2. 程式人生 > >Shiro -認證憑據(密碼)加密的那些事

Shiro -認證憑據(密碼)加密的那些事

阿新 發佈:2018-11-01

一般來說,實際專案中隱私資料沒有在網路上明文跑路,都會採用不同的加密演算法。Shiro中的認證憑據通常也會採用演算法進行加密。

【1】CredentialsMatcher介面

該介面只有一個方法,doCredentialsMatch,就是用來進行密碼比較的!

原始碼如下:

public interface CredentialsMatcher {

    /**
     * Returns {@code true} if the provided token credentials match the stored account credentials,
     * {@code false} otherwise.
     *
     * @param token   the {@code AuthenticationToken} submitted during the authentication attempt
     * @param info the {@code AuthenticationInfo} stored in the system.
     * @return {@code true} if the provided token credentials match the stored account credentials,
     *         {@code false} otherwise.
     */
    boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info);

}

其實現類如下:

在這裡插入圖片描述

裡面可以看到我們常用的MD5演算法和SHA-X演算法。

其中Md5CredentialsMatcher 和Sha1CredentialsMatcher 標註已經過時,通常我們會直接在容器中註冊HashedCredentialsMatcher來使用!

如這裡我們註冊HashedCredentialsMatcher並指定演算法為Md5,xml配置如下:

<!-- 自定義Realm -->
<bean id="customRealm" class="com.web.maven.shiro.CustomRealm">
   <!-- 將憑證匹配器設定到realm中,realm按照憑證匹配器的要求進行雜湊 -->
   <property name="credentialsMatcher">
      <bean  class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
		<!-- 加密演算法 -->
         <property name="hashAlgorithmName" value="MD5"/>
         <!-- 加密次數 -->
         <property name="hashIterations" value="1"/>
       </bean>
   </property>
</bean>

【2】鹽值加密

使用【1】中的配置情況下,如果兩個人的原始密碼一樣,那麼其加密後的密碼也相同,同樣存在風險。

在HashedCredentialsMatcher中有這樣一個方法:

 protected Hash hashProvidedCredentials(Object credentials, Object salt, int hashIterations) {
     String hashAlgorithmName = assertHashAlgorithmName();
     return new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations);
 }

其中new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations)就是根據提供的原始憑據,加密演算法,鹽值和加密次數進行加密並返回加密後的結果。鹽值是一個唯一字串,這裡你可以使用loginName作為加密鹽值。

步驟如下:

  • 在 doGetAuthenticationInfo 方法返回值建立 SimpleAuthenticationInfo 物件的時候, 需要使用SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName) 構造器;
  • 使用 ByteSource.Util.bytes() 來計算鹽值;
  • 鹽值需要唯一, 一般使用隨機字串或 user id;
  • 使用 new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations); 來計算鹽值加密後的密碼的值。

如果使用鹽值加密,我們的doGetAuthenticationInfo修改如下:

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken authenticationToken) throws AuthenticationException {
		 	UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
	        //獲取頁面傳來的使用者賬號
		 	String loginName = token.getUsername();
	        //根據登入賬號從資料庫查詢使用者資訊
	        SysUser user = sysUserService.getUserByLoginCode(loginName);
	        System.out.println("從資料庫查詢到的使用者資訊 : "+user);
	        //一些異常新娘西
	        if (null == user) {
	        	throw new UnknownAccountException();//沒找到帳號
	        }
	        if (user.getStatus()==null||user.getStatus()==0) {
	        	throw new LockedAccountException();//帳號被鎖定
	        }
	        //其他異常...
	        
	        
	        //返回AuthenticationInfo的實現類SimpleAuthenticationInfo
//	        return new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());
	        //鹽值加密
	        ByteSource credentialsSalt = ByteSource.Util.bytes(loginName);
	        return new SimpleAuthenticationInfo(user, user.getPassword(), credentialsSalt, this.getName());
	}

相關推薦

Shiro -認證憑據(密碼)加密那些

一般來說,實際專案中隱私資料沒有在網路上明文跑路,都會採用不同的加密演算法。Shiro中的認證憑據通常也會採用演算法進行加密。 【1】CredentialsMatcher介面 該介面只有一個方法,doCredentialsMatch,就是用來進行密碼比較的! 原始碼如下:

springboot+shiro 登入時密碼加密失敗問題解決

研究很長時間大蓋兩週,主要是卡在 登入的程式碼按照註冊加密 然後與資料庫中存的密碼對比這塊 網上找了好長時間都沒找到答案,最後終於找到原因了。 解決問題的核心就是下面的程式碼 @Bean(name="myShiroRealm") public MyShiroRea

MacOS下postgresql資料庫密碼那些

如果你是第一次玩postgresql資料庫,你會發現你給role或者user明明設定了密碼,但在登入的時候毛都不用輸入,直接就進去了,怎麼那麼爽快!? 雖然爽快,但貌似不該這樣啊. 其實這些都和一個重要的檔案有關,它就是pg_hba.conf! 那麼這個檔

SpringBoot+Shiro學習之密碼加密和登入失敗次數限制

/*表結構插入*/DROP TABLE IF EXISTS `u_permission`;CREATE TABLE `u_permission` ( `id` bigint(20) NOT NULL AUTO_INCREMENT, `url` varchar(256) DEFAULT NULL COMME

使用Apache Shiro進行身份認證-密碼加密

在進行身份認證時,使用者的密碼一般是用密文的形式存放在資料庫中。這樣在做比對時不能直接使用使用者提交的明文口令。 在Shiro中使用org.apache.shiro.authc.credential.SimpleCredentialsMatcher做憑證資訊的比對。Simp

Shiro自定義密碼匹配認證

() global throws equals urn authent assert cred color 項目集成shiro的時候,有寫某個自定義類然後繼承自AuthorizingRealm 並且重寫實現了他的2個方法: 1、其中一個:認證回調 驗證賬戶密碼的 doGet

MySQL之登陸密碼加密認證腳本

維護 found offset distrib 數據 reserve state add term 一、登陸密碼加密認證腳本應用場景 日常操作,經常明文指定了MySQL密碼來登錄MySQL服務,在登錄成功之後就會拋出下面的警告:[root@git-server ~]# my

Shiro(4)-Shiro密碼加密

md5加密 在線上系統的資料庫中儲存的密碼不應該是明文,而是密碼加密後的字串,並且要求加密演算法是不可逆的。 著名的加密演算法有MD5、SHA1等。其中MD5是目前比較可靠的不可逆的加密方式。 而在Shiro中,如果我們需要對密碼進行加密,並且能讓Shiro能夠自動的對使用者輸入的密碼進

公鑰加密演算法那些 | RSA 與 ECC 系統對比

https://blog.csdn.net/u010646653/article/details/73888734 一、背景 據記載,公元前 400 年,古希臘人發明了置換密碼。1881 年世界上的第一個電話保密專利出現。在第二次世界大戰期間,德國軍方啟用「恩尼格瑪」密碼機,密碼學在戰爭中起著非

Shiro - 授權那些

前面說了認證那些事,這裡繼續說授權那些事。 【1】授權幾個概念 授權,也叫訪問控制,即在應用中控制誰訪問哪些資源(如訪問頁面/編輯資料/頁面操作等)。在授權中需瞭解的幾個關鍵物件:主體(Subject)、資源(Resource)、許可權(Permission)、角色(Role)。

和安全有關的那些 非對稱加密 數字摘要 數字簽名 數字證書 SSL HTTPS及其他

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

Shiro之使用者名稱密碼或手機號簡訊登入(多realm認證

在登入認證中,經常需要實現使用者名稱密碼和手機號驗證碼這兩種登入方式。 最近學了Shiro,所以在這裡記錄下。 使用者名稱密碼使用的令牌自然是UsernamePasswordToken,我們可以參考UsernamePasswordToken,自定義PhoneToken,在不同的控制

Linux中關於密碼操作的那些

上次我們講了破解密碼,這次我們聊聊關於密碼的其他操作。 修改密碼 對於普通使用者 :只能修改自己的密碼, passwd----回車之後提醒你先輸入一個當前的密碼才能改密碼;而且改的新密碼有長度限制,不能太簡單哦! 對於root使用者:就比較牛皮了,可以修改任何使用

關於MySQL密碼你應該知道的那些 • cenalulu's Tech Blog

本文將介紹MySQL使用者密碼相關的一些知識,以及5.6中對於安全性的一些改進 MySQL使用者密碼是如何生成和儲存的 如果你已經接觸MySQL一段時間了,那麼想必你一定知道MySQL把所有使用者的使用者名稱和密碼的密文存放在mysql.user表中。大致的形式如下: mysql [l

localstorage 那些 +vue記住密碼例項

localStorage. 然後就彈出了一些列宿主(瀏覽器)提供的localStorage自帶的方法,摘錄了一些常用的API如下表所示:名稱作用clear清空localStorage上儲存的資料getI

Java 和 HTTP 的那些(三) 代理認證

前面一篇部落格介紹了在 Java 中使用 HttpURLConnection 和 HttpClient 通過代理訪問 HTTP 站點的方法,但是可以看到程式碼中使用的代理都是免費公開的代理,不需要使用者名稱密碼就能直接訪問。由於網際網路上公開的代理安全性不能保證,這種代

和安全有關的那些(非對稱加密、數字摘要、數字簽名、數字證書、SSL、HTTPS及其他)

本文原文連線:http://blog.csdn.net/bluishglc/article/details/7585965 對於一般的開發人員來說,很少需要對安全領域內的基礎技術進行深入的研究,但是鑑於日常系統開發中遇到的各種安全相關的問題,熟悉和了解這些安全技術的基本原理和使用場景還是非常必要的。本文將對

shiro 密碼加密和解密

public class MyRealm extends AuthorizingRealm { private static Logger logger = LoggerFactory.getLogger(MyRealm.class); public MyRealm() {

和安全有關的那些(非對稱加密、數字摘要、數字簽名、數字證書、SSL、HTTPS)

對於一般的開發人員來說,很少需要對安全領域內的基礎技術進行深入的研究,但是鑑於日常系統開發中遇到的各種安全相關的問題,熟悉和了解這些安全技術的基本原理和使用場景還是非常必要的。本文將對非對稱加密、數字摘要、數字簽名、數字證書、SSL、HTTPS等這些安全領域內的技術進行一番

MySQL資料庫加密和解密~認證登陸密碼(mysql.user)和MySQL不區分大小寫

MySQL資料庫認證密碼有兩種方式: 1:MySQL 4.1版本之前是MySQL323加密 2:MySQL 4.1和之後的版本都是MySQLSHA1加密 還有函式:AES_ENCRYPT()加密函式