shiro登入驗證一直失敗：

原因：

在使用者註冊時，採用如下加密方法：

/**
 * md5加密工具
 * @param var
 * 要加密的字串
 * @param iterations
 * 加密次數
 * @return
 */
public static String encrypt(String var,int iterations){
    return new SimpleHash("md5",var,SALT.getBytes(),iterations).toHex();
}

在ShiroConfig中：

@Bean
public ShiroRealm shiroRealm() {
    ShiroRealm shiroRealm = new ShiroRealm();
    return shiroRealm;
}

/**
 * 加密
 *
 * @return
 */
@Bean
public HashedCredentialsMatcher hashedCredentialsMatcher() {
    HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
    hashedCredentialsMatcher.setHashAlgorithmName("md5");//雜湊演算法
    hashedCredentialsMatcher.setHashIterations(2);//雜湊的次數
    return hashedCredentialsMatcher;
}
 

因為註冊時存入資料庫的是經過兩次MD5加密的，但是在ShiroRealm中卻未指定加密方法，導致UserPasswordToken是以明文存在的，所以需要在shiroRealm()中加上：

//設定加密方式
shiroRealm.setCredentialsMatcher(hashedCredentialsMatcher());

同時必須保持入庫時的加密方法和Shiro登入驗證時的加密方法一致，包括加密次數、鹽值也要一致。

修改hashedCredentialsMatcher()如下:

@Bean
public HashedCredentialsMatcher hashedCredentialsMatcher() {
    HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
    hashedCredentialsMatcher.setHashAlgorithmName("md5");//雜湊演算法
    hashedCredentialsMatcher.setHashIterations(2);//雜湊的次數
    hashedCredentialsMatcher.setStoredCredentialsHexEncoded(true);//轉化為16進位制(與入庫時保持一致)
    return hashedCredentialsMatcher;
}
 

（注意：我這裡採用固定鹽值，實際上應該不同使用者不同鹽值，一般為使用者id+固定字串，鹽值略）

總結：

在使用Shiro進行認證時，加密規則要和資料入庫時保持一致，包括加密規則，加密次數，鹽值，都要一致。