Shiro入门 -- shiro登录认证之密码比对和源码探究

最新推荐文章于 2023-05-15 16:17:13 发布
最新推荐文章于 2023-05-15 16:17:13 发布
阅读量963 收藏 5
点赞数
分类专栏: Apache Shiro学习 文章标签: 数据库 shiro 安全 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhouth94/article/details/106217235
版权

1、自定义的ShiroRealm,继承

AuthenticatingRealm
//使用认证功能 AuthenticatingRealm
public class ShiroRealm extends AuthenticatingRealm {

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //1.把AuthenticationToken转换为UsernamePasswordToken
        //authenticationToken保存了页面表单输入的用户名和密码信息
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        //2.从UsernamePasswordToken中获取username
        String username = token.getUsername();
        //3.从数据库查询对应的用户记录
        System.out.println("从数据库获取:" + username + "的信息");
        //4.若用户不存在
        if("unkonwn".equals(username)) {
            throw new UnknownAccountException("用户不存在");
        }

        //5.根据用户信息情况,构建AuthenticationInfo,通常使用的实现类为:SimpleAuthenticationInfo
        //以下信息是从数据库获取的
        //1). principal:认证的实体信息,可以是username,也可以是数据表对应的实体类对象
        Object principal = username;
        //2). credentials:密码
        Object credentials = "1234";
        //3). realmName:当前realm对象的name,调用父类的getName()
        String realmName = getName();
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(principal, credentials, realmName);

        return info;
    }

2、配置applicationContext.xml

<!--
            7.配置哪些页面需要受保护 以及 访问这些页面需要的权限
            1) anon 代表可以被匿名访问
            2) authc 代表认证(登录)后才可以被访问的页面
            3) logout 代表登出
        -->
        <property name="filterChainDefinitions">
            <value>
                /shiro/login = anon
                /login.jsp = anon
                /shiro/logout = logout

                /list.jsp = authc
                /** = authc
            </value>
        </property>

3、根据自定义的Realm,我们知道

UsernamePasswordToken保存了页面表单输入的用户名和密码信息,
SimpleAuthenticationInfo保存着数据库中用户的密码,那么密码的比对shiro如何完成的呢?什么时候进行比对呢?

见源码Debug:

(1)UsernamePasswordToken

(2)密码比对

我们可以发现,密码的比对是明文进行,显然是不可取、不安全。数据表应该保存加密之后的密码

那么,我们应该如何对用户输入的密码进行加密呢?

还是查看源码,我们通过

CredentialsMatcher来进行加密,从数据库获取的密码应该是加密之后的字符串。

(3)做法:替换当前Realm的credentialsMatcher属性,直接使用HashedCredentialsMatcher对象,并设置加密算法

 

4、配置凭证匹配器 

CredentialsMatcher以及密码的MD5加密

(1)applicationContext.xml中进行配置

<!--
        3.配置Realm
        3.1直接配置一个实现了org.apache.shiro.realm.Realm接口的bean
    -->
    <bean id="jdbcRealm" class="com.dhu.shiro.realms.ShiroRealm">
        <property name="credentialsMatcher">
            <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
                <property name="hashAlgorithmName" value="MD5"></property>
            </bean>
        </property>
    </bean>

(2)CredentialsMatcher源码查看

(3)加密的源码查看

(4)源码简单分析:SimpleHash中包含了salt称为盐值、hashIterations加密次数,hashIterations可以在配置文件进行设置

   protected Hash hashProvidedCredentials(Object credentials, Object salt, int hashIterations) {
        String hashAlgorithmName = assertHashAlgorithmName();
        return new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations);
    }

(5)根据源码HashedCredentialsMatcher.java 中 hashProvidedCredentials 方法,进行配置

<!--
        3.配置Realm
        3.1直接配置一个实现了org.apache.shiro.realm.Realm接口的bean
    -->
    <bean id="jdbcRealm" class="com.dhu.shiro.realms.ShiroRealm">
        <property name="credentialsMatcher">
            <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
                <property name="hashAlgorithmName" value="MD5"></property>
                <property name="hashIterations" value="1024"></property>
            </bean>
        </property>
    </bean>

 (6)修改自定义的Realm

        //5.根据用户信息情况,构建AuthenticationInfo,通常使用的实现类为:SimpleAuthenticationInfo
        //以下信息是从数据库获取的
        //1). principal:认证的实体信息,可以是username,也可以是数据表对应的实体类对象
        Object principal = username;
        //2). credentials:密码
        Object credentials = "a20b8e682a72eeac0049847855cecb86";
        //3). realmName:当前realm对象的name,调用父类的getName()
        String realmName = getName();
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(principal, credentials, realmName);
        return info;
    }

    // 测试加密后的密码
    public static void main(String[] args) {
        String hashAlgorithmName = "MD5";
        Object credentials = "1234";
        Object salt = null;
        int hashIterations = 1024;
        SimpleHash res = new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations);
        System.out.println(res); //a20b8e682a72eeac0049847855cecb86
    }
}

(7)再次Debug,发现加密后密码一样,同时登录成功~

5、 MD5盐值加密

这样设置之后,我们还是发现有一个问题。若明文输入的一样的,经过MD5加密后的密码也是一样的,依然不安全。我们希望即使两个原始密码一样,经过加密后的结果也不一样。

需要加点佐料,加盐salt

(1)加密后的结果需要把salt加进去

SimpleHash res = new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations);

(2)返回值

SimpleAuthenticationInfo需要把盐salt带上
SimpleAuthenticationInfo需要把salt带上

6、修改自定义的Realm以及测试加密后的密码

盐值需要保证唯一性:

//4). 盐值
ByteSource salt = ByteSource.Util.bytes(username); //唯一性
//使用认证功能 AuthenticatingRealm
public class ShiroRealm extends AuthenticatingRealm {

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        //1.把AuthenticationToken转换为UsernamePasswordToken
        //authenticationToken保存了页面表单输入的用户名和密码信息
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        //2.从UsernamePasswordToken中获取username
        String username = token.getUsername();
        //3.从数据库查询对应的用户记录
        System.out.println("从数据库获取:" + username + "的信息");
        //4.若用户不存在
        if("unkonwn".equals(username)) {
            throw new UnknownAccountException("用户不存在");
        }

        //5.根据用户信息情况,构建AuthenticationInfo,通常使用的实现类为:SimpleAuthenticationInfo
        //以下信息是从数据库获取的
        //1). principal:认证的实体信息,可以是username,也可以是数据表对应的实体类对象
        Object principal = username;
        //2). credentials:密码
        Object credentials = "null";
        if("admin".equals(username)) {
            credentials = "c34af346c89b8b03438e27a32863c9b5";
        }
        if("user".equals(username)) {
            credentials = "3e042e1e3801c502c05e13c3ebb495c9";
        }
        //3). realmName:当前realm对象的name,调用父类的getName()
        String realmName = getName();
        //4). 盐值
        ByteSource salt = ByteSource.Util.bytes(username); //唯一性

        SimpleAuthenticationInfo info = null; //new SimpleAuthenticationInfo(principal, credentials, realmName);
        info = new SimpleAuthenticationInfo(principal, credentials, salt, realmName);
        return info;
    }

    // 测试加密后的密码
    public static void main(String[] args) {
        String hashAlgorithmName = "MD5";
        Object credentials = "1234";
        Object salt = ByteSource.Util.bytes("user");
        int hashIterations = 1024;
        SimpleHash res = new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations);
        System.out.println(res);
    }
}

7、笔记总结

dan_zhoudan
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shiro(三):Shiro 密码的比对、MD5盐值加密
12程序猿的博客
10-16 1546
Shiro(二)介绍如何实现一个简单的Shiro认证流程,接下来对 密码的比对与加密进行简单的介绍。 Shiro 密码的比对、MD5盐值加密 密码的比对、MD5盐值加密都是通过CrendentialsMatcher(凭证匹配器)来实现的。 一、Shiro认证时的密码比对 在Shiro进行密码比对时,一定会去拿UsernamePasswordToken 和SimpleAuthenticationInfo中封装的密码信息,那么此时要调用UsernamePasswordToken的 getPassword方法,或
第九讲 Shiro密码的比对时机
jintingbo的专栏
03-17 381
参考网址:http://blog.csdn.net/acmman/article/details/78446008       从第二讲我们可以看到,shiro密码比对是在main()中给出账号和密码,交给realm,realm再组成认证信息SimpleAuthenticationInfo交给管验证的CredentialsMatcher。       管验证的CredentialsMatcher...
Shiro权限管理】8.Shiro密码的比对
程序猿之洞
11-04 9615
上一次总结了如何实现一个简单的Shiro认证流程。首先通过前端页面的form表单提交,在Controller 请求处理层获取了form表单中的账号密码,然后获取当前用户的Subject对象,执行了Subject的login方法进行登录操作, 并将账号密码封装进Token对象,作为参数传入。而后面设置了认证需要的Realm类,该Realm类继承了AuthenticatingRealm父类, 实
关于 项目中用到shiro如何通过token鉴权登录,模拟登录,代码直接登录的问题!
热门推荐
zl386119974的专栏
09-10 6万+
1.今天遇到了一个棘手的问题,在此写下博客记录下来,用于提醒自己,以及帮助以后会遇到这样的问题的人 shiro框架中如何通过用户名密码在代码中直接登录? 首先在网上找了下,找到了这种方式: Subject currentUser = SecurityUtils.getSubject(); UsernamePasswordToken token = new...
Shiro 之 SimpleAuthenticationInfo使用(*)
weixin_42408447的博客
12-21 5108
SimpleAuthenticationInfo这里原理很简单,又有一些值得挖掘的东西。 //此处使用的是user对象,不是username SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( user, user.getPassword(), getName() )
shiro-core-1.7.1 jar
07-12
shiro shiro-core-1.7.1 jar shiro漏洞
shiro-core 低版本漏洞检测
01-31
shiro-core 低版本漏洞检测工具
shiro-core-1.4.0-API文档-中文版.zip
07-12
赠送jar包:shiro-core-1.4.0.jar; 赠送原API文档:shiro-core-1.4.0-javadoc.jar; 赠送代码:shiro-core-1.4.0-sources.jar; 赠送Maven依赖信息文件:shiro-core-1.4.0.pom; 包含翻译后的API文档:shiro-core...
shiro-all-1.4.2.jar下载
08-21
shiro是java安全框架工具,而使用shiro jar包可以执行身份验证,授权,密码学和会话管理功能,想使用shiro这款安全框架的朋友们,欢迎前来下载shiro jar包进行使用。
shiro-core-1.6.0.jar
08-20
该资是目前最新的shiro-core核心包,暂时魏安全性较高的版本,没有发现漏洞版本。提供登录安全性的校验,该资来自官网,仅供学习参考,请前往官网下载
浅谈关于shiro——SimpleAuthenticationInfo中的参数
李公子的博客
09-20 1万+
/** * 执行认证逻辑 */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken arg0) throws AuthenticationException { System.out.println("执行认证逻辑"); ...
shiro new SimpleAuthenticationInfo第一个参数是传对象还是字符串?
10年老码农
05-15 288
不是的,如果你这里传的是对象,那么在方法doGetAuthorizationInfo principalCollection.getPrimaryPrincipal()接收时,也应该是用对象,如果是字符串,则在方法,接收时,则是字符串。接触不同的系统,不同的使用shiro姿势时,new SimpleAuthenticationInfo时,有的是传字符串,有的是传对象。看了码,它是一个Object对象,所以传什么都可,那我是不是可以随意传对象或字符呢?那到底是传对象还是字符串呢,今天我就大概测试了一下。
Shiro学习之旅——SimpleAuthenticationInfo
huiguifuhuo的博客
09-08 1012
示例代码 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException { UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken; String username = t
Shiro过滤器配置(ShiroFilterFactoryBean)
霓虹深处
03-30 4万+
这篇博客就是记录一下shiro过滤器的配置和一些注意事项 /** * Shiro过滤器配置 */ @Bean(name = "shiroFilter") public ShiroFilterFactoryBean shiroFilter() { ShiroFilterFactoryBean shiroFilter = new Shir...
shiro 初始化SimpleAuthenticationInfo 问题
辛晨V的博客
08-18 1757
shiro调用 doGetAuthenticationInfo 进行用户密码校验时,获取到用户信息后进行提交校验: SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(user, user.getPassword().toString(), getName()); return simpleAuthenticationInfo; 码: public SimpleAuth...
shiro实现不同身份使用不同Realm进行验证
Alan_Xiang的博客
02-01 3万+
假设现在有这样一种需求:存在两张表user和admin,分别记录普通用户和管理员的信息。并且现在要实现普通用户和管理员的分开登录,即需要两个Realm——UserRealm和AdminRealm,分别处理普通用户和管理员的验证功能。   但是正常情况下,当定义了两个Realm,无论是普通用户登录,还是管理员登录,都会由这两个Realm共同处理。这是因为,当配置了多个Realm时,我们通常使用的认证
Shiro
weixin_44251806的博客
02-21 419
Shiro
用户名/密码认证
呜呼哈
04-05 8403
表单登录 让我们来看看基于表单的登录在 Spring Security 中是如何工作的。首先,我们看到如何将用户重定向到登录表单。 该图构建了我们的 SecurityFilterChain 图。 首先,用户向未授权的资/私有发出未经身份验证的请求。 Spring Security 的 FilterSecurityInterceptor 通过抛出 AccessDeniedException 表示拒绝未经身份验证的请求。 由于用户没有经过身份验证,ExceptionTranslationFilter 启
shiro笔记之----SimpleAuthenticationInfo 验证password
hubeilihao的专栏
05-28 8120
公司项目中用的是shiro做安全认证框架,从代码中看到了判断验证码的,也看到了判断用户名是否存在的,就是没有发现判断密码是否正确的,后从网上文章以及查看码才大概了解shiro对于密码验证的流程。 自定义的shiroRealm public class ShiroRealm extends AuthorizingRealm { @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token)
shiro-550和shiro-721漏洞的异同点
最新发布
06-06
Shiro-550和Shiro-721漏洞都是Apache Shiro框架的安全漏洞,但它们的漏洞类型和漏洞影响不同。 Shiro-550漏洞是Apache Shiro框架中的一种远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据包,触发远程代码执行漏洞,从而实现对目标系统的完全控制。该漏洞可被用于在目标服务器上执行任意命令,获取敏感信息等。 Shiro-721漏洞是Apache Shiro框架中的一种权限绕过漏洞,攻击者可以通过构造特定的请求,来绕过Shiro框架的权限控制,从而访问未经授权的资或执行未经授权的操作。该漏洞可被用于获取未经授权的访问权限,访问敏感信息等。 因此,Shiro-550和Shiro-721漏洞的主要区别在于漏洞类型和漏洞影响。建议开发者及时升级Shiro框架版本或者关闭相关功能以避免此类漏洞的风险。同时,建议对请求参数进行严格的过滤和验证,避免恶意请求的输入。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值