shiro 密码加密和解密

最新推荐文章于 2025-06-08 09:52:29 发布
转载 最新推荐文章于 2025-06-08 09:52:29 发布 · 2.4w 阅读 · 4

本文介绍使用Shiro进行密码加密的方法及自定义密码验证过程。通过配置文件或与Spring集成来指定加密算法,如MD5,并利用SimpleCredentialsMatcher或HashedCredentialsMatcher进行密码验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言:对于登录的密码信息加密,增加密码破解难度。在密码使用Shiro的hash加密方法和自定义方法加密算法。

步骤
1.告诉shiro密码使用何种加密方法
2.告诉shiro如何验证加密密码是否正确
1.告诉shiro密码使用何种加密方法
通过Credentials 和 CredentialsMatcher告诉shiro什么加密和密码校验
在配置文件上使用如何使用它们俩告诉shiro如何加密和校验

INI 文件的main 增加如下,可以参考shiro 使用 InI 验证
myRealm = com.demo.MyRealm 
customMatcher =  com.demo.CustomCredentialsMatcher
myRealm.credentialsMatcher = $customMatcher

与spring集成告诉shiro
<bean id="shiroDbRealm" class="service.ShiroDbRealm">
<!--验证方式-->
        <property name="credentialsMatcher">
            <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
                <property name="hashAlgorithmName" value="MD5"/>
            </bean>
        </property>
    </bean>
2.告诉shiro如何验证加密密码是否正确
告诉shiro如何验证加密密码,通过SimpleCredentialsMatcherHashedCredentialsMatcher

SimpleCredentialsMatcher(简单证明匹配): SimpleCredentialsMatcher对存储的用户凭证和从AuthenticationToken提交的用户凭证直接执行相等的检查。

HashedCredentialsMatcher:取代将凭证按它们原始形式存储并执行原始数据的对比,存储终端用户的凭证(如密码)更安全的办法是在存储数据之前,先进行hash运算。

密码校验方法继承SimpleCredentialsMatcherHashedCredentialsMatcher类,实现doCredentialsMatch方法

示类
-------------------------------------------------------------------------------------------------------------
public class CustomCredentialsMatcher extends SimpleCredentialsMatcher {

    @Override
    public boolean doCredentialsMatch(AuthenticationToken authcToken, AuthenticationInfo info) {
        UsernamePasswordToken token = (UsernamePasswordToken) authcToken;

        Object tokenCredentials = encrypt(String.valueOf(token.getPassword()));
        Object accountCredentials = getCredentials(info);
        //将密码加密与系统加密后的密码校验,内容一致就返回true,不一致就返回false
        return equals(tokenCredentials, accountCredentials);
    }

    //将传进来密码加密方法
    private String encrypt(String data) {
        String sha384Hex = new Sha384Hash(data).toBase64();
        System.out.println(data + ":" + sha384Hex);
        return sha384Hex;
    }
}


-----------------关于自定义Realm,通过Realm与应用交互验证身份
public class MyRealm extends AuthorizingRealm {

    private static Logger logger = LoggerFactory.getLogger(MyRealm.class);

    public MyRealm() {
        super();    //To change body of overridden methods use File | Settings | File Templates.
    }
//认证
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken) authcToken;

        UsernamePasswordToken usernamePasswordToken = (UsernamePasswordToken) token;

        String username = usernamePasswordToken.getUsername();

/*        logger.info("用户名:{}", token.getUsername());
        logger.info("用户密码:{}", token.getPassword());*/


        if (username == null) {
            throw new AccountException("用户名不能为空");
        }

        //TODO 取数据库
        User user = new User();
        user.setName("汤汤");
      //  user.setPassWord("5201314");
        user.setPassWord("Mug2tZdS/WCdxOOfCHXPcdQyVT5kqBimrBM04UEj9Dma+XaasHvZZckw/OGjWj8J");
        user.setRoles("admin");
        return new SimpleAuthenticationInfo(user.getName(), user.getPassWord(), getName());
    }
   //授权
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        if (principals == null) {
            throw new AuthorizationException("Principal对象不能为空");
        }

      /*  String userName = (String) principals.fromRealm(getName()).iterator().next();*/
        String userName = (String) principals.fromRealm(getName()).iterator().next();

        if (userName != null && userName.equals("汤汤")) {
            SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
           /* info.addStringPermission("admin");*/

            List<String> rolesList = new ArrayList<String>();
            rolesList.add("admin");

            info.addRoles(rolesList);
            return info;
        } else {
            return null;
        }
    }
}


解密工具 —— shiro加密数据
不忘初心,护天下安全!
09-18 1268
实现本地利用112个默认key对shirorememberme数据进行解密,本工具用于蓝队同学对攻击进行研判。
Shiro加密解密步骤
xian_hui的博客
08-11 2627
Shiro密码加密解密Shiro密码比对的过程MD5盐值加密具体步骤 通过前段时间的学习,可以根据Shiro框架写出一个简单的登录操作,当然正常商业运用不可能直接让密码进行明文对比,所以需要学习密码加密解密操作 Shiro密码比对的过程 通过AuthenticatingRealm的credentialsMatcher属性来进行密码的比对! 获取当前的Subject,调用SecurityUtils.getSubject(); 测试当前的用户是否已经被认证,即是否已经登录,调用Subject的isAu
掌握Apache Shiro框架加密技术
最新发布
weixin_42603332的博客
06-08 1044
Apache Shiro是一个强大的Java安全框架,它不仅简化了身份验证、授权、会话管理加密等安全功能的实现,还通过提供API来管理用户的安全性。Shiro的设计哲学是易于使用、可扩展,同时也非常注重应用程序的安全性能。本章将对Shiro框架的核心概念、基本组件以及其在企业级应用中的优势进行概述。我们将探讨Shiro的三个主要部分:认证、授权以及会话管理,并通过实际案例演示如何将Shiro集成到应用程序中,为开发者提供一个全面的入门指南。// 示例代码:Shiro框架在Web应用中的简单集成。
第五章 Shiro编码/加密
rrz634171的专栏
12-16 919
第五章 编码/加密——《跟我学Shiro》 博客分类: 跟我学Shiro 跟我学Shiro    目录贴: 跟我学Shiro目录贴   在涉及到密码存储问题上,应该加密/生成密码摘要存储,而不是存储明文密码。比如之前的600w csdn账号泄露对用户可能造成很大损失,因此应加密/生成不可逆的摘要方式存储。   5.1 编码/解码  Shiro提供了base6416
shiro加密解密方法
码来-陈平安的博客
12-10 2525
一、加密(添加用户) @RequestMapping("/add") public Result addUser(String username,String password){ final SysUser user = new SysUser(); user.setCreateTime(new Date()); String salt = RandomStringUtils.randomAlphanumeric(20); u
Shiro学习(五)——密码加密解密
sadoshi的专栏
09-09 6597
前言 前面几篇文章的密码都是以明文形式存储。在真实项目中当然不可能明文存储密码密码一定是以加密的形式存储的。前面我们可以看到当我们给出帐号密码后,shiro就会去查找ini配置文件或者数据库对应字段来匹配账号密码。那如果我们把存储的密码加密shiro又如何根据我们提交的明文密码与存储的加密密码匹配呢? Shiro加密与匹配的原理 这里不准备展示源码。相信很多读者看文章时面对大量源码也看得一头雾水,并不能总结出什么来,所以这里大致讲讲思路,有兴趣的读者可以自行跟踪源码。这里以读取ini文件为例
Shiro密码加密解密
qq_36721793的博客
07-14 606
Shiro密码比对的过程 MD5盐值加密 具体步骤 通过前段时间的学习,可以根据Shiro框架写出一个简单的登录操作,当然正常商业运用不可能直接让密码进行明文对比,所以需要学习密码加密解密操作 Shiro密码比对的过程 通过AuthenticatingRealm的credentialsMatcher属性来进行密码的比对! 获取当前的Subject,调用SecurityUtils.getSubject(); 测试当前的用户是否已经被认证,即是否已经登录,调用Subject的is..
关于使用shiro进行登录以及注册时的密码加密以及解密
HENG_YUAN的博客
10-09 1839
关于使用shiro进行登录以及注册时的密码加密以及解密 最近在开发自己的博客,由于是新手,所以开发起来比较慢,然后做到了登录注册的功能,由于是第一次写博客,我就想着把博客写好一点。话不多说,我们直接进入主题 1、shiro架构 shiro的三个核心组件:Subject、SecurityManagerRealms Subject:主体 SecurityManage:简单来说就相当于MVC里面的DIspatcherServlet所有具体的交互都通过SecurityManage进行控制,它管理者所有的Subje
SpringBoot集成Shiro实现密码加密解密
_小曾
03-26 3575
SpringBoot集成Shiro实现密码加密解密 实现方式 在ShiroConfig中实现 public HashedCredentialsMatcher hashedCredentialsMatcher(){} 用来登录验证时使用 注册时密码加密主要是 在ServiceImpl中的Save()方法具体实现 盐值的产生 MD5算法加密 最后把盐 加密密码存到数据库 //盐 String Salt = new SecureRandomNumberGenerator
Shiro密码加密解密:保护用户密码安全
Shiro密码加密解密是Apache Shiro框架中提供的一种密码保护的机制。在系统开发中,用户的密码安全至关重要,因此对密码进行加密解密是保障用户数据安全的重要一环。 ### 1.2 为什么保护用户密码安全很重要 ...
Shiro 入门教程 - Shiro 编码加密
smart_an的专栏
07-18 707
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
shiro登陆身份认证权限管理 密码加密
01-23
shiro登陆,shiro登陆身份认证权限管理 密码加密。自己写的demo。实用。希望大家多多支持。谢谢大家
Java基于ssm框架的shiro整合,带有md5加密
01-06
使用:1,更改数据库配置文件2,创建test表(User的数据结构)。。。工具:Java7+eclipse+maven。 基于ssm框架的shiro整合,带有md5加密,注释只针对于shiro,其中有搭建过程中参考的博客地址,如有不懂的请参考注释中给的地址
md5解密工具Md5Decrypt
10-21
解密文件,一行一条数据,可以带其他参数。带参数的情况下,请使用密串定位来确定。如32位的MD5密串前有5位字符,那起始位置为5,密串长度为32。 在破解过程中可以停止破解,下次继续破解时不更改待解密文件的路径就能继续破解。 如有问题请联系xmd5@gmail.com
7.Shiro实现密码加密解密
相互学习 共同进步
06-29 4434
Shiro实现密码加密解密 常见的加密方式有很多,Shiro中提供的一套散列算法加密方式。散列算法,是一种不可逆的算法(自然是要不可逆的,因为可逆的算法破解起来也很容易,所以不可逆的算法更安全),常见的散列算法如MD5、SHA,但是网上看到很多破解MD5加密的网站,不是说散列算法是不可逆的吗?为什么还存在那么多破解密码的网站? 其实散列算法确实是不可逆的,即使是常见的MD5加密也是不可逆的加密方式,而网上的破解网站并不是能够逆向算出这个加密密码,而是通过大数据的方式得出来的,相当于,MD5解密的网站中存在
Shiro 编码加密/解密
qq_38474916的博客
08-27 1520
git地址https://github.com/chenwenshuo/shiro.git 使用MySQL结合spring data spi 进行简单的加密解密.yml配制如下 spring: datasource: url: jdbc:mysql://127.0.0.1:3306/todo_service?useUnicode=true&characterEnco...
Shiro数据解密并反编译工具——ShiroTool
土豆的博客
10-19 8012
内置100多个key,爆破解密rememberMe加密字段内容,对解密内容进行反序列化,展示反序列化后字节流。 根据序列化协议,逐字节读取解析,进行对象结构化展示,ysoserial CommonsBeanutils CommonsCollections等payload都能识别。 对涉及class文件的,再进行class反编译出java代码。
shiro教程3(加密)
波波烤鸭的博客
01-24 2852
加密,是以某种特殊的算法改变原有的信息数据,使得未授权的用户即使获得了已加密的信息,但因不知解密的方法,仍然无法了解信息的内容 概念 数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为&amp;amp;quot;密文&amp;amp;quot;,使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。 该过程的逆过程为解密,即将该编码信息转化为其...
Shiro 作为应用的权限基础 五:密码加密/解密在Spring中的应用
热门推荐
不积跬步,无以至千里;不积小流,无以成江海!
06-15 1万+
考虑系统密码的安全,目前大多数系统都不会把密码以明文的形式存放到数据库中。 一把会采取以下几种方式对密码进行处理 密码的存储 “编码”存储 Shiro 提供了 base64 16 进制字符串编码/解码的 API 支持,方便一些编码解码操作。 Shiro内部的一些数据的存储/表示都使用了 base64 16 进制字符串。 下面两端代码分别对其进行演示 Stringstr =
shiro框架 密码解密
01-17
### 关于Shiro框架中的密码处理 Apache Shiro是一个强大且易用的Java安全框架, 可以帮助完成认证、授权、加密等功能[^1]。然而,在讨论Shiro框架内的密码解密之前,重要澄清一点:Shiro并不直接支持传统意义上的“解密”。相反,它主要采用散列(hash)函数来保护存储的密码。 #### 密码加密机制 对于密码的安全存储,Shiro推荐使用带有盐(salt)值的单向散列算法。这种方式确保即使两个用户的原始密码相同,由于各自不同的盐值,最终产生的哈希也会不同,从而增加了暴力破解难度[^2]。 ```java import org.apache.shiro.crypto.hash.SimpleHash; // 使用SHA-256作为散列算法,并加入随机生成的Salt String algorithmName = "SHA-256"; Object source = "original_password"; // 用户输入的明文密码 Object salt = new SecureRandomNumberGenerator().nextBytes(); // 自动生成Salt int hashIterations = 1024; // 散列迭代次数 SimpleHash hash = new SimpleHash(algorithmName, source, salt, hashIterations); String encodedPassword = hash.toHex(); ``` 这段代码展示了如何利用`SimpleHash`类配合特定参数创建一个经过多次迭代计算后的散列字符串。这不仅提高了安全性,而且使得每次运行都会产生独一无二的结果,即便相同的初始密码也不例外。 #### 所谓的“解密” 实际上,在实际应用中并没有真正意义上去“解密”这些已经过散列运算的数据。当验证用户身份时,系统会再次执行同样的散列过程(即基于同一套配置下的algorithm name, iterations number stored salt value),并将新生成的结果同数据库里保存下来的hash做对比。如果两者匹配,则认为用户提供的是正确的密码;反之则视为错误尝试。 因此,“解密”的概念在这里并不存在&mdash;&mdash;至少不是指恢复原本未被修改过的字符形式。取而代之的是重新构建一次完全一致的过程以便比较两者的输出是否相等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值