文档章节

shiro的HashedCredentialsMatcher密码匹配过程

Jonneykang
 Jonneykang
发布于 2017/09/07 09:12
字数 565
阅读 14
收藏 0

1.加密
用户注册时,系统为输入的密码进行加密,此处使用MD5算法,“密码+盐(用户名+随机数)”的方式生成散列值:

 

public class passwordEncry{

 

    //随机数生成器

    private static RandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator();

 

    //指定散列算法为md5

    private String algorithmName = "MD5";

    //散列迭代次数

    private final int hashIterations = 2;

 

    /**

     * 生成随机盐值对密码进行加密

     * @param userLogin  登录识别串(用户名)

     * @return

     */

    public UserLogin encrypt(UserLogin userLogin) {

        userLogin.setSalt(randomNumberGenerator.nextBytes().

        toHex());

        String newPassword =

        new SimpleHash(algorithmName,userLogin.getPassword(),

            ByteSource.Util.bytes(userLogin.getCredentialsSalt()),hashIterations).toHex();

 

        userLogin.setPassword(newPassword);

        return userLogin;

 

        ``````````````````````

    }

    }

这里的userLogin.getCredentialsSalt()为加密盐,我这里的盐设为(登录识别串+随机数),生成一个新的加密密码,并把新密码覆盖原明文密码存到数据库。加密完成。

2.HashedCredentialsMatcher的配置

<bean id="credentialsMatcher"

        class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">

        <property name="hashAlgorithmName" value="MD5" />

        <property name="hashIterations" value="2" />

        <property name="storedCredentialsHexEncoded" value="true" />

    </bean>

HashedCredentialsMatcher配置的属性值要跟加密时的属性(hashAlgorithmName,hashIterations,storedCredentialsHexEncoded)一致,storedCredentialsHexEnc表示是否存储散列后的密码为16进制,需要和生成密码时的一样。

3.得到Token
从客户输入获取token(令牌)

   @Override

    protected AuthenticationToken createToken(ServletRequest request,ServletResponse response) {

        String username = request.getParameter("loginString");

        String password = request.getParameter("pwd");

        String rememberMe = request.getParameter("rememberMe");

        String host = getHost(request);

        UsernamePasswordToken token =

                new UsernamePasswordToken(username,

                password,

                Boolean.parseBoolean(rememberMe), host);

 

                return token;

    }

4.Realm认证
自己实现一个Realm,重写doGetAuthenticationInfo,得到一个AuthenticationInfo对象。

 @Override

    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

 

        String username = (String)token.getPrincipal();

 

        UserLogin userLogin = userService.getUserLogin(username);

 

        if (userLogin == null) {

            throw new UnknownAccountException("用户不存在");

        }

 

        if("S".equals(userLogin.getStatus())) {

            throw new LockedAccountException("无效账号");

        }

 

        SimpleAuthenticationInfo authenticationInfo =

        new SimpleAuthenticationInfo(

            userLogin, //登录识别串信息

            userLogin.getPassword(), //密码

           ByteSource.Util.bytes(userLogin.getCredentialsSalt()),//盐值

                getName()  //realm name

        );

        return authenticationInfo;

    }

5.密码的匹配
最终会来到HashedCredentialsMatcher类的doCredentialsMatch()方法进行密码的比对,此方法包含两个参数AuthenticationToken token, AuthenticationInfo info,思路一下子豁然开朗。

  @Override

    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {

 

        Object tokenHashedCredentials =

        hashProvidedCredentials(token, info); 

 

        Object accountCredentials = getCredentials(info);

 

       return equals(tokenHashedCredentials, accountCredentials);

    }

方法的最后通过一个equals函数进行散列的比较:

           //equals()方法的主要代码:

            byte[] tokenBytes = toBytes(tokenCredentials);

            byte[] accountBytes = toBytes(accountCredentials);

            return Arrays.equals(tokenBytes, accountBytes);

验证完毕,最后执行subject.login(token)登录成功。

此处只简单介绍了shiro一种匹配器HashedCredentialsMatcher的认证过程,除了这个匹配器还有另外的匹配器,如PasswordMatcher(密码匹配器),道理都差不多

 

© 著作权归作者所有

共有 人打赏支持
Jonneykang
粉丝 0
博文 1
码字总数 565
作品 0
丰台
「实用教程」登录失败超过一定次数如何锁定帐号?

前言 本教程作者是「小灯光环」,作者简介:全栈开发工程师,CSDN博客专家,CSDN论坛 Java Web/Java EE版主,热爱技术,乐于分享,在分布式Web开发/Android开发/微信小程序开发/Linux系统优化...

技术小能手
08/02
0
0
跟开涛老师学shiro -- 编码/加密

在涉及到密码存储问题上,应该加密/生成密码摘要存储,而不是存储明文密码。比如之前的600w csdn账号泄露对用户可能造成很大损失,因此应加密/生成不可逆的摘要方式存储。 5.1 编码/解码 Sh...

文艺小青年
2017/07/06
0
0
shiro+springMVC整合文档及Demo

1.web.xml <!-- 配置Shiro过滤器,先让Shiro过滤系统接收到的请求 --> <!-- 这里filter-name必须对应定义的<bean id="shiroFilter"/> --> <!-- 使用[/*]匹配所有请求,保证所有的可控请求都经过......

罗曼蒂克瑟尔
2015/09/29
2.3K
28
将 Shiro 作为应用的权限基础 五:密码的加密/解密在Spring中的应用

考虑系统密码的安全,目前大多数系统都不会把密码以明文的形式存放到数据库中。 一把会采取以下几种方式对密码进行处理 密码的存储 “编码”存储 Shiro 提供了 base64和 16 进制字符串编码/...

有资本再款
2015/12/13
421
0
shiro之编码加密

一、Shiro 提供了base64和16进制字符串编码/解码的API支持: 二、散列算法 散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据,常见的散列算法如MD5、S...

沉默的懒猫
2016/07/07
799
1

没有更多内容

加载失败,请刷新页面

加载更多

利用碎片化时间Get Linux系统

起初,我做着一份与IT毫无关系的工作,每月领着可怜的工资,一直想改变现状,但无从下手,也就是大家熟知的迷茫。我相信,每一个人都会或多或少的经历过迷茫,迷茫每一个选择,迷茫工作或者生...

Linux就该这么学
25分钟前
0
0
图像显示深入学习一:Activity启动过程

一个月左右写了图像显示深入学习之文章开篇文章表明了自己近期的计划,前半年重新学习了opengl es,c++以及Linux的一些知识,觉得是时候开始看图像这一块的源码了,边看边补缺补漏吧。 作为该...

JerryLin123
48分钟前
1
0
给MySQL授权远程访问

putty登录服务器; 登录MySQL: mysql -u root -p 新建远程用户: CREATE USER 'myusername' IDENTIFIED BY 'mypassword'; 授权: grant all on *.* to john@'101.102.103.104' identified by......

sweethome
今天
1
0
在t-io老巢造谣,不过有造谣的就会有反造谣的!

只发当事人的截图,不发表评论,以免有引导嫌疑 PS: 截图是由不同的人发过来的 本人已经不在此微信群 图3:有造谣的,就有反造谣的 图4是2018-09-23的t-io官方群的一个发言小统计,有助于让...

talent-tan
今天
100
0
heartbeat 资源

drbd+apache+heartbeat : http://blog.51cto.com/11838039/1827901 heartbeat双机热备的架设 : http://blog.51cto.com/11838039/1827560 对heaetbeat的深一步认识 : http://blog.51cto.co......

寰宇01
今天
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部