md5 加密

在前面的例子里,用户密码是明文的,这样是有巨大风险的,一旦泄露,就不好了。
所以,通常都会采用非对称加密,什么是非对称呢?就是不可逆的,而 md5 就是这样一个算法.
如代码所示 123 用 md5 加密后,得到字符串: 202CB962AC59075B964B07152D234B70
这个字符串,却无法通过计算,反过来得到源密码是 123.
这个加密后的字符串就存在数据库里了,下次用户再登陆,输入密码 123, 同样用md5 加密后,再和这个字符串一比较,就知道密码是否正确了。
如此这样,既能保证用户密码校验的功能,又能保证不暴露密码。

 package com.how2java;

 import org.apache.shiro.crypto.hash.Md5Hash;

 public class TestEncryption {

     public static void main(String[] args) {

         String password = "123";

         String encodedPassword = new Md5Hash(password).toString();

         System.out.println(encodedPassword);

     }

 }

这个大家都用过,没啥好说的。

面讲了md5加密,但是md5加密又有一些缺陷:
1. 如果我的密码是 123,你的也是 123, 那么md5的值是一样的,那么通过比较加密后的字符串,我就可以反推过来,原来你的密码也是123.
2. 与上述相同,虽然 md5 不可逆,但是我可以穷举法呀,我把特别常用的100万或者更多个密码的 md5 值记录下来,比如12345的,abcde的。 相当一部分人用的密码也是这些,那么只要到数据库里一找,也很快就可以知道原密码是多少了。这样看上去也就破解了,至少一部分没有想象中那么安全吧。
为了解决这个问题,引入了盐的概念。 盐是什么意思呢? 比如炒菜,直接使用md5,就是对食材(源密码)进行炒菜,因为食材是一样的,所以炒出来的味道都一样,可是如果加了不同分量的盐,那么即便食材一样,炒出来的味道也就不一样了。

所以,虽然每次 123 md5 之后都是202CB962AC59075B964B07152D234B70,但是 我加上盐,即 123+随机数,那么md5值不就不一样了吗? 这个随机数,就是盐,而这个随机数也会在数据库里保存下来,每个不同的用户,随机数也是不一样的。
再就是加密次数,加密一次是202CB962AC59075B964B07152D234B70,我可以加密两次呀,就是另一个数了。 而黑客即便是拿到了加密后的密码,如果不知道到底加密了多少次,也是很难办的。

在代码里就演示了,如何用Shiro自带的工具类,做生成盐,两次md5的做法,如图所示得到一串机密都很高的密文。

 
 package com.how2java;

 import org.apache.shiro.crypto.SecureRandomNumberGenerator;

 import org.apache.shiro.crypto.hash.SimpleHash;

 public class TestEncryption {

     public static void main(String[] args) {

         String password = "123";

         String salt = new SecureRandomNumberGenerator().nextBytes().toString();

         int times = 2;

         String algorithmName = "md5";

         String encodedPassword = new SimpleHash(algorithmName,password,salt,times).toString();

         System.out.printf("原始密码是 %s , 盐是: %s, 运算次数是: %d, 运算出来的密文是:%s ",password,salt,times,encodedPassword);

     }

 }

数据库调整

有了以上基础,那么就可以开始在原来的教程里加入对加密的支持了。 在开始之前,要修改一下user表,加上盐 字段: salt。
因盐是随机数,得保留下来,如果不知道盐巴是多少,我们也就没法判断密码是否正确了。
 alter table user add (salt varchar(100) )

User

 给user实体类添加一个salt属性,并提供getter和setter方法。
 package com.how2java;

 public class User {

     private int id;

     private String name;

     private String salt;

     private String password;

     public String getName() {

         return name;

     }

     public void setName(String name) {

         this.name = name;

     }

     public String getPassword() {

         return password;

     }

     public void setPassword(String password) {

         this.password = password;

     }

     public int getId() {

         return id;

     }

     public void setId(int id) {

         this.id = id;

     }

     public String getSalt() {

         return salt;

     }

     public void setSalt(String salt) {

         this.salt = salt;

     }

 }

点击展开

DAO

增加两个方法 createUser,getUser
createUser 用于注册,并且在注册的时候,将用户提交的密码加密
getUser 用于取出用户信息,其中不仅仅包括加密后的密码,还包括盐

 package com.how2java;

 import java.sql.Connection;

 import java.sql.DriverManager;

 import java.sql.PreparedStatement;

 import java.sql.ResultSet;

 import java.sql.SQLException;

 import java.util.HashSet;

 import java.util.Set;

 import org.apache.shiro.crypto.SecureRandomNumberGenerator;

 import org.apache.shiro.crypto.hash.SimpleHash;

 public class DAO {

     public DAO() {

         try {

             Class.forName("com.mysql.jdbc.Driver");

         } catch (ClassNotFoundException e) {

             e.printStackTrace();

         }

     }

     public Connection getConnection() throws SQLException {

         return DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/shiro?characterEncoding=UTF-8", "root",

                 "admin");

     }

     public String createUser(String name, String password) {

         String sql = "insert into user values(null,?,?,?)";

         String salt = new SecureRandomNumberGenerator().nextBytes().toString(); //盐量随机

         String encodedPassword= new SimpleHash("md5",password,salt,2).toString();

         try (Connection c = getConnection(); PreparedStatement ps = c.prepareStatement(sql);) {

             ps.setString(1, name);

             ps.setString(2, encodedPassword);

             ps.setString(3, salt);

             ps.execute();

         } catch (SQLException e) {

             e.printStackTrace();

         }

         return null;       

     }

     public String getPassword(String userName) {

         String sql = "select password from user where name = ?";

         try (Connection c = getConnection(); PreparedStatement ps = c.prepareStatement(sql);) {

             ps.setString(1, userName);

             ResultSet rs = ps.executeQuery();

             if (rs.next())

                 return rs.getString("password");

         } catch (SQLException e) {

             e.printStackTrace();

         }

         return null;

     }

     public User getUser(String userName) {

         User user = null;

         String sql = "select * from user where name = ?";

         try (Connection c = getConnection(); PreparedStatement ps = c.prepareStatement(sql);) {

             ps.setString(1, userName);

             ResultSet rs = ps.executeQuery();

             if (rs.next()) {

                 user = new User();

                 user.setId(rs.getInt("id"));

                 user.setName(rs.getString("name"));

                 user.setPassword(rs.getString("password"));

                 user.setSalt(rs.getString("salt"));

             }

         } catch (SQLException e) {

             e.printStackTrace();

         }

         return user;

     }

     public Set<String> listRoles(String userName) {

         Set<String> roles = new HashSet<>();

         String sql = "select r.name from user u "

                 + "left join user_role ur on u.id = ur.uid "

                 + "left join Role r on r.id = ur.rid "

                 + "where u.name = ?";

         try (Connection c = getConnection(); PreparedStatement ps = c.prepareStatement(sql);) {

             ps.setString(1, userName);

             ResultSet rs = ps.executeQuery();

             while (rs.next()) {

                 roles.add(rs.getString(1));

             }

         } catch (SQLException e) {

             e.printStackTrace();

         }

         return roles;

     }

     public Set<String> listPermissions(String userName) {

         Set<String> permissions = new HashSet<>();

         String sql =

             "select p.name from user u "+

             "left join user_role ru on u.id = ru.uid "+

             "left join role r on r.id = ru.rid "+

             "left join role_permission rp on r.id = rp.rid "+

             "left join permission p on p.id = rp.pid "+

             "where u.name =?";

         try (Connection c = getConnection(); PreparedStatement ps = c.prepareStatement(sql);) {

             ps.setString(1, userName);

             ResultSet rs = ps.executeQuery();

             while (rs.next()) {

                 permissions.add(rs.getString(1));

             }

         } catch (SQLException e) {

             e.printStackTrace();

         }

         return permissions;

     }

 }

点击展开

DatabaseRealm

修改 DatabaseRealm,把用户通过 UsernamePasswordToken 传进来的密码,以及数据库里取出来的 salt 进行加密,加密之后再与数据库里的密文进行比较,判断用户是否能够通过验证。

 package com.how2java;

 import java.util.Set;

 import org.apache.shiro.authc.AuthenticationException;

 import org.apache.shiro.authc.AuthenticationInfo;

 import org.apache.shiro.authc.AuthenticationToken;

 import org.apache.shiro.authc.SimpleAuthenticationInfo;

 import org.apache.shiro.authc.UsernamePasswordToken;

 import org.apache.shiro.authz.AuthorizationInfo;

 import org.apache.shiro.authz.SimpleAuthorizationInfo;

 import org.apache.shiro.crypto.hash.SimpleHash;

 import org.apache.shiro.realm.AuthorizingRealm;

 import org.apache.shiro.subject.PrincipalCollection;

 import org.apache.shiro.util.ByteSource;

 public class DatabaseRealm extends AuthorizingRealm {

     @Override

     protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

         //能进入到这里,表示账号已经通过验证了

         String userName =(String) principalCollection.getPrimaryPrincipal();

         //通过DAO获取角色和权限

         Set<String> permissions = new DAO().listPermissions(userName);

         Set<String> roles = new DAO().listRoles(userName);

         //授权对象

         SimpleAuthorizationInfo s = new SimpleAuthorizationInfo();

         //把通过DAO获取到的角色和权限放进去

         s.setStringPermissions(permissions);

         s.setRoles(roles);

         return s;

     }

     @Override

     protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

         //获取账号密码

         UsernamePasswordToken t = (UsernamePasswordToken) token;

         String userName= token.getPrincipal().toString();

         String password =new String(t.getPassword());

         //获取数据库中的密码

         User user = new DAO().getUser(userName);

         String passwordInDB = user.getPassword();

         String salt = user.getSalt();

         String passwordEncoded = new SimpleHash("md5",password,salt,2).toString();

         if(null==user || !passwordEncoded.equals(passwordInDB))

             throw new AuthenticationException();

         //认证信息里存放账号密码, getName() 是当前Realm的继承方法,通常返回当前类名 :databaseRealm

         SimpleAuthenticationInfo a = new SimpleAuthenticationInfo(userName,password,getName());

         return a;

     }

 }

点击展开

shiro.ini

 [main]

 credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher

 credentialsMatcher.hashAlgorithmName=md5

 credentialsMatcher.hashIterations=2

 credentialsMatcher.storedCredentialsHexEncoded=true

 databaseRealm=com.how2java.DatabaseRealm

 databaseRealm.credentialsMatcher=$credentialsMatcher

 securityManager.realms=$databaseRealm

TestShiro

进行账号密码验证测试。 注意,测试之前要先释放注释,以执行一次注册用户行为,如果不注册,后面肯定是不能验证通过的,因为数据库里没有嘛。

new DAO().createUser("tom", "123");

 package com.how2java;

 import org.apache.shiro.SecurityUtils;

 import org.apache.shiro.authc.AuthenticationException;

 import org.apache.shiro.authc.UsernamePasswordToken;

 import org.apache.shiro.config.IniSecurityManagerFactory;

 import org.apache.shiro.mgt.SecurityManager;

 import org.apache.shiro.subject.Subject;

 import org.apache.shiro.util.Factory;

 public class TestShiro {

     public static void main(String[] args) {

         //这里要释放注释,先注册一个用户

 //      new DAO().createUser("tom", "123");

         User user = new User();

         user.setName("tom");

         user.setPassword("123");

         if(login(user))

             System.out.println("登录成功");

         else

             System.out.println("登录失败");

     }

     private static boolean hasRole(User user, String role) {

         Subject subject = getSubject(user);

         return subject.hasRole(role);

     }

     private static boolean isPermitted(User user, String permit) {

         Subject subject = getSubject(user);

         return subject.isPermitted(permit);

     }

     private static Subject getSubject(User user) {

         //加载配置文件,并获取工厂

         Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");

         //获取安全管理者实例

         SecurityManager sm = factory.getInstance();

         //将安全管理者放入全局对象

         SecurityUtils.setSecurityManager(sm);

         //全局对象通过安全管理者生成Subject对象

         Subject subject = SecurityUtils.getSubject();

         return subject;

     }

     private static boolean login(User user) {

         Subject subject= getSubject(user);

         //如果已经登录过了,退出

         if(subject.isAuthenticated())

             subject.logout();

         //封装用户的数据

         UsernamePasswordToken token = new UsernamePasswordToken(user.getName(), user.getPassword());

         try {

             //将用户的数据token 最终传递到Realm中进行对比

             subject.login(token);

         } catch (AuthenticationException e) {

             //验证错误

             return false;

         }              

         return subject.isAuthenticated();

     }

 }

点击展开

最后

代码下载地址:https://gitee.com/fengyuduke/my_open_resources/blob/master/shiro-md5.rar

Apache Shiro(三)-登录认证和权限管理MD5加密的更多相关文章

  1. Apache Shiro(一)-登录认证和权限管理初识

    What is Apache Shiro? Apache Shiro是一个功能强大.灵活的,开源的安全框架.它可以干净利落地处理身份验证.授权.企业会话管理和加密. Apache Shiro的首要目标 ...

  2. Apache Shiro(五)-登录认证和权限管理ssm

    创建一个web动态项目 jar包 web.xml web.xml做了如下几件事情1. 指定spring的配置文件有两个 applicationContext.xml: 用于链接数据库的 applica ...

  3. Apache Shiro(四)-登录认证和权限管理WEB支持(Servlet)

    新建web项目 web.xml 修改web.xml,在里面加了个过滤器. 这个过滤器的作用,简单的说,就是 Shiro 入门里的TestShiro 这部分的工作,悄悄的干了. //加载配置文件,并获取 ...

  4. Apache Shiro(二)-登录认证和权限管理数据库操作

    数据库支持 在上一篇中使用ini 配置文件进行了相关权限数据的配置. 但是实际工作中,我们都会把权限相关的内容放在数据库里. 所以本知识点讲解如何放在数据库里来撸. RBAC 概念 RBAC 是当下权 ...

  5. Spring Cloud之路:(七)SpringBoot+Shiro实现登录认证和权限管理

    版权声明:本文为博主原创文章,未经博主允许不得转载. https://blog.csdn.net/sage_wang/article/details/79592269一.Shiro介绍1.Shiro是 ...

  6. spring boot(十四)shiro登录认证与权限管理

    这篇文章我们来学习如何使用Spring Boot集成Apache Shiro.安全应该是互联网公司的一道生命线,几乎任何的公司都会涉及到这方面的需求.在Java领域一般有Spring Security ...

  7. shiro实现APP、web统一登录认证和权限管理

    先说下背景,项目包含一个管理系统(web)和门户网站(web),还有一个手机APP(包括Android和IOS),三个系统共用一个后端,在后端使用shiro进行登录认证和权限控制.好的,那么问题来了w ...

  8. Spring boot 入门(四):集成 Shiro 实现登陆认证和权限管理

    本文是接着上篇博客写的:Spring boot 入门(三):SpringBoot 集成结合 AdminLTE(Freemarker),利用 generate 自动生成代码,利用 DataTable 和 ...

  9. Springboot-shiro-redis实现登录认证和权限管理

    Springboot-shiro-redis实现登录认证和权限管理 在学习之前: 首先进行一下Apache Shiro和Shiro比较: Apache Shiro是一个功能强大.灵活的,开源的安全框架 ...

随机推荐

  1. Servlet和JSP简述

    什么是Servlet和JSP 用Java开发Web应用程序时用到的技术主要有两种,即Servlet和JSP. Servlet是在服务器端执行的Java程序,一个被称为Servlet容器的程序(其实就是 ...

  2. Vue.js 安装及其环境搭建

    For me or other first studying vue.js. For Windows PC: 1.先安装node.js 安装官网最新的即可 版本应该要大于6.0版本 nodejs的官网 ...

  3. Entity Framework 6.0 Tutorials(8):Custom Code-First Conventions

    Custom Code-First Conventions: Code-First has a set of default behaviors for the models that are ref ...

  4. (转)【推荐】使用Jquery+EasyUI进行框架项目开发案例讲解之一---员工管理源码分享

    原文地址:http://www.cnblogs.com/huyong/p/3334848.html 在开始讲解之前,我们先来看一下什么是Jquery EasyUI?jQuery EasyUI是一组基于 ...

  5. CentOS 系统管理与yum软件仓库搭建

    重启 reboot shutdown -r now init 6 关闭 init 0 shutdown -h now shutdown -h 20:25 #8点25关机查看内存 free CPU利用率 ...

  6. 华硕X550VC安装ubuntu后wifi无法连接问题

    在网上找了很多资料比如重新编译内核,想办法连上有线网络然后更新驱动,下载离线驱动安装包…… 等等方法 其中有些方法实际测试的时候失败了,文章是几年前的,可能缺少某些依赖.上个网都这么麻烦实在让人疲惫. ...

  7. Kotlin if else判断

    Kotlin的if相对与java,有着较为灵活的用法. if是用来判断. if在Kotlin里面可以作为表达式来使用. 如果熟悉C java C#等 A>B:A?B这个判断应该是很熟悉,而Kot ...

  8. 「CF622F」The Sum of the k-th Powers「拉格朗日插值」

    题意 求\(\sum_{i=1}^n i^k\),\(n \leq 10^9,k \leq 10^6\) 题解 观察可得答案是一个\(k+1\)次多项式,我们找\(k+2\)个值带进去然后拉格朗日插值 ...

  9. 洛谷P4207 [NOI2005]月下柠檬树(计算几何+自适应Simpson法)

    题面 传送门 题解 我还好奇自适应辛普森法干嘛用的呢--突然想起来积分的一个用处就是求曲边图形的面积-- 我们先来考虑一下这些投影是什么形状 一个圆的投影还是它自己 一个圆锥的投影是一个圆加上一个点, ...

  10. Django template的html明明改了,前端页面居然没有对应变化?!---Django的小坑

    写django的时候,我有个模板的名字叫detail.html,被detail视图函数渲染 因为那个detail写乱了,但是里面有东西要参考,我没删掉它,改名为detail_old.html,又在目录 ...