Shiro 自定义密码验证类

最新推荐文章于 2024-06-24 02:37:36 发布
原创 最新推荐文章于 2024-06-24 02:37:36 发布 · 1.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Shiro 自定义密码验证类

本文详细介绍如何在Shiro框架中自定义密码验证类,以防止重放攻击,包括密码的AES解密过程及与数据库密码的对比规则。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

上篇 Shiro 重放攻击登录验证 进行表单登录验证

其中,我们可以把在 LoginController 中密码验证的功能提取出来,我们自定义一个密码验证类进行验证,这样可以使我们处理更复杂情况的验证工作。

步骤:

1、将 LoginController 中表单密码验证提取出来,在自定义密码验证类实现

    1)注释其验证工作

	@PostMapping("/login")
	public String login(User user, HttpSession session) {
		//使用 shiro 登录验证
		//1 认证的核心组件:获取 Subject 对象
		Subject subject = SecurityUtils.getSubject();
		
		/*//将密码进行 aes 解密
		String key = (String) session.getAttribute("uuidSalt");
		String iv = (String) session.getAttribute("uuidSalt");
		try {
			user.setPazzword(AesEncryptUtil.desEncrypt(user.getPazzword(), key, iv));
			//密码解码成功后盐值失效
			session.removeAttribute("uuidSalt");
		} catch (Exception e1) {
			e1.printStackTrace();
			return "loginError";
		}*/
		
		//2 将登陆表单封装成 token 对象
		UsernamePasswordToken token = new UsernamePasswordToken(user.getUsername(), user.getPazzword());
		try {
			//3 让 shiro 框架进行登录验证:
			subject.login(token);
		} catch (Exception e) {
			e.printStackTrace();
			return "loginError";
		}
		return "redirect:/admin/index";
	}

    2)自定义密码验证类: extends SimpleCredentialsMatcher

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.SimpleCredentialsMatcher;
import org.apache.shiro.crypto.hash.SimpleHash;
import org.apache.shiro.session.Session;

import cn.jq.ssm.utils.AesEncryptUtil;

public class MyCredentialsMatcher extends SimpleCredentialsMatcher{

	@Override
	public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
		// 完全由自己定义用户输入的密码,和数据库中的密码的对比规则
		
		UsernamePasswordToken token2 = (UsernamePasswordToken) token;
		String pazzword = new String(token2.getPassword());
		//从服务器中取出uuidSalt(org.apache.shiro.session.Session)
		Session session = SecurityUtils.getSubject().getSession();
 		
		//将密码进行 aes 解密
		String key = (String) session.getAttribute("uuidSalt");
		String iv = (String) session.getAttribute("uuidSalt");
		try {
			pazzword = AesEncryptUtil.desEncrypt(pazzword, key, iv);
			//密码解码成功后盐值失效
			session.removeAttribute("uuidSalt");
		} catch (Exception e) {
			e.printStackTrace();
			throw new IncorrectCredentialsException("受到重放攻击!");
		}
		String formpPzzword = new SimpleHash("MD5", pazzword, "JQSalt", 1024).toString();
		String accountCredentials = String.valueOf(getCredentials(info));
		return formpPzzword.equals(accountCredentials);
	}

    

   重写 doCredentialsMatch 方法: SimpleCredentialsMatcher 使用Object类型,我们使用 String 相等比较(Object没成功,当时值正确,然而ByteSource不正确,待学习),

 

2、 运行项目访问登录即可

 

end ~

自定义shiro密码验证方式
Amy的博客
04-25 2306
项目环境spring boot 2.1 首先实现自己的验证 import com.glodon.security.MD5; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.Use...
Shiro自定义登录认证
Massimo__JAVA的博客
10-04 693
Shiro自定义登录验证
shiro自定义密码验证
天浩
12-11 370
首先建立一个自定义的验证 [code="java"]package com.wsmail.shiroController; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.aut...
Shrio框架实现自定义密码校验规则
05-15 1128
java,springboot,shiro实现自定义用户认证
Shiro】3、Shiro实现自定义密码验证规则
热门推荐
Asurplus
05-22 20万+
我们在使用 Shiro 实现登录的时候,我们只需要将账号、密码Shiro 会自动判断账户、密码是否正确,那么 Shiro 怎么会知道我们的密码加密规则呢?所以我们需要自定义密码的加密规则 1、自定义加密规则 /** * 凭证匹配器 * 执行login(token)后由securityManager调用,用于计算密码加密后的密文 * * @return */ @Bean public HashedCredentialsMatcher hashedCredentialsMatcher() { Has
shiro自定义密码加密验证
lovely960823的博客
03-08 834
现在数据库密码基本上没有明文存储的,基本上都是加过密之后的信息,今天我们来处理一下我们平时在整合shiro的时候如何处理密文的情况,shiro的登录认证的时候会获取到UsernamePasswordToken里面的password和你返回SimpleAuthenticationInfo(user, user.getPassword(), “”);里面传入的密码进行匹配,一致则通过验证。 那么我们如何自定义密码验证呢,下面我们以MD5加密作为实现 @Override protected Authentica
spring boot 集成 shiro 自定义密码验证 自定义freemarker标签根据权限渲染不同页面(推荐
08-26
Spring Boot 集成 Shiro 自定义密码验证和 Freemarker 标签根据权限渲染不同页面 Shiro 是一个强大的权限管理框架,可以与 Spring Boot 集成,提供了一个灵活的权限管理系统。在这个示例中,我们将介绍如何将 Shiro...
SpringBoot Shiro配置自定义密码加密器代码实例
08-19
SpringBoot Shiro 配置自定义密码加密器代码实例 在本篇文章中,我们将详细介绍如何在 SpringBoot 项目中配置自定义密码加密器代码实例,使用 Shiro 框架来实现身份认证和授权管理。Shiro 框架提供了一个灵活的安全...
shiro自定义密码匹配验证,密码加密验证。
Kally_Wang的专栏
03-28 1万+
1.更改shiro安全管理配置 是jeesite写的,Spring自动注入。 2.自定义密码验证 /** * Description: 告诉shiro如何验证加密密码,通过SimpleCr
从实例入手学习Shiro自定义Realm实现查询数据进行验证示例代码.zip
05-12
从实例入手学习Shiro自定义Realm实现查询数据进行验证示例代码.zip
shiro空指针_shiro自定义密码验证
weixin_39866419的博客
02-11 250
package com.wsmail.shiroController;import org.apache.shiro.authc.AuthenticationInfo;import org.apache.shiro.authc.AuthenticationToken;import org.apache.shiro.authc.UsernamePasswordToken;import org.apa...
Apache Shiro使用自定义密码匹配器完成密码验证
沐雨橙风ιε的博客
06-24 680
我们在使用Apache Shiro的API登录时,会先创建一个令牌对象,而经常用的令牌对象是UsernamePasswordToken,通过用户输入的用户名、密码构建一个UsernamePasswordToken对象,然后调用Subject的login()方法登录。而Apache Shiro默认是通过其实现SimpleCredentialsMatcher来进行输入的密码和数据库的密码的比较(简单的等值比较)。然后神奇的事发生了,当密码输入错误的时候,居然会登录失败,我们并没有写对比密码的代码。
shiro自定义密码匹配验证,密码加密验证
weixin_34342992的博客
05-12 397
2019独角兽企业重金招聘Python工程师标准>>> ...
菜鸟学习shiro之实现自定义的Realm,从而实现登录验证,身份验证和权限验证4
保持愤怒
07-28 852
讲了那么多使用的内置的从而实现四郎,现在讲自定义的境界 首先行家的依赖依然是第一篇的那个依赖 下边是自定义的境界: import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.Au...
shiro自定义密码比较器
zmy182的博客
07-07 603
Shiro密码比较器
Shiro设定密码匹配规则(自定义密码验证匹配器)
weixin_43389641的博客
09-05 1978
1.自定义一个Realm,继承AuthorizingRealm。 2.重写,doGetAuthorizationInfo(用于实现授权)和doGetAuthenticationInfo(用于实现验证)方法 @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principal) ...
springboot+shiro实现自定义密码验证
滴水穿石
03-29 574
1.创建一个,继承 SimpleCredentialsMatcher 2.修改 身份认证Realm 3.修改你继承 AuthorizingRealm 中的 doGetAuthenticationInfo 方法 4. 工具中 BCrypt 获得方式 5.BcryptUtil工具 前言 本篇文章不展示如何集成springboot和shiro,仅展示自定义密码加密方式的相关部门,如何集成请查看其它相关文章 正文 因shiro没有集成Bcrypt加密方式,需要自己去继承实现相关方法。 1.创建一个
shiro自定义密码认证
最新发布
03-01
### 实现自定义密码验证机制 为了实现在 Apache Shiro 中的自定义密码验证功能,需要创建一个继承 `CredentialsMatcher` 接口的来重写其方法以适应特定需求。下面是一个简单的例子展示如何构建这样的组件。 #### 创建自定义凭证匹配器 首先定义一个新的 Java 作为自定义的凭证匹配器: ```java import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.credential.SimpleCredentialsMatcher; public class UserPasswordMatcher extends SimpleCredentialsMatcher { @Override public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) { // 获取用户输入的密码和存储在数据库中的加密后的密码 String passwordProvided = new String((char[])token.getCredentials()); String hashedPasswordStoredInDb = (String)info.getCredentials(); // 进行密码比较操作,这里可以加入额外的安全措施比如加盐哈希等 return this.equals(hashedPasswordStoredInDb, hashProvidedPassword(passwordProvided)); } private Object hashProvidedPassword(String plainText){ // 对传入明文形式的用户提供密码进行相同方式的散列处理以便于同已存密文对比 // 注意:此处应采用安全算法如PBKDF2WithHmacSHA1、BCrypt或SCrypt,并考虑使用随机数(salt) // 下面仅作示意用途 return simpleHashAlgorithm(plainText); } } ``` 此部分代码展示了如何通过覆写 `doCredentialsMatch()` 方法来自定义密码校验逻辑[^3]。 #### 将自定义凭证匹配器应用到 Realm 接着,在配置文件中指定这个新的匹配器给对应的 realm 使用。这可以通过修改之前提到过的 `ShiroConfig.java` 文件实现: ```java @Configuration public class ShiroConfig { @Bean public UserRealm userRealm(UserPasswordMatcher passwordMatcher) { UserRealm userRealm = new UserRealm(); userRealm.setCredentialsMatcher(passwordMatcher); return userRealm; } // ...其他配置... } ``` 上述代码片段说明了怎样将自定义的 `UserPasswordMatcher` 设置为 `UserRealm` 的属性之一,从而让后者能够利用前者来进行身份验证过程中的密码核对工作。 #### 安全建议 值得注意的是,在实际项目开发过程中应当遵循最佳实践原则确保安全性,例如但不限于: - 不要在客户端传输未经过任何保护措施的数据; - 始终使用强效且被广泛认可的加密/散列函数; - 应用足够的迭代次数以及合适的 salt 来增强基于密码的身份验证系统的强度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值