Shiro -认证凭据(密码)加密的那些事-阿里云开发者社区

Shiro -认证凭据(密码)加密的那些事

2023-12-13 38

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： Shiro -认证凭据(密码)加密的那些事

一般来说，实际项目中隐私数据没有在网络上明文跑路，都会采用不同的加密算法。Shiro中的认证凭据通常也会采用算法进行加密。

【1】CredentialsMatcher接口

该接口只有一个方法，doCredentialsMatch，就是用来进行密码比较的！

源码如下：

public interface CredentialsMatcher {
    /**
     * Returns {@code true} if the provided token credentials match the stored account credentials,
     * {@code false} otherwise.
     *
     * @param token   the {@code AuthenticationToken} submitted during the authentication attempt
     * @param info the {@code AuthenticationInfo} stored in the system.
     * @return {@code true} if the provided token credentials match the stored account credentials,
     *         {@code false} otherwise.
     */
    boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info);
}

其实现类如下：

里面可以看到我们常用的MD5算法和SHA-X算法。

其中Md5CredentialsMatcher 和Sha1CredentialsMatcher 标注已经过时，通常我们会直接在容器中注册HashedCredentialsMatcher来使用！

如这里我们注册HashedCredentialsMatcher并指定算法为Md5,xml配置如下：

<!-- 自定义Realm -->
<bean id="customRealm" class="com.web.maven.shiro.CustomRealm">
   <!-- 将凭证匹配器设置到realm中，realm按照凭证匹配器的要求进行散列 -->
   <property name="credentialsMatcher">
      <bean  class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
    <!-- 加密算法 -->
         <property name="hashAlgorithmName" value="MD5"/>
         <!-- 加密次数 -->
         <property name="hashIterations" value="1"/>
       </bean>
   </property>
</bean>

【2】盐值加密

使用【1】中的配置情况下，如果两个人的原始密码一样，那么其加密后的密码也相同，同样存在风险。

在HashedCredentialsMatcher中有这样一个方法：

 protected Hash hashProvidedCredentials(Object credentials, Object salt, int hashIterations) {
     String hashAlgorithmName = assertHashAlgorithmName();
     return new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations);
 }

其中new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations)就是根据提供的原始凭据，加密算法，盐值和加密次数进行加密并返回加密后的结果。盐值是一个唯一字符串，这里你可以使用loginName作为加密盐值。

步骤如下：

在 doGetAuthenticationInfo 方法返回值创建 SimpleAuthenticationInfo 对象的时候, 需要使用

SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName) 构造器；

使用 ByteSource.Util.bytes() 来计算盐值；

盐值需要唯一，一般使用随机字符串或 user id；

使用 new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations); 来计算盐值加密后的密码的值。

如果使用盐值加密，我们的doGetAuthenticationInfo修改如下：

  @Override
  protected AuthenticationInfo doGetAuthenticationInfo(
      AuthenticationToken authenticationToken) throws AuthenticationException {
      UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
          //获取页面传来的用户账号
      String loginName = token.getUsername();
          //根据登录账号从数据库查询用户信息
          SysUser user = sysUserService.getUserByLoginCode(loginName);
          System.out.println("从数据库查询到的用户信息 ： "+user);
          //一些异常新娘西
          if (null == user) {
            throw new UnknownAccountException();//没找到帐号
          }
          if (user.getStatus()==null||user.getStatus()==0) {
            throw new LockedAccountException();//帐号被锁定
          }
          //其他异常...
          //返回AuthenticationInfo的实现类SimpleAuthenticationInfo
//          return new SimpleAuthenticationInfo(user, user.getPassword(), this.getName());
          //盐值加密
          ByteSource credentialsSalt = ByteSource.Util.bytes(loginName);
          return new SimpleAuthenticationInfo(user, user.getPassword(), credentialsSalt, this.getName());
  }

Shiro -认证凭据(密码)加密的那些事

【1】CredentialsMatcher接口

【2】盐值加密

热门文章

最新文章

相关电子书

相关实验场景