Shrio框架实现自定义密码校验规则

已于 2023-05-15 17:00:51 修改
阅读量1.1k 收藏 2
点赞数 1
分类专栏: Java 文章标签: java
于 2023-05-15 16:52:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/a619602087/article/details/130687398
版权

shrio自己内置一些密码校验规则,也可以实现简单的自定义,比如算法类型,hash次数等,但是有时候我们有一些比较特殊的密码校验规则,需要自定义来实现

1.shiro的密码校验是如何做的?

我们在登录方法内做完参数校验,验证码匹配等基本工作之后,都会将用户名和密码通过subject.login(auth) 传入框架来做用户匹配,但是,是和什么地方的数据进行匹配呢?

UsernamePasswordToken auth = new UsernamePasswordToken(username, password,false);
Subject subject = SecurityUtils.getSubject();
subject.login(auth);

答案就是在自定义的Realm中定义的AuthenticationInfo 进行匹配

可以通过shiro框架源码AuthenticatingRealm类的 assertCredentialsMatch方法看到,传入了两个参数,token就是我们登陆方法中传入的UsernamePasswordToken对象,而info就是我们在钉钉一Realm中doGetAuthenticationInfo 方法中定义的info对象。

shiro框架校验:

//shiro源码--用户信息认证 对比
 protected void assertCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) throws AuthenticationException {
        CredentialsMatcher cm = this.getCredentialsMatcher();
        if (cm != null) {
            //信息认证
            if (!cm.doCredentialsMatch(token, info)) {
                String msg = "Submitted credentials for token [" + token + "] did not match the expected credentials.";
                throw new IncorrectCredentialsException(msg);
            }
        } else {
            throw new AuthenticationException("A CredentialsMatcher must be configured in order to verify credentials during authentication.  If you do not wish for credentials to be examined, you can configure an " + AllowAllCredentialsMatcher.class.getName() + " instance.");
        }
    }

这里需要弄清楚 doGetAuthenticationInfo和doGetAuthorizationInfo  前者是定义用户认证信息的,而后者是定义用户权限信息,有点容易混淆。

2.实现自定义Realm:

public class ShiroFileRealm extends AuthorizingRealm implements InitializingBean {
	
	@Autowired
	public void setCredentialsDigest(CredentialsDigest credentialsDigest) {
		this.credentialsDigest = credentialsDigest;
	}

	@Override
	protected AuthenticationInfo doGetAuthenticationInfo(
			AuthenticationToken authcToken) throws AuthenticationException {
		UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
		User user = userService.getUser(token.getUsername());
		if (user != null) {
            //此处返回的对象就是上面的info
			return new SimpleAuthenticationInfo(new ShiroUser(user.getUsername()), user.getPassword(),getName());
		}
		return null;
	}

	@Override
	protected AuthorizationInfo doGetAuthorizationInfo(
			PrincipalCollection principals) {
		//自定义用户权限
		SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
		
		return info;
	}
	/**
	 * 设定密码校验规则
	 */
	public void afterPropertiesSet() throws Exception {
		CredentialsMatcher matcher = new CredentialsMatcherAdapter(credentialsDigest);
		setCredentialsMatcher(matcher);
	}

}

上面代码中SimpleAuthenticationInfo 就是返回的用户认证信息,也是框架中做对比的info

好了,认证流程基本弄明白,我们就需要实现自定义校验,怎么做呢?

3.实现自定义CredentialsMatcher 认证类

/**
	 * 设定密码校验规则
	 */
	public void afterPropertiesSet() throws Exception {
		CredentialsMatcher matcher = new CredentialsMatcherAdapter(credentialsDigest);
		//设置自定义的用户信息认证类
        setCredentialsMatcher(matcher);
	}

关键就是这里,CredentialsMatcherAdapter 是个实现了CredentialsMatcher接口的自定义类

public class CredentialsMatcherAdapter implements CredentialsMatcher {
    private CredentialsDigest credentialsDigest;

    public CredentialsMatcherAdapter(CredentialsDigest credentialsDigest) {
        Assert.notNull(credentialsDigest, "The argument must not be null");
        this.credentialsDigest = credentialsDigest;
    }

    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        String plainCredentials, credentials;
        byte[] saltByte = null;
        plainCredentials = toStringCredentials(token.getCredentials());
        if (info instanceof SaltedAuthenticationInfo) {
            ByteSource salt = ((SaltedAuthenticationInfo) info).getCredentialsSalt();
            if (salt != null) saltByte = salt.getBytes();
        }
        credentials = toStringCredentials(info.getCredentials());
        if(saltByte != null){
            return credentialsDigest.matches(credentials, plainCredentials, saltByte);
        }
        return credentialsDigest.matches(credentials, plainCredentials);
    }

    private static String toStringCredentials(Object credentials) {
        if (credentials == null) {
            return null;
        } else if (credentials instanceof String) {
            return (String) credentials;
        } else if (credentials instanceof char[]) {
            return new String((char[]) credentials);
        } else {
            throw new IllegalArgumentException("credentials only support String or char[].");
        }
    }
}

doCredentialsMatch 方法就是实现用户信息校验 对比的方法,上面shiro框架的校验流程(cm.doCredentialsMatch(token, info))就会走到我们这里的方法中

上面credentialsDigest.matches(credentials, plainCredentials); 是我自己实现的密码比较方法

有加盐模式和无盐模式

贴出来给大家参考下

接口

public interface CredentialsDigest {
    String digest(String plainCredentials, byte[] salt);
    boolean matches(String credentials, String plainCredentials, byte[] salt);
    boolean matches(String credentials, String plainCredentials);
}

实现类

public  abstract class HashCredentialsDigest implements CredentialsDigest {
    static final int HASH_ITERATIONS = 1024;
    public String digest(String plainCredentials, byte[] salt) {
        if (StringUtils.isBlank(plainCredentials)) return null;
        byte[] hashPassword = digest(plainCredentials.getBytes(StandardCharsets.UTF_8), salt);
        return Hex.encodeHexString(hashPassword);
    }
    public boolean matches(String credentials, String plainCredentials, byte[] salt) {
        if (StringUtils.isBlank(credentials) && StringUtils.isBlank(plainCredentials)) return true;
        return StringUtils.equals(credentials, digest(plainCredentials, salt));
    }
    public boolean matches(String credentials, String plainCredentials) {
        if (StringUtils.isBlank(credentials) && StringUtils.isBlank(plainCredentials)) return true;
        return StringUtils.equals(credentials, plainCredentials);
    }
    protected abstract byte[] digest(byte[] input, byte[] salt);
}

主要的自定义代码就在CredentialsMatcherAdapter和CredentialsDigest中。。。

自定义shiro密码验证方式
Amy的博客
04-25 2294
项目环境spring boot 2.1 首先实现自己的验证类 import com.glodon.security.MD5; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.Use...
Shiro密码校验
weixin_45703665的博客
08-13 385
Shiro密码校验 import com.allianity.common.utils.Constant; import com.allianity.modules.sys.dao.SysMenuDao; import com.allianity.modules.sys.dao.SysUserDao; import com.allianity.modules.sys.entity.SysMenuEntity; import com.allianity.modules.sys.entity.SysUserEn
shiro自定义密码加密验证
lovely960823的博客
03-08 826
现在数据库密码基本上没有明文存储的,基本上都是加过密之后的信息,今天我们来处理一下我们平时在整合shiro的时候如何处理密文的情况,shiro的登录认证的时候会获取到UsernamePasswordToken里面的password和你返回SimpleAuthenticationInfo(user, user.getPassword(), “”);里面传入的密码进行匹配,一致则通过验证。 那么我们如何自定义密码验证呢,下面我们以MD5加密作为实现 @Override protected Authentica
Shiro 自定义密码验证类
Charge8的博客
04-21 1387
上篇Shiro 重放攻击登录验证 进行表单登录验证 其中,我们可以把在 LoginController 中密码验证的功能提取出来,我们自定义一个密码验证类进行验证,这样可以使我们处理更复杂情况的验证工作。 步骤: 1、将LoginController 中表单密码验证提取出来,在自定义密码验证类实现 1)注释其验证工作 @PostMapping("/login") pub...
shiro自定义密码验证
天浩
12-11 360
首先建立一个自定义的验证类 [code="java"]package com.wsmail.shiroController; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.aut...
深入Shiro权限框架自定义Realm实现指南
- 实现`doGetAuthenticationInfo(AuthenticationToken token)`方法,该方法用于身份验证过程中的账号密码校验。 - 实例化`AuthenticationInfo`对象,并进行身份信息匹配。 3. **授权方法**: - 实现`...
SSM与Shiro整合实现自定义安全认证与权限管理
标题“ssm整合shiro框架”描述了一个关于在SSM(Spring、SpringMVC、MyBatis)这个流行的Java EE企业级开发框架中整合Apache Shiro安全框架的过程。Shiro是一个功能强大且易于使用的Java安全框架,提供了认证、授权...
shiro执行多个过滤器_(springboot)shiro安全框架自定义过滤器出现的几个疑难杂症解决方案...
weixin_39637924的博客
12-19 712
问题一:多次重复重定向问题(匹配多个过滤器链重复调用其对应过滤器)问题二:shiro认证时Realm会执行两次在使用springboot框架整合shiro安全认证框架时踩了很多坑,每次出问题网上都找不到其中的解决方案,这里贴两个我遇到的坑,以及其解决方案给大家,希望大家可以少走弯路。问题一场景:// 自定义拦截器Map customisedFilter = new HashMap<>(...
vue与shiro结合实现权限按钮
12-15
Vue.js作为一个轻量级的前端框架,搭配Apache Shiro这样的安全管理框架,可以有效地实现前端的细粒度权限管理,如按钮级别的权限控制。本文将详细介绍如何在Vue项目中结合Shiro实现这一功能,以及所需的前置技术。 ...
shiro自定义密码匹配验证,密码加密验证。
Kally_Wang的专栏
03-28 1万+
1.更改shiro安全管理配置 是jeesite写的,Spring自动注入。 2.自定义密码验证 /** * Description: 告诉shiro如何验证加密密码,通过SimpleCr
shiro登陆身份认证和权限管理 密码加密
01-23
shiro登陆,shiro登陆身份认证和权限管理 密码加密。自己写的demo。实用。希望大家多多支持。谢谢大家
Shiro】3、Shiro实现自定义密码验证规则
热门推荐
Asurplus
05-22 20万+
我们在使用 Shiro 实现登录的时候,我们只需要将账号、密码Shiro 会自动判断账户、密码是否正确,那么 Shiro 怎么会知道我们的密码加密规则呢?所以我们需要自定义密码的加密规则 1、自定义加密规则 /** * 凭证匹配器 * 执行login(token)后由securityManager调用,用于计算密码加密后的密文 * * @return */ @Bean public HashedCredentialsMatcher hashedCredentialsMatcher() { Has
Shiro自定义登录认证
程序员阿皓的博客
05-04 436
Shiro自定义登录认证
shiro框架密码校验(二)
阿沐沐的博客
05-14 3021
前面的内容在这里 shiro框架简单介绍以及使用(一) 上一篇简单介绍了一下shiro框架和账号验证,这篇简单写一下shiro密码校验的介绍和几种使用方式 一、加密/加盐介绍 什么是加密?什么是加盐? 1.加密:加密是以某种特殊的算法改变原有的信息数据,这样的话即使你拿到了密文,但因为你不知道加密方式也没办法知道密文的内容。比如说电报,你监听到了发的电报,但是你不知道用的是那个密码本,一样无法知道电报内容是什么。 2.加盐:加盐是指将每口令同一个叫做”盐“值相关联,我们这里用于密码加盐,盐值一般都是随机
Apache Shiro使用自定义密码匹配器完成密码验证
最新发布
沐雨橙风ιε的博客
06-24 604
我们在使用Apache Shiro的API登录时,会先创建一个令牌对象,而经常用的令牌对象是UsernamePasswordToken,通过用户输入的用户名、密码构建一个UsernamePasswordToken对象,然后调用Subject的login()方法登录。而Apache Shiro默认是通过其实现类SimpleCredentialsMatcher来进行输入的密码和数据库的密码的比较(简单的等值比较)。然后神奇的事发生了,当密码输入错误的时候,居然会登录失败,我们并没有写对比密码的代码。
源码分析Shiro框架密码加密及校验
王绍桦
11-28 1418
前言 我们知道Shiro框架有提供凭证匹配器类HashedCredentialsMatcher来实现密码校验的,在该类中可以自定义加密方式、加密次数、编码规则等 //权限管理 @Bean public SecurityManager securityManager() { DefaultWebSecurityManager securityManager = new...
shiro简单的密码加盐与登录验证
wogoshu1的博客
07-27 2594
一、pom.xml配置 首先导入依赖,从guns项目的pom.xml中拽出并把版本号替换成1.3.2 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core</artifactId> <version>1.3.2</versi...
shiro验证用户名密码的内部流程
qq_27361945的博客
09-06 1296
1、com.atguigu.shiro.controller.MyController#userLogin(java.lang.String, java.lang.String, boolean, javax.servlet.http.HttpSession),携带参数token。6、org.apache.shiro.authc.pam.ModularRealmAuthenticator#doAuthenticate,传给下一级的参数有2个,分别是Realm对象和authenticationToken。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

陪妳去流浪丶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值