使用Shiro1.2中的PasswordService实现密码加密存储和比对

最新推荐文章于 2022-08-24 01:58:19 发布
最新推荐文章于 2022-08-24 01:58:19 发布
阅读量1w 收藏 4
点赞数 1
分类专栏: SSH 文章标签: shiro 加密 存储 string user jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zavens/article/details/7747815
版权
本文介绍了如何在Shiro1.2中利用PasswordService进行密码加密存储和验证,强调了它相较于以往版本的便利性。通过示例代码展示了shiro.ini配置以及用户登录和注册过程中的密码处理方式,包括对比对类的修正以适应与JDBC存储的密文进行匹配。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在Shiro之前的版本中,密码加密一般采用如下代码: 
String digestString = new Sha256Hash(password, salt, numIterations).toBase64();

密码比对一般采用HashedCredentialsMatcher或Sha256CredentialsMatcher等相关比对类,在新版1.2中,增添了一项重要的功能就是密码服务,使得加密和比对更加方便。

比如:

加密就只需要密码这个参数 
PasswordService svc = new DefaultPasswordService(); 
svc.encryptPassword(password);
比对就用如下语句:encrypted是密文 
svc.passwordsMatch(password, encrypted);

看到上述代码,一个感觉就是:程序逻辑很清晰。

同样的,在1.2中,同样可以通过密码服务配置,实现与jdbc中的密码密文进行比对。直接上代码了:

以下是shiro.ini

passwordService = org.apache.shiro.authc.credential.DefaultPasswordService
passwordMatcher = com.helloweb.shm.PasswordMatcherEx
passwordMatcher.passwordService = $passwordService

ds = com.mysql.jdbc.jdbc2.optional.MysqlDataSource
ds.serverName = 192.168.1.101
ds.user = root  
ds.password =******  
ds.databaseName = helloweb  
ds.url = jdbc:mysql://192.168.1.101:3306/helloweb  

jdbcRealm = org.apache.shiro.realm.jdbc.JdbcRealm 
jdbcRealm.permissionsLookupEnabled = true  
jdbcRealm.authenticationQuery = SELECT password FROM user WHERE username = ?  
jdbcRealm.dataSource = $ds 
jdbcRealm.credentialsMatcher = $passwordMatcher

authc.loginUrl=/login.jsp
[urls]
/admin/**=authc

说明,com.helloweb.shm.PasswordMatcherEx是我对org.apache.shiro.authc.credential.PasswordMatcher进行了修正,重写了getStoredPassword()方法,如下:

package com.helloweb.shm;

import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.credential.PasswordMatcher;

public class PasswordMatcherEx extends PasswordMatcher {
	@Override
	protected Object getStoredPassword(AuthenticationInfo storedAccountInfo) {
		Object stored = super.getStoredPassword(storedAccountInfo);

		if (stored instanceof char[]) {
			stored = String.valueOf((char[]) stored);
		}
		return stored;
	}
}

重写的原因是,JdbcRealm返回给PasswordMatcher的哈希值被保存为char[]型,而PasswordMatcher 却希望getCredentials()返回一个String或Hash。

用户登录代码如下:

public String doLogin() {
        Subject currentuser = SecurityUtils.getSubject();
	UsernamePasswordToken token = new UsernamePasswordToken(username,
			password);
	try {
		if (currentuser.isAuthenticated())
			currentuser.logout();
		currentuser.login(token);
		return SUCCESS;
	} catch (Exception e) {
		addActionError("用户名或密码有误");
		return ERROR;
	}
}

用户注册代码如下:

public String doReg() {
	if (isLegal()) {
		User user = new User();
		PasswordService svc = new DefaultPasswordService();
		String encrypted = svc.encryptPassword(password);
		user.setUsername(username);
		user.setPassword(encrypted);
		UserDAO ud = new UserDAO();
		if (!ud.findByUsername(username).isEmpty()) {
			addActionError("用户名已存在!");
			return ERROR;
		}
		ud.save(user);
		addActionMessage("注册成功!");
	} else {
		addActionError("注册信息填写有误!");
		return ERROR;
	}
	return SUCCESS;
}
Shiro 1.2新功能DefaultPasswordService解惑
cloud的技术积累
06-14 3036
Shiro DefaultPasswordService代码Salt为何不需要单独存储解读
service password-encryption,enable secret,enable password区别
X-X-羊的专栏
12-18 1万+
R(config)#service password-encryption //  加密路由器上所有明文口令。 running-config中的密码都不在以明文显示。 如:可使enable console等口令都不可见,需要注意的是这个命令是不可逆的,也就是说你用 no service password-encryption命令后,那些命令的口令还是不可见,只能改密码了。 这种加密算法与
Shiro 学习笔记(6)—— 加密
web13170611647的博客
08-24 344
一般地,密码这样的高度敏感的字段,我们应该是使用一种不可破解的算法加密以后存储到我们的数据库中。当用户登录的时候,在用户输入用户名正确(在库中存在)的前提下,将用户输入的密码使用同样的算法加密以后得到的字符串数据库中的密文密码进行匹配,匹配成功,则认证通过。如果我们不指定 Realm 使用 PasswordMatcher 的实现类的话,默认的匹配方式就是使用字符串是否相同这样的匹配方式,显然不能达到我们的要求。在我们之前的例子中,我们的密码在 Realm 里返回认证信息的时候,写的都是明文。
Shiro简单加密服务
码农博士的博客
05-10 492
编码/加密在涉及到密码存储问题上,应该加密 / 生成密码摘要存储,而不是存储明文密码。比如之前的 600w csdn 账号泄露对用户可能造成很大损失,因此应加密 / 生成不可逆的摘要方式存储Shiro简单加密服务PasswordService/CredentialsMatcherShiro 提供了 PasswordService 及 CredentialsMatcher 用于提供加密密码及验证密
Shiro学习笔记之Shiro加密
wsb_2526的博客
07-26 252
Shiro加密 散列算法 散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据,常见的散列算法如 MD5、SHA 等。一般进行散列时最好提供一个 噪声,这样可以使破解密码的难度变大。 以下是MD5加密算法的一个演示: public class TestMD5 { @Test public void test1() { String pwd = "123456"; Md5Hash hash = new Md5Hash(pwd); System.out.
Shiro--编码/加密(五)
weixin_42073629的博客
07-30 296
在涉及到密码存储问题上,应该加密/生成密码摘要存储,而不是存储明文密码。比如之前的600w csdn账号泄露对用户可能造成很大损失,因此应加密/生成不可逆的摘要方式存储。 5.1 编码/解码 Shiro提供了base6416进制字符串编码/解码的API支持,方便一些编码解码操作。Shiro内部的一些数据的存储/表示都使用了base6416进制字符串。 String str = "hello"; String base64Encoded = Base64.encodeToString(str.g.
Shiro1.2&中文文档.zip
05-12
Apache Shiro 是一个强大且易用的Java安全框架,提供了认证、授权、加密会话管理功能,可以非常轻松地开发出足够安全的应用程序。Shiro 的设计目标是尽可能简化安全相关的代码,使得开发者能够专注于业务逻辑,而...
SpringBoot+Shiro学习之密码加密登录失败次数限制示例
08-31
本示例展示了如何使用 SpringBoot Shiro 框架来实现密码加密登录失败次数限制的示例。该示例可以帮助开发者更好地理解 SpringBoot Shiro 框架的整合,并且提供了一个基于 SpringBoot Shiro 框架的密码...
Shiro1.2中文文档
07-11
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络企业应用程序。
apache-shiro-1.2.x-reference-demos:Apache Shiro 1.2.x的示例参考《 Apache Shiro 1.2.x用户指南》的中文翻译,文中用到的示例
03-24
4. **加密(Cryptography)**:Shiro提供了多种加密工具,包括散列、对称加密非对称加密。通过参考代码,可以了解如何使用这些工具保护敏感数据,如密码哈希密钥交换。 5. **Web应用安全**:对于Web应用,Shiro...
SpringBoot整合Shiro与Mybatis实现密码加密Redis缓存
Apache Shiro 是一个功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密会话管理。它提供了一个易于理解的API来访问常见的安全功能。 #### 2. Shiro 在本项目中的应用 在本项目中,Shiro用于实现用户...
4.shiro加密解密
plumblum的博客
07-03 5356
shiro加密解密 1.PasswordService CredentialsMatcher 1.Shiro 提供了 PasswordService 及 CredentialsMatcher 用于提供加密密码及验证密码服务。 2.Shiro 默认提供了 PasswordService 实现 DefaultPasswordService;CredentialsMatcher 实现 P...
Shiro安全框架详解及springboot使用示例
weixin_46822367的博客
12-28 3872
目录一、认识Shiro1、什么是Shiro2、有哪些功能?3、Shiro架构(外部)4、Shiro架构(内部) 一、认识Shiro 1、什么是Shiro? Apache Shiro 是一个Java 的安全(权限)框架。 Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE环境,也可以用在JavaEE环 境。 Shiro可以完成,认证,授权,加密,会话管理,Web集成,缓存等。 2、有哪些功能? Authentication:身份认证、登录,验证用户是不是拥有相应的身份; Aut
service password-encryption
hqmln的博客
08-23 3792
service password-encryption //打开密码加密服务 enable password cisco //打开密码加密服务后,设置的密码加密保存了    no service password-encryption //关闭密码加密服务 ...
Spring Security : UserDetailsPasswordService
Details Inside Spring
06-02 2077
概述 介绍 UserDetailsPasswordService是Spring Security从5.1版本开始提供的一个接口。它定义了实现类要提供可以修改用户账号密码的能力。 比如InMemoryUserDetailsManager就实现了接口UserDetailsPasswordService,可以对自己管理的用户账号的密码进行修改。 继承关系 源代码 源代码版本 : Spring Sec...
shiro之编码/加密
上班搞IT,下班搞ITF。
04-28 2255
shiro之编码/加密
shiro 密码加密解密
热门推荐
笨鸟快飞的专栏
08-15 2万+
前言:对于登录的密码信息加密,增加密码破解难度。在密码使用Shiro的hash加密方法自定义方法加密算法。 步骤 1.告诉shiro密码使用何种加密方法 2.告诉shiro如何验证加密密码是否正确 1.告诉shiro密码使用何种加密方法 通过Credentials CredentialsMatcher告诉shiro什么加密密码校验 在配置文件
shiro 修改默认加密方式
lwb6096的博客
04-24 6637
        @Bean public PasswordService getPasswordService() { DefaultPasswordService service = new DefaultPasswordService(); DefaultHashService defaultHashService = new DefaultHashService(); // de...
自定义shiro密码验证方式
Amy的博客
04-25 2273
项目环境spring boot 2.1 首先实现自己的验证类 import com.glodon.security.MD5; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.Use...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值