Shiro认证时的密码比对

Posted 凯少

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Shiro认证时的密码比对相关的知识,希望对你有一定的参考价值。

在前面一节《Shiro在Web环境下集成Spring的大致工作流程》的最后一步中提到由Shiro完整密码比对。

那么具体是怎么工作的?

1,既然shiro会把密码来进行比对,当然会调用 UserNamePasswordkToken 中的 getPassword() 方法了。在该方法中打上断点,往前跟踪一下即可。
     

 

2,开启debug模式,跟踪发现 org.apache.shiro.authc.credential.SimpleCredentialsMatcher 类进行密码的比对
     

 

3,继续跟踪,发现我们自定义Realm的父类方法调用了 CrendebtialsMatcher组件 进行密码比对
     

 

CrendentialsMatcher组件(凭证匹配器)作用
     1,用来进行密码比对。
     2,用来对密码进行加密。
     3,shiro提供了该组件接口的很多实现类,用于不同类型的密码加密。
          常用的加密实现类为:HashedCrendentialsMatcher
     4,替换当前 Realm 的 crendentialsMatcher 属性,直接使用 HasedCrendentialsMatcher 对象,并设置加密算法即可。
 
结论:
     ①通过 AuthenticatingRealm 的 CrendentialsMatcher 属性来进行的密码的比对
     ②指定具体的 CrendentialsMatcher 接口的实现类来设置加密算法,盐值和循环加密次数
     ③如果两个用户拥有相同的原始密码,那么加密后的数据也是一样的,这还是有点安全隐患的,所以盐值最好设置为一个用户的唯一值(一般采用用户名)。
     ④在自定义Realm的认证方法(doAuthenticationInfo方法),返回的SimpeAuthenticationInfo对象时,需要采用带有ByteSource参数的构造函数来构建对象。
          ByteSource对象可以采用ByteSource.Util.byte(String UserID)获取;
     ⑤使用 new SimpleHash(hashAlgorithmName,salt,hashIterations); 来计算加盐后的密码值。

以上是关于Shiro认证时的密码比对的主要内容,如果未能解决你的问题,请参考以下文章

Spring security 个人理解

序列比对及算法模式的选择

5分钟搞懂:基于token的用户认证

Elasticsearch中文分词器比对表

Spring Security学习——密码加密

Spring Security学习——密码加密