文档章节

shiro的HashedCredentialsMatcher密码匹配过程

Jonneykang
 Jonneykang
发布于 2017/09/07 09:12
字数 565
阅读 10
收藏 0
点赞 0
评论 0

1.加密
用户注册时,系统为输入的密码进行加密,此处使用MD5算法,“密码+盐(用户名+随机数)”的方式生成散列值:

 

public class passwordEncry{

 

    //随机数生成器

    private static RandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator();

 

    //指定散列算法为md5

    private String algorithmName = "MD5";

    //散列迭代次数

    private final int hashIterations = 2;

 

    /**

     * 生成随机盐值对密码进行加密

     * @param userLogin  登录识别串(用户名)

     * @return

     */

    public UserLogin encrypt(UserLogin userLogin) {

        userLogin.setSalt(randomNumberGenerator.nextBytes().

        toHex());

        String newPassword =

        new SimpleHash(algorithmName,userLogin.getPassword(),

            ByteSource.Util.bytes(userLogin.getCredentialsSalt()),hashIterations).toHex();

 

        userLogin.setPassword(newPassword);

        return userLogin;

 

        ``````````````````````

    }

    }

这里的userLogin.getCredentialsSalt()为加密盐,我这里的盐设为(登录识别串+随机数),生成一个新的加密密码,并把新密码覆盖原明文密码存到数据库。加密完成。

2.HashedCredentialsMatcher的配置

<bean id="credentialsMatcher"

        class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">

        <property name="hashAlgorithmName" value="MD5" />

        <property name="hashIterations" value="2" />

        <property name="storedCredentialsHexEncoded" value="true" />

    </bean>

HashedCredentialsMatcher配置的属性值要跟加密时的属性(hashAlgorithmName,hashIterations,storedCredentialsHexEncoded)一致,storedCredentialsHexEnc表示是否存储散列后的密码为16进制,需要和生成密码时的一样。

3.得到Token
从客户输入获取token(令牌)

   @Override

    protected AuthenticationToken createToken(ServletRequest request,ServletResponse response) {

        String username = request.getParameter("loginString");

        String password = request.getParameter("pwd");

        String rememberMe = request.getParameter("rememberMe");

        String host = getHost(request);

        UsernamePasswordToken token =

                new UsernamePasswordToken(username,

                password,

                Boolean.parseBoolean(rememberMe), host);

 

                return token;

    }

4.Realm认证
自己实现一个Realm,重写doGetAuthenticationInfo,得到一个AuthenticationInfo对象。

 @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

 

        String username = (String)token.getPrincipal();

 

        UserLogin userLogin = userService.getUserLogin(username);

 

        if (userLogin == null) {

            throw new UnknownAccountException("用户不存在");

        }

 

        if("S".equals(userLogin.getStatus())) {

            throw new LockedAccountException("无效账号");

        }

 

        SimpleAuthenticationInfo authenticationInfo =

        new SimpleAuthenticationInfo(

            userLogin, //登录识别串信息

            userLogin.getPassword(), //密码

           ByteSource.Util.bytes(userLogin.getCredentialsSalt()),//盐值

                getName()  //realm name

        );

        return authenticationInfo;

    }

5.密码的匹配
最终会来到HashedCredentialsMatcher类的doCredentialsMatch()方法进行密码的比对,此方法包含两个参数AuthenticationToken token, AuthenticationInfo info,思路一下子豁然开朗。

  @Override

    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {

 

        Object tokenHashedCredentials =

        hashProvidedCredentials(token, info); 

 

        Object accountCredentials = getCredentials(info);

 

       return equals(tokenHashedCredentials, accountCredentials);

    }

方法的最后通过一个equals函数进行散列的比较:

           //equals()方法的主要代码:

            byte[] tokenBytes = toBytes(tokenCredentials);

            byte[] accountBytes = toBytes(accountCredentials);

            return Arrays.equals(tokenBytes, accountBytes);

验证完毕,最后执行subject.login(token)登录成功。

此处只简单介绍了shiro一种匹配器HashedCredentialsMatcher的认证过程,除了这个匹配器还有另外的匹配器,如PasswordMatcher(密码匹配器),道理都差不多

 

© 著作权归作者所有

共有 人打赏支持
Jonneykang
粉丝 0
博文 1
码字总数 565
作品 0
丰台
跟开涛老师学shiro -- 编码/加密

在涉及到密码存储问题上,应该加密/生成密码摘要存储,而不是存储明文密码。比如之前的600w csdn账号泄露对用户可能造成很大损失,因此应加密/生成不可逆的摘要方式存储。 5.1 编码/解码 Sh...

文艺小青年
2017/07/06
0
0
shiro+springMVC整合文档及Demo

1.web.xml <!-- 配置Shiro过滤器,先让Shiro过滤系统接收到的请求 --> <!-- 这里filter-name必须对应定义的<bean id="shiroFilter"/> --> <!-- 使用[/*]匹配所有请求,保证所有的可控请求都经过......

罗曼蒂克瑟尔
2015/09/29
2.3K
28
将 Shiro 作为应用的权限基础 五:密码的加密/解密在Spring中的应用

考虑系统密码的安全,目前大多数系统都不会把密码以明文的形式存放到数据库中。 一把会采取以下几种方式对密码进行处理 密码的存储 “编码”存储 Shiro 提供了 base64和 16 进制字符串编码/...

有资本再款
2015/12/13
421
0
shiro之编码加密

一、Shiro 提供了base64和16进制字符串编码/解码的API支持: 二、散列算法 散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据,常见的散列算法如MD5、S...

沉默的懒猫
2016/07/07
799
1
30分钟学会如何使用Shiro

一、架构 要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙。Shiro的应用不依赖任何容器,它也可以在JavaSE下使用。但是最常用的环境还是JavaEE。下面以用户登...

qq5923dd411b8fa
2017/05/23
0
0
30分钟学会如何使用Shiro

摘要: Shiro的核心部分是SecurityManager,它负责安全认证与授权。Shiro本身已经实现了所有的细节,用户可以完全把它当做一个黑盒来使用。SecurityUtils对象,本质上就是一个工厂类似Spring中...

qq592fbb5b34ad7
2017/06/07
0
0
springmvc整合shiro 会话管理时候报错

配置代码

李永china
2016/06/06
552
5
30分钟学会如何使用Shiro

一、架构 要学习如何使用Shiro必须先从它的架构谈起,作为一款安全框架Shiro的设计相当精妙。Shiro的应用不依赖任何容器,它也可以在JavaSE下使用。但是最常用的环境还是JavaEE。下面以用户登...

qq58edeba279279
06/26
0
0
shiro基础配置

spring-shiro.xml文件 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:......

卯金刀GG
2016/09/09
25
0
Shiro之加密方式-yellowcong

Shiro加密验证,是通过自身的方式来进行验证的。有无加密和加密的两种验证方式。在密码的生成方面,我们可以通过来生成密码。 源码下载地址 https://gitee.com/yellowcong/shior-dmeo/tree/m...

yelllowcong
2017/12/17
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

Xshell登录阿里云服务器ECS

Xshell登录阿里云服务器ECS 1. 参考资料: 1). 《阿里云服务器怎么用?阿里云服务器使用教程》 链接:http://www.cr173.com/html/50758_1.html 2). eagle-zhang的CSDN博客《Xshell连接不上阿...

SuShine
9分钟前
0
0
IDEA中的HTTP Client Editor测试API

在前后端分离项目,前后端通过api进行通信。如果用postman免费版进行api测试的话,由于无法保存测试脚本到文件,不方便前端查看。 你可以选择付费版。也可以利用IDEA自带的HTTP Client Edito...

hutaishi
12分钟前
0
0
解决“只能通过Chrome网上应用商店安装该程序”的方法

摘要 : 最近有些用户反映某个Chrome插件在安装的时候,提示“只能通过Chrome网上应用商店安装该程序”,为了解决这一问题,Chrome插件网带来了相关的解决方法。 某些用户在Chrome插件网下载了...

沧海一刀
13分钟前
0
0
通过UNIX域套接字传递文件描述符

  传送文件描述符是高并发网络服务编程的一种常见实现方式。Nebula 高性能通用网络框架即采用了UNIX域套接字传递文件描述符设计和实现。本文详细说明一下传送文件描述符的应用。 1. TCP服务...

Bwar
16分钟前
0
0
python操作Excle

# -*- coding: utf-8 -*-from openpyxl import load_workbook, Workbook#index:第几个sheet页,第一个sheet页的index为0def readExcle(filename,index): # 加载excle文件 wb = l......

淺陌离殇
18分钟前
0
0
Apache爆日志文件漏洞

全球使用最广泛的Web服务器Apache近日被爆出了一个安全漏洞,该漏洞可能导致攻击者控制服务器。 该漏洞包含在mod_rewrite 模块中的do_rewritelog()日志函数中。由于该函数还无法完全过滤写入...

问题终结者
52分钟前
0
0
阿里巴巴内部开发手册

现代软件架构的复杂性需要协同开发完成,如何高效地协同呢?无规矩不成方圆,无规范难以协同,比如,制订交通法规表面上是要限制行车权,实际上是保障公众的人身安全,试想如果没有限速,没有...

zbbmaster
57分钟前
0
0
34.任务计划cron chkconfig systemctl管理服务 unit target

10.23 linux任务计划cron 10.24 chkconfig工具 10.25 systemd管理服务 10.26 unit介绍 10.27 target介绍 10.23 linux任务计划cron: 在linux中任务计划是必不可少的,因为可能我们凌晨的时候...

王鑫linux
57分钟前
0
0
logback.xml for spring boot

logback.xml config <?xml version="1.0" encoding="UTF-8"?><configuration> <conversionRule conversionWord="clr" converterClass="org.springframework.boot.logging.logback.Colo......

qwfys
58分钟前
0
0
告警系统邮件引擎 运行告警系统

告警系统邮件引擎 因为之前做zabbix的时候,做过mail.py的脚本,在这里,直接调用进行使用就可以。 但是告警邮件引擎核心,conf主配置文件调用到的都是mail.sh ,所以这里需要定义调用mail....

lyy549745
58分钟前
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部