理解和应用这些功能。 首先,Shiro 提供了...
springmvc+shiro配置教程
11-16
SpringMvc+Shiro配置教程 SpringMvc和Shiro是两个widely使用的Java Web开发框架,前者是一个基于模型-视图-控制器(MVC)模式的Web应用程序框架,而后者是一个基于权限控制的安全框架。将这两个框架结合使用,可以...
学习shiro中的加密程序
04-05
此代码用eclipse编写开发,是为了学习入门shiro安全框架而编写的,用于学习和测试shiro的中的加密机制
Apache Shiro 使用手册(五) Shiro 配置说明
09-15
主要为大家分享了Apache Shiro 配置说明,需要的朋友可以参考下
shiro学习笔记
雪儿的博客
03-12 317
有点坑,bean用注解的方式就权限就无效了,无语ing 授权需要继承 AuthorizingRealm 类, 并实现其 doGetAuthorizationInfo 方法 AuthorizingRealm 类继承自 AuthenticatingRealm, 但没有实现 AuthenticatingRealm 中的 doGetAuthenticationInfo, 所以认证和授权只需要继承 ...
shiro学习二:shiro加密认证详解,加盐与不加盐两个版本。
冯安晨
12-11 861
文章目录前言一、shiro不加盐加密认证1. 逻辑流程2. 修改部分3. 自定义数据源:CustomRealmCh074. 编写:Ch07_testMatcher5. 测试二、shiro加盐加密认证1. 流程逻辑2. 修改部分3. 自定义数据源:CustomRealmCh084. 编写:Ch08_testSaltMatcher 前言 上一篇博客地址:shiro学习一:了解shiro,学习执行shiro的流程。使用springboot的测试模块学习shiro单应用(demo 6个)。源码分析(敲重点)
shiro Shiro登陆异常 did not match the expected credentials && HashedCredentialsMatcher密码匹配过程
wogoshu1的博客
07-06 6346
一。。当你登陆的时候,你会创建一个UsernamePasswordToken对象,或者UsernamePasswordToken的子类对象,并且赋予账号、密码、rememberMe,这里的密码你需要和数据库一直,比如你做了md5加密,那么你先做md5加密然后再创建UsernamePasswordToken对象. 然后你在校验完毕后: return new SimpleAuthenticationI...
浅谈Shiro框架中的加密算法,以及校验
qq383264679的专栏
07-23 1万+
在涉及到密码存储问题上,应该加密/生成密码摘要存储,而不是存储明文密码。为什么要加密:网络安全问题是一个很大的隐患,用户数据泄露事件层出不穷,比如12306账号泄露。 Shiro提供了base64和16进制字符串编码/解码的API支持,方便一些编码解码操作,想了解自己百度API操作用法。 看一张图,了解Shiro提供的加密算法: 本文重点讲shiro提供的
密码加密——加盐算法(两种方式)
m0_60354608的博客
04-12 1万+
密码安全是一件很重要的事情,所以一定要谨慎对待常见的主要是3种方式首先明文肯定是不可取的,在数据库中明文存储密码风险实在是太大了简单来说,使用MD5就是将一串字符串通过某特定的算法来将其变成另一种形式,这样子就在外观上起到了加密的效果,但是由于背后的算法是固定的,所以每一个字符串都有固定的MD5格式密码破解程序可以是暴力破解:将得到的密码使用MD5转换成哈希,之后将得到的哈希与最初的哈希进行比较,要是匹配就说明已经破解了密码,但是这种方法的时间复杂度很高,会耗时很久。
Shiro 之 HashedCredentialsMatcher 认证匹配
尽力而为
11-21 1万+
Shiro 提供了用于加密密码和验证密码服务的 CredentialsMatcher 接口,而 HashedCredentialsMatcher 正是 CredentialsMatcher 的一个实现类。写项目的话,总归会用到用户密码的非对称加密,目前主流的非对称加密方式是 MD5 ,以及在 MD5 上的加盐处理。而 HashedCredentialsMatcher 也允许我们指定自己的算法和盐。本文介绍 HashedCredentialsMatcher 的使用,以及对相关源码的进行解析,加密方面知识略。
shiro-学习4-shiro加密
wj903829182的专栏
12-08 360
        前面我们做用户名和密码比较的时候是用的是明文比较的,这在实际项目中是不允许的,实际的项目中,我们可能需要对密码进行加密,这里我们采用md5加密来给shiro的密码加密,然后比较,md5加密又分为加盐,和不加盐,首先我们来看不加盐,加盐的话可以增加密码的安全性。 一,shiro加密不加盐: 使用md5加密的话,首先得修改认证,核心代码如下: //进行加密 Ha...
别再用所谓的MD5加密了,大佬们都用它——>MD5盐值加密多方法详解
Code皮皮虾的博客
10-04 8075
文章目录1、MD5简介2、MD5加密使用3、MD5盐值加密介绍4、MD5盐值加密使用4.1、Md5Crypt加密4.2、使用spring提供的工具 BCryptPasswordEncoder(推荐) 1、MD5简介 Message Digest algorithm 5 ,信息摘要算法 压缩性:任意长度的数据,算出的MD5值长度都是固定的 容易计算:从源数据计算出MD5值很容易 抗修改性:对原数据进行任何改动(哪怕一个字节),所得到的MD5值都有很大的区别 强抗碰撞:向找到两个不同的数据,使它们具有相同
密码加密方式:MD5加密 & 盐值加密
会飞的小蜗
09-18 3887
在我们项目开发中,对于密码的存储都会进行加密处理,我们可以自定义一个加密方式进行加解密后的字符串对比,也可以使用我们的md5加密(不可逆)。 //常用的MD5加密 String s = DigestUtils.md5Hex("123456"); System.out.println(s); 运行结果: e10adc3949ba59abbe56e057f20f883e MD5 经过摘要算法加密可以将任何长度的字符串转化成固定长度大小,无论加密前的字符串多大,即便是1G的数据,经过M
shiro硬编码加密传输 漏洞
最新发布
07-29
Shiro硬编码加密传输漏洞是指在Shiro框架中,加密密钥采用硬编码的方式存储在源代码中,导致攻击者可以通过定位硬编码找到处理流程,从而获取密钥并伪造任意的rememberMe信息,触发反序列化漏洞。\[1\]\[2\] 这个漏洞的主要成因是Shiro框架中使用的AES加密算法的密钥被硬编码在源代码中,当用户勾选remember me功能时,Shiro会将用户的cookie信息序列化并加密存储在Cookie的rememberMe字段中。由于AES加密是对称加密,当攻击者获取了AES密钥后,就可以伪造任意的rememberMe信息,并触发反序列化漏洞。\[2\] 升级Shiro版本并不能根本解决这个漏洞,因为代码复用会直接导致项目密钥泄漏,从而造成反序列化漏洞。攻击者可以在公开的密钥集合中搜索到并利用这些密钥来进行攻击。\[3\] 为了解决这个漏洞,建议使用动态生成的密钥来替代硬编码的密钥,并确保密钥的安全存储和传输。此外,还可以采用其他更安全的加密算法来增强系统的安全性。 #### 引用[.reference_title] - *1* *2* [Shiro-550 漏洞分析](https://blog.csdn.net/geejkse_seff/article/details/126496207)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [shiro漏洞原理以及检测key值原理](https://blog.csdn.net/Thunderclap_/article/details/128930942)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值