Shiro自定义验证器——使用国密sm3+盐

已于 2023-12-22 15:29:36 修改
阅读量574 收藏
点赞数
分类专栏: shiro 系统安全 文章标签: java 开发语言
于 2023-10-07 17:01:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaofuqiangmycomm/article/details/133645891
版权

背景

在搞一个政府类的项目时,要求用国密,网上抄了抄,给Shiro改装一下,原来Shiro验证用的是sha1

maven依赖

我用的是hutool的工具类,官网上说不需要导sm3那个依赖,但是我试了是不行的,所以还要导bcprov-jdk15on

<!-- shiro -->
       <dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-core</artifactId>
			<version>1.12.0</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-spring</artifactId>
			<version>1.12.0</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-cas</artifactId>
			<version>1.12.0</version>
			<exclusions>
				<exclusion>
					<groupId>commons-logging</groupId>
					<artifactId>commons-logging</artifactId>
				</exclusion>
			</exclusions>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-web</artifactId>
			<version>1.12.0</version>
		</dependency>
		<dependency>
			<groupId>org.apache.shiro</groupId>
			<artifactId>shiro-ehcache</artifactId>
			<version>1.12.0</version>
		</dependency>
<!--        sm3-->
       	<dependency>
			<groupId>org.bouncycastle</groupId>
			<artifactId>bcprov-jdk15on</artifactId>
			<version>1.70</version>
		</dependency>
<!--        Hutool-->
       	<dependency>
			<groupId>cn.hutool</groupId>
			<artifactId>hutool-all</artifactId>
			<version>5.8.11</version>
		</dependency>

登录的原理就是比对密码是否相等,我这里是最简单的——比较加完salt和sm3进行hash后的密文是否和数据库中用户的密码密文相同

工具类

import org.bouncycastle.crypto.digests.SM3Digest;
import org.bouncycastle.util.encoders.Hex;

import java.security.Security;
import java.util.Arrays;
import java.util.HashMap;
import java.util.Map;
import java.util.Random;

public class SM3SaltEncryption {
    public static void main(String[] args) {
        Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider());

        // 原始数据
        byte[] data = "Hello, World!".getBytes();

        // 生成随机的盐值
        byte[] salt = generateSalt();

        // 将原始数据与盐值拼接
        byte[] dataWithSalt = concatBytes(data, salt);

        // 计算SM3哈希值
        byte[] hash = calculateHash(dataWithSalt);

        // 将盐值和哈希值转换为十六进制字符串
        String saltHex = bytesToHex(salt);
        String hashHex = bytesToHex(hash);

        System.out.println("Salt: " + saltHex);
        System.out.println("Hash: " + hashHex);
    }

    public static String encrypt(String paramStr,byte[]  salt){
        Map<String,String> resultMap=new HashMap<>();
        Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider());
        // 原始数据
        byte[] data = paramStr.getBytes();

        // 将原始数据与盐值拼接
        byte[] dataWithSalt = concatBytes(data, salt);

        // 计算SM3哈希值
        byte[] hash = calculateHash(dataWithSalt);

        // 将盐值和哈希值转换为十六进制字符串
        String hashHex = bytesToHex(hash);
        return  hashHex;
    }

     public static String entryptSM3Password(String plainPassword) {
        byte[] bytesSalt = generateSalt();
        String sm3Password= encrypt(plainPassword,bytesSalt);
        return bytesToHex(bytesSalt)+sm3Password;
    }

    public static byte[] generateSalt() {
        byte[] salt = new byte[8];
        new Random().nextBytes(salt);
        return salt;
    }

    private static byte[] concatBytes(byte[] a, byte[] b) {
        byte[] result = Arrays.copyOf(a, a.length + b.length);
        System.arraycopy(b, 0, result, a.length, b.length);
        return result;
    }

    private static byte[] calculateHash(byte[] input) {
        SM3Digest digest = new SM3Digest();
        digest.update(input, 0, input.length);
        byte[] result = new byte[digest.getDigestSize()];
        digest.doFinal(result, 0);
        return result;
    }

    public static String bytesToHex(byte[] bytes) {
        return Hex.toHexString(bytes);
    }
}

修改登录注册

//Json是我自定义的结果类
//用户注册,用hutool里的SM3和自建的盐工具加密,具体可以看点进去看源码 
@Override
    public Json register(String username, String password) {

        if(this.getOne(new QueryWrapper<User>().eq("user_name",username))!=null){
            return Json.fail(ResponseUtil.CREATE_CONFLICT,"用户名重复");
        }

        //处理业务调用dao
        User user=new User();
        user.setId(UUIDUtil.generateRandomUUID());
        user.setUserName(username);
         

        //调用工具类SM3SaltEncryption 实现sm3加盐加密
        user.setPassword(SM3SaltEncryption.entryptSM3Password(password));


        userMapper.insert(user);
        return Json.success("注册成功");
    }

//用户登录,这里和之前比没有区别,因为它们都是调用subject.login()方法,最后会进入realm里执行doGetAuthenticationInfo方法
@Override
    public Json login(String username, String password) {
        String USER_LOGIN_TYPE = LoginType.USER.toString();
        Subject subject = SecurityUtils.getSubject();   //主体
        UserToken token = new UserToken(username,password,USER_LOGIN_TYPE);
        try {
            // 会进入到doGetAuthenticationInfo,进行身份验证
            subject.login(token);
        } catch (UnknownAccountException e) {
            // 账号不存在
            return Json.fail(ResponseUtil.LOGIN_FAILURE);
        } catch (IncorrectCredentialsException e) {
            // 密码错误
            return Json.fail(ResponseUtil.LOGIN_FAILURE);
        }
        // 向token中写入username
        Map<String, String> claims = new HashMap<>();
        claims.put("username", username);
        // 回传token
        Map<String, Object> map = new HashMap<>();
        map.put("token", TokenUtil.generateToken(claims));
        map.put("user", username);
        return Json.result(ResponseUtil.LOGIN_SUCCESS,map);
    }

修改自建Realm类

我这里只放认证相关,认证和原来比没有区别,重点是重写setCredentialsMatcher(设置认证的加密方式)

//认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        // 获取身份信息(用户名)
        String principal = (String) authenticationToken.getPrincipal();

        //根据数据库查询用户名信息
        User user = userService
                .getOne(new QueryWrapper<User>().eq("user_name", principal));
        if (user == null) {
            return null;
        }
        return new SimpleAuthenticationInfo(
                principal,                              // 数据库的账号
                user.getPassword(),                     // 加密后的密码
                ByteSource.Util.bytes(user.getSalt()),  // 加上盐值
                getName());
    }


    //设置认证加密方式,登录密码校验的时候就会调用设置好的这个验证类里的验证方法,之前新建验证器里已经写好了
    @Override
    public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {

        SM3CredentialsMatcher sm3CredentialsMatcher = new SM3CredentialsMatcher();
        super.setCredentialsMatcher(sm3CredentialsMatcher);
    }

到这边就可以成功注册完,就可以登录了,两次生成的密文是一样的就登陆成功

新建验证器

首先新建自己的验证器类

import com.thinkgem.jeesite.common.utils.SM3SaltEncryption;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.credential.SimpleCredentialsMatcher;
import org.springframework.stereotype.Component;

@Component
public class SM3CredentialsMatcher extends SimpleCredentialsMatcher {
    //登录的时候回调用这个方法进行密码比对
    @Override
    public boolean doCredentialsMatch(AuthenticationToken authcToken, AuthenticationInfo info) {
        UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
        SimpleAuthenticationInfo simpleAuthenticationInfo = (SimpleAuthenticationInfo) info;
        //获取salt
        byte[] salt = simpleAuthenticationInfo.getCredentialsSalt().getBytes();
        String encrypt = SM3SaltEncryption.encrypt(String.valueOf(token.getPassword()), salt);
        Object accountCredentials = getCredentials(info);
        // 将密码加密与系统加密后的密码校验,内容一致就返回true,不一致就返回false
        return equals(encrypt, accountCredentials);
    }

}

参考:https://www.cnblogs.com/YuChun9293/p/15952616.html 

这哥们没封装工具类不好用,整体思路是对的,我这亲测好用 ,哈哈!

你好龙卷风!!!
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
springmvc+shiro自定义过滤的实现代码
08-26
主要介绍了springmvc+shiro自定义过滤的实现方法,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
国产加密实际运用:使用SM3存储密码,并且使用SM2进行登录认证
热门推荐
qq_27387133的博客
11-19 1万+
目录 1.简要 2.开发环境及工具 3.后台密码加密部分 3.1加密代码 3.2 SM3加密类(Sm3crypto) 3.3国密SM3工具类(Sm3Utils) 3.4国密相关依赖包 4.登录认证部分 4.1前端部分关键代码 4.2后端login登录认证的关键代码 4.2.1.SM2公私钥(Sm2crypto) 4.2.2国密SM2工具类(SM2Utils) 5.大功告成! 1.简要 本文结合个人实际代码,使用SM3存储密码,并且使用SM2进行登录认证。主...
salt值(值)
weixin_30295091的博客
12-09 2100
SALT值属于随机值。用户注册时,系统用来和用户密码进行组合而生成的随机数值,称作salt值,通称为加值。 1、背景:系统通常把用户的密码如MD5加密后,以密文形式保存在数据库中,来防止黑客偷窥。 2、产生:随着对MD5密文查询工具的出现,而很多用户的密码又设置简单,单纯的对用户密码进行MD5加密后保存,用密文很容易就能反查询得到某用户的密码。 3、原理:为用户密码添加Salt值...
使用 SM3 加密方式的方法
最新发布
yepboy的专栏
01-17 877
sm3 加密代码
openGauss支持国密SM3和SM4算法
Cui_Yuan_666的博客
11-09 907
openGauss自2.0.0版本支持了国密算法,主要包括用户认证支持国密SM3算法,支持利用国密SM4算法对数据进行加解密。
国产SM3hash算法加使用实例
weixin_43836806的博客
05-31 7301
SM3使用实例使用介绍 环境:java的运行环境 以及添加包含SM3的包(我这里使用的是bouncycastle的jar) 什么要加:当hash算法的强碰撞和弱碰撞都保证了的时候,我们还是可以使用彩虹表去"碰撞",从而导致口令泄露,为了防止这一情况,我们可以使用操作,即不是单纯的对口令进行hash然后就存入数据库,而是构造一个值来和口令进行混合再进行hash。这样就可以避免彩虹表碰撞的问题了。 话不多说上代码: ```java import java.security.SecureRand
java用户密码摘要加的两种方式
dragon064的博客
08-13 9753
用户密码安全处理,主要是对密码生成摘要,将摘要内容存储到数据库中。一般采用MD5或者SHA生成摘要,这种方式具有方便、快速而且几乎不可还原性。 但是对相同数据返回的摘要信息永远是一样的。如果某人有DB的权限,只要查找摘要跟已知密码摘要相同的用户,就可以破解用户的密码,这对一个项目来说十分危险。 通过加技术,可以避免这种问题。有两种加方式: 1、通过用户名+用户密码生成加密摘要,因为用户名
[密码] 加密码哈希:如何正确使用
李培刚的博客
01-13 720
哈希、哈希
Shiro入门(五)Shiro自定义Realm和加密算法
jwang的博客
05-11 2113
前言 本章讲解shiro自定义的realm和它的加密算法 方法 1.概念 通过前面的讲解,我已经带入了自定义Realm的相关概念。那么为什么要自定义realm呢?显而易见,我们在数据库中创建的users表和它的字段受限于shiro自己的jdbcRealm,所以通常情况下我们需要使用自己的表,跟着必须使用自定义realm。 再者,在用户表中,密码字段的值是一个敏感的存在。我们需...
Shiro整合SSM框架详细步骤
飞起来的小猪的博客
03-08 6592
最近开始学习Shiro,记录一下Shiro整合SSM的步骤,期间也碰到许多小问题,和大家分享一下。 开发工具:IDEA Demo框架:Spring+SpringMVC+Mybatis+Maven 1.添加Shiro相关jar包,Demo是使用Maven管理,在pom.xml添加以下配置。 &lt;properties&gt; &lt;shiro.version&gt;1.3.2...
Spring Boot 自定义 Shiro 过滤无法使用 @Autowired问题及解决方法
08-25
主要介绍了Spring Boot 自定义 Shiro 过滤无法使用 @Autowired问题及解决方法 ,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
SpringBoot Shiro配置自定义密码加密代码实例
08-19
主要介绍了SpringBoot Shiro配置自定义密码加密代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring配置shiro自定义Realm中属性无法使用注解注入的解决办法
08-26
今天小编就为大家分享一篇关于Spring配置shiro自定义Realm中属性无法使用注解注入的解决办法,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
spring boot 集成 shiro 自定义密码验证 自定义freemarker标签根据权限渲染不同页面(推荐
08-26
主要介绍了spring-boot 集成 shiro 自定义密码验证 自定义freemarker标签根据权限渲染不同页面,需要的朋友可以参考下
org.apache.shiro.cache.CacheException: net.sf.ehcache.CacheException: java.io.StreamCorruptedExcepti
zhaofuqiangmycomm的博客
09-12 1万+
昨天电脑忘关机了,今天登陆本地项目就报这错 org.apache.shiro.cache.CacheException: net.sf.ehcache.CacheException: java.io.StreamCorruptedException: invalid stream header: 1B000000 大概意思shiro验证ehcache出问题了 ,我清掉 t...
shiro之权限过滤
zhaofuqiangmycomm的博客
10-12 8417
Shiro之权限过滤 1,什么是基于资源的访问控制 RBAC基于资源的访问控制(Resource-BasedAccess Control)是以资源为中心进行访问控制,比如:主体必须具有查询工资权限才可以查询员工工资信息等,访问控制流程如下: 总经理 查所有员工的工资信息 董事长 添加一个查看所有员工的权限 if(主体.拥有查看工资的权限){ //查...
SecurityUtils.getSubject().getPrincipal() 为null
zhaofuqiangmycomm的博客
04-25 4726
出现这个问题就是当前请求没有用户登录 1.确实没有登录 页面是通过一个连接,或者是iframe签入进来的 2.登录了但是shiro的拦截配置了无需认证即可访问 filterChainDefinitionMap.put("/activiti_process/**", "anon"); 比如我后台的访问路径为:127.0.0.1:8080/jeecg-boot/activiti_process/listData LoginUser sysUser = (LoginUser) ...
shiro 之权限验证问题
zhaofuqiangmycomm的博客
10-12 2812
1shiro的配置,通过maven加入shiro相关jar包 [html]view plaincopy <!--shiro--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro...
在 Spring Boot 中使用shiro配置自定义过滤
09-06
### 回答1: 在 Spring Boot 中使用 shiro 配置自定义过滤需要以下几个步骤: 1. 引入 shiro-spring-boot-starter 依赖: ``` <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.7.1</version> </dependency> ``` 2. 创建自定义过滤: ``` public class CustomFilter extends AccessControlFilter { @Override protected boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object o) throws Exception { // 在这里实现自定义的过滤逻辑,返回 true 表示通过过滤,返回 false 表示未通过过滤 return true; } @Override protected boolean onAccessDenied(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception { // 如果 isAccessAllowed 返回 false,则会进入到这里,可以在这里处理未通过过滤的情况 return false; } } ``` 3. 配置 shiro 的 FilterChainDefinition: ``` @Bean public ShiroFilterChainDefinition shiroFilterChainDefinition() { DefaultShiroFilterChainDefinition chainDefinition = new DefaultShiroFilterChainDefinition(); // 添加自定义过滤,其中 key 是过滤名称,value 是该过滤对应的路径 chainDefinition.addPathDefinition("/custom/**", "custom"); return chainDefinition; } ``` 4. 配置自定义过滤: ``` @Bean("custom") public CustomFilter customFilter() { return new CustomFilter(); } ``` 5. 配置 shiro 的注解支持: ``` @Bean public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) { AuthorizationAttributeSourceAdvisor advisor = new AuthorizationAttributeSourceAdvisor(); advisor.setSecurityManager(securityManager); return advisor; } ``` 完成以上步骤后,就可以在 Spring Boot 中使用 shiro 配置自定义过滤了。 ### 回答2: 在 Spring Boot 中使用 Shiro 配置自定义过滤分为三个步骤。 第一步,创建自定义过滤类。可以通过实现 Shiro 的 Filter 接口来创建自定义过滤。在自定义过滤中需要实现过滤规则,并对请求进行相应的处理。 第二步,配置 Shiro 过滤链。在 Spring Boot 的配置类中,通过创建 ShiroFilterFactoryBean 对象来配置 Shiro 的过滤链。可以使用 Shiro 的 FilterChainDefinitionMap 对象来配置过滤链,然后将该对象设置给 ShiroFilterFactoryBean。 第三步,启用 Shiro 过滤。在 Spring Boot 的配置类中,通过创建 DefaultFilterChainManager 对象,并将该对象设置给 ShiroFilterFactoryBean,启用自定义过滤。 有了以上三步,就可以在 Spring Boot 中使用 Shiro 配置自定义过滤了。可以通过在自定义过滤中实现过滤规则来对请求进行拦截或处理,然后在 Shiro 过滤链中配置该过滤,最后启用该过滤。这样就可以实现对请求的自定义过滤处理。 值得注意的是,在使用 Shiro 进行自定义过滤配置时,需要保证 Shiro 的配置文件中已经进行了相应的配置,包括认证和授权等相关配置。只有在正确配置的前提下,才能正确使用 Shiro 进行自定义过滤的配置。 ### 回答3: 在Spring Boot中使用Shiro配置自定义过滤通常需要以下几个步骤: 1. 引入Shiro和Spring Boot依赖。在pom.xml文件中添加Shiro和Spring Boot Starter依赖: ``` <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring-boot-starter</artifactId> <version>1.7.1</version> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> ``` 2. 创建自定义过滤类。可以通过实现`javax.servlet.Filter`接口或者继承`org.apache.shiro.web.servlet.OncePerRequestFilter`类来创建自定义过滤。例如,创建一个名为`CustomFilter`的自定义过滤类: ``` public class CustomFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { // 过滤逻辑处理 // ... filterChain.doFilter(request, response); } } ``` 3. 在Shiro配置类中注册自定义过滤。创建一个Shiro配置类,并使用`@Configuration`注解标记为配置类。通过`@Bean`注解将自定义过滤注册到Shiro的过滤链中。例如,在配置类`ShiroConfig`中注册`CustomFilter`: ``` @Configuration public class ShiroConfig { @Bean public FilterRegistrationBean<CustomFilter> customFilterRegistrationBean() { FilterRegistrationBean<CustomFilter> registrationBean = new FilterRegistrationBean<>(); registrationBean.setFilter(new CustomFilter()); registrationBean.setOrder(Ordered.HIGHEST_PRECEDENCE); // 过滤执行顺序 registrationBean.addUrlPatterns("/*"); // 过滤路径 return registrationBean; } } ``` 4. 配置Shiro的过滤规则。在Shiro配置文件中,可以设置自定义过滤的拦截规则。例如,在`shiro.ini`配置文件中,设置自定义过滤的拦截规则: ``` [urls] /** = customFilter // 对所有请求都使用自定义过滤 ``` 通过以上步骤,在Spring Boot中使用Shiro配置自定义过滤就可以实现对特定请求的拦截和处理。在`CustomFilter`类的`doFilterInternal`方法中编写自定义的过滤逻辑,例如鉴权、权限验证等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值