shiro自定义密码验证

首先建立一个自定义的验证类

package com.wsmail.shiroController;

import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.SimpleCredentialsMatcher;
import org.apache.shiro.crypto.hash.Sha384Hash;

/**
 * 自定义 密码验证类
 * @author q
 *
 */
public class CustomCredentialsMatcher extends SimpleCredentialsMatcher {
	 @Override
	    public boolean doCredentialsMatch(AuthenticationToken authcToken, AuthenticationInfo info) {
	        UsernamePasswordToken token = (UsernamePasswordToken) authcToken;

	        Object tokenCredentials = encrypt(String.valueOf(token.getPassword()));
	        Object accountCredentials = getCredentials(info);
	        //将密码加密与系统加密后的密码校验,内容一致就返回true,不一致就返回false
	        return equals(tokenCredentials, accountCredentials);
	    }

	    //将传进来密码加密方法
	    private String encrypt(String data) {
	        String sha384Hex = new Sha384Hash(data).toBase64();//这里可以选择自己的密码验证方式 比如 md5或者sha256等
	        return sha384Hex;
	    }
}




然后在 ShiroDbRealm类里 加个



/**
	 * 设定Password校验.
	 */
	@PostConstruct
	public void initCredentialsMatcher() {
//该句作用是重写shiro的密码验证,让shiro用我自己的验证
		setCredentialsMatcher(new CustomCredentialsMatcher());

	}



同时在新增用户的时候密码保存用 如下方式 以此进行验证和数据库里的密码的一致

    
...
psu.setPwd(new Sha384Hash(psu.getPwd()).toBase64());
...
save(psu);

### 实现自定义密码验证机制 为了实现在 Apache Shiro 中的自定义密码验证功能,需要创建一个继承 `CredentialsMatcher` 接口的类来重写其方法以适应特定需求。下面是一个简单的例子展示如何构建这样的组件。 #### 创建自定义凭证匹配器 首先定义一个新的 Java 类作为自定义的凭证匹配器: ```java import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.credential.SimpleCredentialsMatcher; public class UserPasswordMatcher extends SimpleCredentialsMatcher { @Override public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) { // 获取用户输入的密码和存储在数据库中的加密后的密码 String passwordProvided = new String((char[])token.getCredentials()); String hashedPasswordStoredInDb = (String)info.getCredentials(); // 进行密码比较操作,这里可以加入额外的安全措施比如加盐哈希等 return this.equals(hashedPasswordStoredInDb, hashProvidedPassword(passwordProvided)); } private Object hashProvidedPassword(String plainText){ // 对传入明文形式的用户提供密码进行相同方式的散列处理以便于同已存密文对比 // 注意:此处应采用安全算法如PBKDF2WithHmacSHA1、BCrypt或SCrypt,并考虑使用随机数(salt) // 下面仅作示意用途 return simpleHashAlgorithm(plainText); } } ``` 此部分代码展示了如何通过覆写 `doCredentialsMatch()` 方法来自定义密码校验逻辑[^3]。 #### 将自定义凭证匹配器应用到 Realm 接着,在配置文件中指定这个新的匹配器给对应的 realm 使用。这可以通过修改之前提到过的 `ShiroConfig.java` 文件实现: ```java @Configuration public class ShiroConfig { @Bean public UserRealm userRealm(UserPasswordMatcher passwordMatcher) { UserRealm userRealm = new UserRealm(); userRealm.setCredentialsMatcher(passwordMatcher); return userRealm; } // ...其他配置... } ``` 上述代码片段说明了怎样将自定义的 `UserPasswordMatcher` 设置为 `UserRealm` 的属性之一,从而让后者能够利用前者来进行身份验证过程中的密码核对工作。 #### 安全建议 值得注意的是,在实际项目开发过程中应当遵循最佳实践原则确保安全性,例如但不限于: - 不要在客户端传输未经过任何保护措施的数据; - 始终使用强效且被广泛认可的加密/散列函数; - 应用足够的迭代次数以及合适的 salt 来增强基于密码的身份验证系统的强度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值