Shiro安全框架学习03 - 编码/加密

Posted 2022-12-05 麦田

md5加密

在涉及密码存储问题上，应该进行加密存储，而不能是明文，否则账号密码泄露，就会产生意想不到的后果。所以，通常都会采用非对称加密，什么是非对称呢，就是不可逆的，而md5就是这样一个算法。
如123456用md5加密后，得到字符串：e10adc3949ba59abbe56e057f20f883e

String password = "123456";
String encodedPassword = new Md5Hash(password).toString();
System.out.println(encodedPassword);

盐

上面讲了md5加密，但md5加密也有一些缺陷：如果我的密码是123456，你的也是123456，那么md5的值是一样的，通过比较加密后的字符串，就可以反推过来。
虽然md5不可逆，但可以用穷举法，把一些常用的密码的md5值记录下来，比如123，abcde等等，这样也可以破解一部分。
为了解决这个问题，引入了盐(salt)的概念，虽然每次123456的md5值都是e10adc3949ba59abbe56e057f20f883e，但是加上盐之后，即123456+随机数，那么md5值就不一样了，这个随机数 就是盐，而这个随机数也会在数据库里保存下来，每个不同的用户，随机数也是不一样的。再者就是加密次数，可以加密一次 也可以加密多次，加密次数越多，密文的安全性也就越高。

String password = "123456";
String salt = new SecureRandomNumberGenerator().nextBytes().toString(); //随机数：盐
int times = 2; //加密次数
String algorithmName = "md5"; //散列算法
 
String encodedPassword = new SimpleHash(algorithmName,password,salt,times).toString();
System.out.println("密文：" + encodedPassword);

获取密文和盐

public class PasswordHelper 

	public static void main(String[] args) 
		String algorithmName = "md5";
		String username = "itmyhome";
		String password = "123456";
		String salt1 = password;
		String salt2 = new SecureRandomNumberGenerator().nextBytes().toHex();
		int hashIterations = 2;
		SimpleHash hash = new SimpleHash(algorithmName, password,
				salt1 + salt2, hashIterations);
		String encodedPassword = hash.toHex();
		//每次输出结果都不一样
		System.out.println("密文：" + encodedPassword); //b4b88b2ef28089f9c802df11bd216a33
		System.out.println("盐：" + salt2); //713183f112f48824613f0f05d0d10060

	

修改Realm

public class UserRealm extends AuthorizingRealm  

	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection arg0) 
		// TODO Auto-generated method stub
		return null;
	

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken token) throws AuthenticationException 
		// TODO Auto-generated method stub
		
		//获取账号密码
		UsernamePasswordToken t = (UsernamePasswordToken) token;
        String password = new String(t.getPassword());
		String username = (String) token.getPrincipal();
		
		//获取数据库种的密码、盐（此处写死，测试用）
		User user = new User();
		user.setUsername(username);
		user.setPassword("b4b88b2ef28089f9c802df11bd216a33");
		user.setSalt("713183f112f48824613f0f05d0d10060");
		
		if (!"itmyhome".equals(username)) 
			// 抛出 帐号找不到异常
			throw new UnknownAccountException();
		
		
		SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
				user.getUsername(), // 用户名
				user.getPassword(), // 密码
				ByteSource.Util.bytes(password + user.getSalt()),// salt=password+salt
				getName() // realm name
		);
		return authenticationInfo;
	

ini配置

[main]
credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher  
credentialsMatcher.hashAlgorithmName=md5  
credentialsMatcher.hashIterations=2  
credentialsMatcher.storedCredentialsHexEncoded=true  

userRealm=com.itmyhome.UserRealm
securityManager.realms=$userRealm
#这行很重要
userRealm.credentialsMatcher=$credentialsMatcher

通过credentialsMatcher.hashAlgorithmName=md5指定散列算法为md5，需要和生成密码时的一样
credentialsMatcher.hashIterations=2，散列迭代次数
credentialsMatcher.storedCredentialsHexEncoded=true表示是否存储散列后的密码为16进制
此处最需要注意的就是HashedCredentialsMatcher的算法需要和生成密码时的算法一样。
另外HashedCredentialsMatcher会自动根据AuthenticationInfo的类型是否是SaltedAuthenticationInfo来获取credentialsSalt盐。

测试类

public class ShiroTest 

	private static Logger logger = LoggerFactory.getLogger(ShiroTest.class);

	public static void main(String[] args) 
      
		//获取SecurityManager工厂，此处使用Ini配置文件初始化SecurityManager  
        Factory<SecurityManager> factory =  new IniSecurityManagerFactory("classpath:auth.ini");
 
        //得到SecurityManager实例 并绑定给SecurityUtils  
        SecurityManager securityManager = factory.getInstance();
        SecurityUtils.setSecurityManager(securityManager);
        
        //得到Subject及创建用户名/密码身份验证Token（即用户身份/凭证）  
        Subject subject = SecurityUtils.getSubject();
        UsernamePasswordToken token = new UsernamePasswordToken("itmyhome","123456");
        
        try
            //登录，即身份验证  
        	subject.login(token);
        catch(org.apache.shiro.authc.AuthenticationException e)
        	//身份验证失败
        	e.printStackTrace();
        
        
        System.out.println(subject.getPrincipal());
        System.out.println("User is authenticated:  " + subject.isAuthenticated());