1.密码的加密

  在数据表中存的密码不应该是123456,而应该是123456加密之后的字符串,而且还要求这个加密算法是不可逆的,即由加密后的字符串不能反推回来原来的密码,如果能反推回来那这个加密是没有意义的。

  著名的加密算法,比如 MD5,SHA1

2.MD5加密

  1). 如何把一个字符串加密为MD5

  2). 使用MD5加密算法后,前台用户输入的字符串如何使用MD5加密,需要做的是将当前的Realm 的credentialsMatcher属性,替换为Md5CredentialsMatcher 由于Md5CredentialsMatcher已经过期了,推荐使用HashedCredentialsMatcher 并设置加密算法即可。

/**

 * {@code HashedCredentialsMatcher} implementation that expects the stored {@code AuthenticationInfo} credentials to be

 * MD5 hashed.

 * <p/>

 * <b>Note:</b> <a href="http://en.wikipedia.org/wiki/MD5">MD5</a> and

 * <a href="http://en.wikipedia.org/wiki/SHA_hash_functions">SHA-1</a> algorithms are now known to be vulnerable to

 * compromise and/or collisions (read the linked pages for more).  While most applications are ok with either of these

 * two, if your application mandates high security, use the SHA-256 (or higher) hashing algorithms and their

 * supporting <code>CredentialsMatcher</code> implementations.</p>

 *

 * @since 0.9

 * @deprecated since 1.1 - use the HashedCredentialsMatcher directly and set its

 *             {@link HashedCredentialsMatcher#setHashAlgorithmName(String) hashAlgorithmName} property.

 */

public class Md5CredentialsMatcher extends HashedCredentialsMatcher {

    public Md5CredentialsMatcher() {

        super();

        setHashAlgorithmName(Md5Hash.ALGORITHM_NAME);

    }

}

3.使用MD5加密

  1). 修改配置文件的Realm 的默认的credentialsMetcher 为

<bean id="jdbcRealm" class="com.java.shiro.realms.ShiroRealm">

        <property name="credentialsMatcher">

            <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">

                <property name="hashAlgorithmName" value="MD5"></property> <!-- 加密算法的名称 -->

                <property name="hashIterations" value="1024"></property> <!-- 配置加密的次数 -->

            </bean>

        </property>

    </bean>

  2). 通过断点可以看到,实际的加密为

  

  3). 通过 new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations); 我们可以得到"123456"经过MD5 加密1024后的字符串;

public static void main(String[] args) {

        String hashAlgorithmName = "MD5";

        String credentials = "123456";

        int hashIterations = 1024;

        Object obj = new SimpleHash(hashAlgorithmName, credentials, null, hashIterations);

        System.out.println(obj);

    }

  将realm中的 明文123456改为fc1709d0a95a6be30bc5926fdb7f22f4

在进行登录测试。

登录成功。

4. 以上的加密还存在问题,如果两个人的密码一样,即存在数据表里中的两个加密后的字符串一样,然而我们希望即使两个人的密码一样,加密后的两个字符串也不一样。即需要用到MD5盐值加密。

  1).修改Realm使用盐值加密 完整的ShiroRealm.java

  

public class ShiroRealm extends AuthenticatingRealm {

    @Override

    protected AuthenticationInfo doGetAuthenticationInfo(

            AuthenticationToken token) throws AuthenticationException {

        System.out.println("doGetAuthenticationInfo " + token);

        // 1. 把AuthenticationToken 转换为UsernamePasswordToken

        UsernamePasswordToken up = (UsernamePasswordToken) token;

        // 2. 从UsernamePasswordToken 中来获取username

        String username = up.getUsername();

        // 3. 调用数据库的方法,从数据库中查询username对应的用户记录

        System.out.println("从数据库中获取userName :" + username + " 所对应的用户信息.");

        // 4. 若用户不存在,则可以抛出 UnknownAccoountException 异常

        if ("unknown".equals(username)) {

            throw new UnknownAccountException("用户不存在");

        }

        // 5. 根据用户信息的情况,决定是否需要抛出其他的AuthencationException 异常 假设用户被锁定

        if ("monster".equals(username)) {

            throw new LockedAccountException("用户被锁定");

        }

        // 6. 根据用户的情况,来构建AuthenticationInfo 对象并返回,通常使用的是

        // SimpleAuthenticationInfo

        // 以下信息是从数据库获取的.

        Object principal = username; // principal 认证的实体信息.

                                        // 可以是username,也可以是数据表对应的用户的实体类对象

//        String credentials = "fc1709d0a95a6be30bc5926fdb7f22f4"; // credentials:密码

        String credentials = null; // credentials:密码

        String realmName = getName();

        AuthenticationInfo info = null;/*new SimpleAuthenticationInfo(principal, credentials, realmName);*/

        if("admin".equals(username)){

            credentials = "038bdaf98f2037b31f1e75b5b4c9b26e";

        }else if("user".equals(username)){

            credentials = "098d2c478e9c11555ce2823231e02ec1";

        }

        ByteSource credentialsSalt = ByteSource.Util.bytes(username);//这里的参数要给个唯一的;



        info = new SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName);

        return info;

    }

}

  上边的密码我们可用mian方法得到

public static void main(String[] args) {

        String hashAlgorithmName = "MD5";

        String credentials = "123456";

        int hashIterations = 1024;

        ByteSource credentialsSalt = ByteSource.Util.bytes("user");

        Object obj = new SimpleHash(hashAlgorithmName, credentials, credentialsSalt, hashIterations);

        System.out.println(obj);

    }

经过测试,登录成功。

  2). 笔记

  • 1. 为什么使用 MD5 盐值加密:

    •   希望即使两个原始密码相同,加密得到的两个字符串也不同。
  • 2. 如何做到:
    •   1). 在 doGetAuthenticationInfo 方法返回值创建 SimpleAuthenticationInfo 对象的时候, 需要使用SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName) 构造器
    •   2). 使用 ByteSource.Util.bytes() 来计算盐值.
    •   3). 盐值需要唯一: 一般使用随机字符串或 user id
    •   4). 使用 new SimpleHash(hashAlgorithmName, credentials, salt, hashIterations); 来计算盐值加密后的密码的值.

Shiro-密码的MD5加密的更多相关文章

  1. shiro密码的比对,密码的MD5加密,MD5盐值加密,多个Relme

    有具体问题的可以参考之前的关于shiro的博文,关于shiro的博文均是一次工程的内容 密码的比对   通过AuthenticatingRealm的CredentialsMatcher方法 密码的加密 ...

  2. sql server用户密码批量MD5加密

    nodejs自带加密模块md5加密: var crypto = require('crypto'); function cryptoMD5(content){ var md5 = crypto.cre ...

  3. Spring-Security (学习记录五)--配置登录时,密码采用md5加密,以及获取登录信息属性监听同步自己想要的登录信息

    目录 1. PasswordEncoder 采用密码加密 2. 获取当前的用户信息 1. PasswordEncoder 采用密码加密 使用前面的例子.可以看出我们数据库密码是采用明文的,我们在登录的 ...

  4. 【从业余项目中学习1】C# 实现XML存储用户名密码(MD5加密)

    最近在写一个C#的项目,用户需求是实现Winform的多文档界面与Matlab算法程序之间的交互.做了一段时间发现,这既能利用业余时间,实战中也可学习一些技术,同时刚毕业也增加一份收入.所以后面会不断 ...

  5. iOS 中常用的对密码进行MD5加密

    iOS中MD5加密 标签(空格分隔): iOS MD5 + (NSString *)MD5:(NSString *)str { const char *cStr = [str UTF8String]; ...

  6. shiro 密码的MD5盐值加密

  7. MYSQL数据库里面的所有密码批量MD5加密

    如果你的字段够长度的话:UPDATE users SET password = MD5(password);如果长度不够,可以先增加长度后再做,或者多建一列,完成后删除原来的列!(如passwd)UP ...

  8. Java——实现对密码进行MD5加密

    package common; /** *@author作者 E-Mail: *@version 创建时间:2015-9-24+下午01:22:44 *类说明 **/ import java.secu ...

  9. TP5框架中实现多条件登录(自写代码,密码未md5()加密)

    HTML代码: <!DOCTYPE html> <html lang="en"> <head> <meta charset="U ...

  10. MD5 加密的密码在数据库重置

    如果不小心更改掉了项目管理员帐号的密码而又忘了,存在数据库里的密码又是MD5加密后的,这时候怎么办呢? 1. oracle数据库,可以用DBMS_OBFUSCATION_TOOLKIT.MD5 ( i ...

随机推荐

  1. React Native 项目运行在 Web 浏览器上面

    React Native 的出现,让前端工程师拥有了使用 JavaScript 编写原生 APP 的能力.相比之前的 Web app 来说,对于性能和用户体验提升了非常多. 但是 React Nati ...

  2. ICC的sacn-wise和unit-wise

    假设有16个被试,2个session,2个RUN,200个ROI,那么ICC需要对RUN1和RUN2分别算两次(相比而言,paired ttest则是对一个session中的RUN1和RUN2计算) ...

  3. css3 box-sizing属性

    个人总结: 如果需要兼容IE6 IE7,使用content-box.现在流行bootstrap3,需注意它使用的是border-box. box-sizing属性可以为三个值之一:content-bo ...

  4. dotnetGen 系列终于开源了

    https://github.com/2881099/dotnetGen .Net 3.0 + SqlServer 生成器 https://github.com/2881099/dotnetGen_s ...

  5. 乐易贵宾VIP教程:百度贴吧 - QQ部落 - QQ空间 Post实战系列视频课程

    教程挺不错,3套案例的实战,有需要的可以看一下百度贴吧课程目录:1.百度登录抓包分析2.百度登录[代码实现]3.百度验证码登录[代码实现]4.贴吧关注[抓包分析]5.贴吧关注(代码编写)6.贴吧签到[ ...

  6. Incorrect string value异常解决

    mysql数据库的一个问题 1366-Incorrect string value:'\xE5\x8D\xA1\xE5......' for column 'filename' at row 1 问题 ...

  7. lecture15-自动编码器、语义哈希、图像检索

    Hinton第15课,本节有课外读物<Semantic Hashing>和<Using Very Deep Autoencoders for Content-Based Image ...

  8. ASP.NT运行原理和页面生命周期详解及其应用

    ASP.NT运行原理和页面生命周期详解及其应用 1. 下面是我画的一张关于asp.net运行原理和页面生命周期的一张详解图.如果你对具体不太了解,请参照博客园其他帖子.在这里我主要讲解它的实际应用.  ...

  9. 什么是web框架?

    英文原文:http://jeffknupp.com/blog/2014/03/03/what-is-a-web-framework/ 在原文基础上加上了自己在翻译过程中,查看的资料和自己的一些理解,同 ...

  10. 深入学习JavaScript(二)

    函数表达式和函数声明 函数声明 function 函数名(参数){函数体} 函数表达式 function 函数名(可选)(参数){函数体} 示例: function foo(){} // 声明,因为它 ...