2. 程式人生 > >shiro系列五、shiro密碼MD5加密

shiro系列五、shiro密碼MD5加密

阿新 發佈:2018-12-12

 

Shiro-密碼的MD5加密

 

1.密碼的加密

  在資料表中存的密碼不應該是123456,而應該是123456加密之後的字串,而且還要求這個加密演算法是不可逆的,即由加密後的字串不能反推回來原來的密碼,如果能反推回來那這個加密是沒有意義的。

  著名的加密演算法,比如 MD5,SHA1

2.MD5加密

  1). 如何把一個字串加密為MD5

  2). 使用MD5加密演算法後,前臺使用者輸入的字串如何使用MD5加密,需要做的是將當前的Realm 的credentialsMatcher屬性,替換為Md5CredentialsMatcher 由於Md5CredentialsMatcher已經過期了,推薦使用HashedCredentialsMatcher 並設定加密演算法即可。

複製程式碼

複製程式碼

/**
 * {@code HashedCredentialsMatcher} implementation that expects the stored {@code AuthenticationInfo} credentials to be
 * MD5 hashed.
 * <p/>
 * <b>Note:</b> <a href="http://en.wikipedia.org/wiki/MD5">MD5</a> and
 * <a href="http://en.wikipedia.org/wiki/SHA_hash_functions">SHA-1</a> algorithms are now known to be vulnerable to
 * compromise and/or collisions (read the linked pages for more).  While most applications are ok with either of these
 * two, if your application mandates high security, use the SHA-256 (or higher) hashing algorithms and their
 * supporting <code>CredentialsMatcher</code> implementations.</p>
 *
 * @since 0.9
 * @deprecated since 1.1 - use the HashedCredentialsMatcher directly and set its
 *             {@link HashedCredentialsMatcher#setHashAlgorithmName(String) hashAlgorithmName} property.
 */
public class Md5CredentialsMatcher extends HashedCredentialsMatcher {

    public Md5CredentialsMatcher() {
        super();
        setHashAlgorithmName(Md5Hash.ALGORITHM_NAME);
    }
}

複製程式碼

複製程式碼

 

3.使用MD5加密

  1). 修改配置檔案的Realm 的預設的credentialsMetcher 為

複製程式碼

複製程式碼

<bean id="jdbcRealm" class="com.java.shiro.realms.ShiroRealm">
        <property name="credentialsMatcher">
            <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
                <property name="hashAlgorithmName" value="MD5"></property> <!-- 加密演算法的名稱 -->
                <property name="hashIterations" value="1024"></property> <!-- 配置加密的次數 -->
            </bean>
        </property>
    </bean>

複製程式碼

複製程式碼

 

   2). 通過斷點可以看到,實際的加密為

  

  3). 通過 new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations); 我們可以得到"123456"經過MD5 加密1024後的字串;

複製程式碼

複製程式碼

public static void main(String[] args) {
        String hashAlgorithmName = "MD5";
        String credentials = "123456";
        int hashIterations = 1024;
        Object obj = new SimpleHash(hashAlgorithmName, credentials, null, hashIterations);
        System.out.println(obj);
    }

複製程式碼

複製程式碼

 

  將realm中的 明文123456改為fc1709d0a95a6be30bc5926fdb7f22f4

在進行登入測試。

登入成功。

 

4. 以上的加密還存在問題,如果兩個人的密碼一樣,即存在資料表裡中的兩個加密後的字串一樣,然而我們希望即使兩個人的密碼一樣,加密後的兩個字串也不一樣。即需要用到MD5鹽值加密。

  1).修改Realm使用鹽值加密 完整的ShiroRealm.java

  

複製程式碼

複製程式碼

public class ShiroRealm extends AuthenticatingRealm {

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(
            AuthenticationToken token) throws AuthenticationException {
        System.out.println("doGetAuthenticationInfo " + token);

        // 1. 把AuthenticationToken 轉換為UsernamePasswordToken
        UsernamePasswordToken up = (UsernamePasswordToken) token;
        // 2. 從UsernamePasswordToken 中來獲取username
        String username = up.getUsername();
        // 3. 呼叫資料庫的方法,從資料庫中查詢username對應的使用者記錄
        System.out.println("從資料庫中獲取userName :" + username + " 所對應的使用者資訊.");
        // 4. 若使用者不存在,則可以丟擲 UnknownAccoountException 異常
        if ("unknown".equals(username)) {
            throw new UnknownAccountException("使用者不存在");
        }
        // 5. 根據使用者資訊的情況,決定是否需要丟擲其他的AuthencationException 異常 假設使用者被鎖定
        if ("monster".equals(username)) {
            throw new LockedAccountException("使用者被鎖定");
        }
        // 6. 根據使用者的情況,來構建AuthenticationInfo 物件並返回,通常使用的是
        // SimpleAuthenticationInfo
        // 以下資訊是從資料庫獲取的.

        Object principal = username; // principal 認證的實體資訊.
                                        // 可以是username,也可以是資料表對應的使用者的實體類物件
//        String credentials = "fc1709d0a95a6be30bc5926fdb7f22f4"; // credentials:密碼
        String credentials = null; // credentials:密碼
        String realmName = getName();
        AuthenticationInfo info = null;/*new SimpleAuthenticationInfo(principal, credentials, realmName);*/
        
        if("admin".equals(username)){
            credentials = "038bdaf98f2037b31f1e75b5b4c9b26e"; 
        }else if("user".equals(username)){
            credentials = "098d2c478e9c11555ce2823231e02ec1"; 
        }
        
        ByteSource credentialsSalt = ByteSource.Util.bytes(username);//這裡的引數要給個唯一的;
        
        info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName);

        return info;
    }
    
}

複製程式碼

複製程式碼

 

  上邊的密碼我們可用mian方法得到

複製程式碼

複製程式碼

public static void main(String[] args) {
        String hashAlgorithmName = "MD5";
        String credentials = "123456";
        int hashIterations = 1024;
        ByteSource credentialsSalt = ByteSource.Util.bytes("user");
        Object obj = new SimpleHash(hashAlgorithmName, credentials, credentialsSalt, hashIterations);
        System.out.println(obj);
    }

複製程式碼

複製程式碼

 

經過測試,登入成功。

  2). 筆記

  • 1. 為什麼使用 MD5 鹽值加密:
    •   希望即使兩個原始密碼相同,加密得到的兩個字串也不同。
  • 2. 如何做到:
    •   1). 在 doGetAuthenticationInfo 方法返回值建立 SimpleAuthenticationInfo 物件的時候, 需要使用SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName) 構造器
    •   2). 使用 ByteSource.Util.bytes() 來計算鹽值.
    •   3). 鹽值需要唯一: 一般使用隨機字串或 user id
    •   4). 使用 new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations); 來計算鹽值加密後的密碼的值.

相關推薦

shiro系列shiro密碼MD5加密

  Shiro-密碼的MD5加密   1.密碼的加密   在資料表中存的密碼不應該是123456,而應該是123456加密之後的字串,而且還要求這個加密演算法是不可逆的,即由加密後的字串不能反推回來原來的密碼,如果能反推回來那這個加密是沒有意義的。   著名的

dubbo系列dubbo核心配置

rejected pool 無法 配置連接 http ali XML 負載 無效 一、配置文件 1、生產者配置provider.xml <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="ht

Apache Shiro)——Shiro會話管理

一、概述 Shiro 提供了完整的企業級會話管理功能,不依賴於底層容器(如web容器tomcat),不管 JavaSE 還是 JavaEE 環境都可以使用,提供了會話管理、會話事件監聽、會話儲存/持久化、容器無關的叢集、失效/過期支援、對Web 的透明支援、SSO 單點登入的支援等特

kafka系列kafka常用java API

引入maven包 <dependency> <groupId>org.apache.kafka</groupId> <artifactId>kafka_2.11</artifactId> <

訊息中介軟體系列rabbit訊息的確認機制

一、訊息的確認機制 1、消費者收到的每一條訊息都必須進行確認。(分為自動確認和消費者自行確認) 消費者在宣告佇列時,指定autoAck引數,true自動確認,false時rabbitmq會等到消費者顯示的發回一個ack訊號才會刪除訊息。autoAck=fals

使用者密碼MD5加密以及驗證

MD5概念:https://baike.baidu.com/item/MD5/212708?fr=aladdin 鹽值概念:https://baike.baidu.com/item/salt%E5%80%BC 註冊: 1、生成固定長度的隨機鹽; 2、使用者密碼加密生成32位16進位制

springBoot+springSecurity驗證密碼MD5加密

本文目的:使用springBoot+springSecurity 使用者授權驗證許可權功能,對使用者的登入密碼使用MD5 加密。 本文只講述對密碼加密部分。只需要修改securityConfig 檔案,並新增md5 工具類即可。 修改WebSecur

php網站密碼md5加密串比較方式

var_dump(md5('240610708') == md5('QNKCDZO')); var_dump(md5('aabg7XSs') == md5('aabC9RqS')); var_dump(sha1('aaroZmOk') == sha1('aaK1STfY')

步步為營 SharePoint 開發學習筆記系列 Web Part開發

概要     現在有兩種不同的Web部件。老的WSS風格的WebPart依賴於Microsoft.SharePoint.dll,必須繼承自WSS 2.0所定義的WebPart基類,其名稱空間為Microsoft.SharePoint.WebPartPages。新的ASP風格

步步為營UML建模系列時序圖(Squence diagram)

概述 順序圖是一種詳細表示物件之間以及物件與參與者例項之間互動的圖,它由一組協作的物件(或參與者例項)以及它們之間可傳送的訊息組成,它強調訊息之間的順序。 順序圖是一種詳細表示物件之間以及物件與系統外部的參與者之間動態聯絡的圖形文件。它詳細而直觀地表現了一組相互協作的物件在

密碼Md5加密+加鹽

package com.example.phone.utils; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; public class Digest

RabbitMQ學習系列:RabbitMQ整合Spring

最後學習一下RabbitMQ如何整合Spring,畢竟現在大多是使用框架來做專案。這篇主要使用的方式是XML配置。 介紹 RabbitMQ整合Spring的學習中,搭了兩個web專案,一個作為客戶端,一個作為服務端,放在一個專案中也可以實現效果,但

SpringBoot 密碼MD5加密

row encoder bytes string exception code exce utf-8 digest public class PasswordEncrypt { public static String encodeByMd5(String str

系列springMVC實現檔案上傳和跨伺服器上傳檔案

一、實現檔案上傳 專案目錄如下所示 一、匯入依賴和配置springmvc.xml、web.xml 這個兩個jar

shiro密碼的比對,密碼MD5加密MD5鹽值加密,多個Relme

有具體問題的可以參考之前的關於shiro的博文,關於shiro的博文均是一次工程的內容     密碼的比對   通過AuthenticatingRealm的CredentialsMatcher方法 密碼的加密,主要是在CredentialsMat

ssm整合shiro通過自定義Realm實現認證登入許可權處理自定義role攔截MD5加密

整合後實現功能 1.登入認證 2.許可權處理 3.自定義role攔截 4.md5加密 ssm整合shiro步驟 先看看整合完成後的專案結構 新建一個maven專案 配置pom.xml檔案 <?xml version="1.0" encoding="UT

Shiro許可權控制 ---base64加密MD5加密

在Java中也有MD5加密,現在咱們講的是Shiro許可權控制框架中自帶的加密方式,有base64加密、MD5加密 <span style="font-size:18px;">packa

Python學習心得() random生成驗證碼MD5加密pickle與json的序列化和反序列化

用法 div com ict file imp randint csdn == # -*- coding:utf-8 -*- import random as rd #驗證碼 import hashlib as hsl #MD5加密 import pickle,json

業務邏輯:完成認證用戶的動態授權功能 六完成Shiro整合Ehcache緩存權限數據

nbsp 數據 屬性 查詢 添加 系統 tro 系統管 核心 一、 完成認證用戶的動態授權功能 提示:根據當前認證用戶查詢數據庫,獲取其對應的權限,為其授權 操作步驟: 在realm的授權方法中通過使用principals對象獲取到當前登錄用戶 創建一個授權信息對象

springboot整合shiro(含MD5加密)

寫在前面: 關於shiro介紹以及shiro整合spring,我在另一篇文章中已詳細介紹,此處不作說明,請參考spring整合shiro。 開發環境: 1、mysql - 5.7.21 2、navicat(mysql客戶端管理工具) 3、idea 2017 4、