shiro盐值加密并验证

时间 2020-05-10

标签 shiro 加密验证繁體版

原文原文链接

在数据表中存的密码不该该是123456，而应该是123456加密以后的字符串，并且还要求这个加密算法是不可逆的，即由加密后的字符串不能反推回来原来的密码，若是能反推回来那这个加密是没有意义的。著名的加密算法，好比 MD5，SHA1。下面就来介绍如何用shiro进行MD5加密并验证前端

1.在注册的时候将前端传过来的密码入数据库以前进行加密java

public void encryptPassword(User user) {
        String salt = new SecureRandomNumberGenerator().nextBytes().toHex();
        user.setSalt(salt);

        String newPassword = new SimpleHash(
                algorithmName,
                user.getPassword(),
                user.getSalt(),
                hashIterations).toHex();

        user.setPassword(newPassword);
    }

2.在spring容器中自定义realm的配置加入HashedCredentialsMatcher,这样前端输入的密码进入realm就会自动进行加密了，此外还能够配置了加密次数等。算法

<bean id="myShiroRealm" class="com.wang.realm.MyShiroReaml">
        <!-- businessManager 用来实现用户名密码的查询 -->
        <property name="userService" ref="userService" />
        <property name="permissionService" ref="permissionService" />
        <!-- 若是不加入密码匹配的操做，密码就不会存在 -->
        <!-- 加入了密码匹配器以后，就会默认将前台传递过来的密码自动MD5加密 -->
        <property name="credentialsMatcher">
            <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
                <!-- 加密的方式 -->
                <constructor-arg index="0" type="java.lang.String" value="MD5" />
                <!-- 加密的次数，默认是1次 -->
                <property name="hashIterations" value="2"/>
            </bean>
        </property>
    </bean>

3.这部分就是realm的验证部分了接收前端的参数，取出数据库中的对象，而后根据密码，盐值等进行解密，匹配等等，这部分shiro已经帮咱们作好了。spring

// 认证方法
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

        //验证帐号密码
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        User user = userService.findUserByName(token.getUsername());
        if(user==null){
            throw new UnknownAccountException();
        }
        if(Boolean.TRUE.equals(user.getLocked())) {
            throw new LockedAccountException(); //账号锁定
        }


        ByteSource credentialsSalt = ByteSource.Util.bytes(user.getSalt());//这里的参数要给个惟一的;

        //最后的比对须要交给安全管理器
        //三个参数进行初步的简单认证信息对象的包装
        SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
                user.getUsername(), //用户名
                user.getPassword(), //密码
                credentialsSalt,
                getName()  //realm name
        );

        return authenticationInfo;
    }