3. SpringBoot与Shiro整合:密码加密和解密

createh52个月前 (02-01)技术教程22


这是Springboot与Shiro整合系列文章的第三节,本节的目标能够使用Shiro完成密码的加密和解密

在涉及到密码存储的问题上,我们一般的做法是存储密码的摘要,而不是存储明文密码。因为密码的摘要理论上来说是不可逆的,即使别人拿到了你的密码摘要,他也不能获取到你的密码,这是一种比较安全的密码存储方式。

01

散列算法

散列算法一般用于生成数据的摘要信息,常见的散列算法有MD5、SHA等。在进行散列时最好提供一个salt(盐),比如 "admin" 的不加盐的摘要是


21232f297a57a5a743894a0e4a801fc3,我们可以到一些md5解密网站很容易的通过散列值得到密码 “admin"


所以说如果直接对密码进行散列相对来说更容易被破解,此时我们可以加一些只有系统才知道的干扰数据作为散列的盐,比如用户名或者用户id,这样散列的对象是”密码+用户id" ,这样生成的散列值相对来说更难破解。

此外我们还可以指定散列的次数,比如2 就代表散列两次,即md5(md5(str)),这样散列后的密码,将会更加难以破解。

在本次集成中,将会采用MD5 散列算法,盐就是userid, 散列次数配置在配置文件中。

02

密码验证的原理

前边已经说过了散列算法是一种不可逆的算法,即使知道了摘要也不能得到密码,那么我们如何比对用户传入的密码和数据库中存储摘要是不是一致呢?

比如用户传入的密码是admin,数据库中存储的密码是
21232f297a57a5a743894a0e4a801fc3,我们不能把
21232f297a57a5a743894a0e4a801fc3解密成为admin,但是我们可以把admin 加密成为
21232f297a57a5a743894a0e4a801fc3,这样我们就能知道用户输入的密码是不是正确了。

流程如下:

03

Shiro密码匹配器


Shiro中的CredentialsMatcher就是密码匹配器,他的作用就是用来比较用户输入的密码与通过Realm中查询出来的密码是否相同。

上边我们说了用户传入的是明文密码,数据库中存储的是摘要密码,所以CredentialsMatcher最主要的工作就是把明文密码转换成摘要密码后再帮我们比较。

我们先看一下他的继承关系图

这里我们能看到的和散列相关的实现类是HashedCredentialsMatcher, 所以本次整合我们就使用它了,如果对其他实现类感兴趣,也可以私聊我探讨。

在我们的ShiroConfig.java中增加下面的代码,这里我们配置的加密算法是MD5,加密次数是通过配置文件获取的

    @Value("${shiro.password-hashIterations}")
????private?int?passwordHashIterations;
    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher(Md5Hash.ALGORITHM_NAME);
        hashedCredentialsMatcher.setHashIterations(passwordHashIterations);
        return hashedCredentialsMatcher;
    }

我们还需要用我们定义的密码匹配器去覆盖掉Reaml里面默认的密码匹配器,这里我们创建一个有参构造器,通过构造器去覆盖

@Component
public class UserNamePaswordRealm  extends AuthenticatingRealm {
    @Autowired
    private SysUserMapper sysUserMapper;
    
????//通过构造器注入去覆盖掉默认的matcher
    public UserNamePaswordRealm(CredentialsMatcher matcher) {
        super((matcher));
    }
????。。。。
????
????@Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
???????。。。。。
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(userName, sysUser.getPassowrd(), sysUser.getRealName());
        //设置盐,供CredentialsMatcher 使用
????????simpleAuthenticationInfo.setCredentialsSalt(ByteSource.Util.bytes(String.valueOf(sysUser.getUserid())));
        return simpleAuthenticationInfo;
    }
    }

还有一个地方需要注意,就是Realm方法doGetAuthenticationInfo的返回值,需要设置上盐值,CredentialsMatcher就是从这里获取的盐,源码中相关的代码如下


04

正确的密码却登录失败了

这时候如果我们再像上节那样进行登录,肯定不会成功的

测试之后确实没有成功,但是这个也不是密码错误的异常。

得到这个异常的原因是 shiro在用Hex帮我们解码的时候异常了,因为123并不是合法的16进制编码的数据,所以从这里我们应该了解到,我们的密码在加密后一定要再用16进制进行编码一下,后边的code也会体现这一点。

05

用户新增


从上边了解到我们自己手工添加的用户已经不好使了,所以我要新增一个用户添加的功能,用它来帮我们新增用户。

package com.example.shirospringboot.requestBean;


import javax.validation.constraints.NotBlank;


public class User {
    @NotBlank(message = "用户名不能为空")
    private  String username;
    @NotBlank(message = "密码不能为空")
    private String password;
    @NotBlank(message = "真实名字不能为空")
    private String realname;
    
    public String getUsername() {
        return username;
    }
    
    public void setUsername(String username) {
        this.username = username;
    }
    
    public String getPassword() {
        return password;
    }
    
    public void setPassword(String password) {
        this.password = password;
    }
    
    public String getRealname() {
        return realname;
    }
    
    public void setRealname(String realname) {
        this.realname = realname;
    }
}

Controller 代码如下

@Controller
public class SysUserController {
    @Autowired
    private SysuserService sysuserService;
    
    @PostMapping("/user")
    public ResponseEntity addUser(@RequestBody User user) {
        sysuserService.addUser(user);
        return ResponseEntity.ok().build();
    }
}

Service代码如下

@Component
public class SysuserServiceImpl implements SysuserService {
    @Autowired
    private SysUserMapper sysUserMapper;
    
    @Value("${passwordHashIterations}")
    private  int passwordHashIterations;
    
    @Override
    @Transactional
    public void addUser(User user) {
        SysUser sysUser = new SysUser();
        sysUser.setUsername(user.getUsername());
        sysUser.setRealName(user.getRealname());
        sysUser.setPassowrd(user.getPassword());
        sysUserMapper.insert(sysUser);
        int userid = sysUser.getUserid();
    
        /**
         * 使用md5进行加密,并且使用userid作为盐
?????????*??这里的?toHex()是不能省略的哦
         */
        String hashEdPassword = new Md5Hash(user.getPassword(), String.valueOf(userid), passwordHashIterations).toHex();
        sysUser = new SysUser();
        sysUser.setUserid(userid);
        sysUser.setPassowrd(hashEdPassword);
        sysUserMapper.updateByPrimaryKeySelective(sysUser);
    
    }
}

在Service中密码的加密方式、加密次数一定要和CredentialsMatcher中的一致,这样用户传入的密码才能成功的和数据库中的密码进行比对。

新增 用户名 java 密码 123 成功,数据库中的123也被加密了

我们到解密网站试试,看看还能不能解析出来

06

新用户测试

1.正确的用户名密码

2.错误的密码

3. 用户名错误

代码经被上传至Gitee仓库,有需要者可私信笔者

相关文章

「Java库」如何使用优秀的加密库Jasypt来保护你的敏感信息?

1 简介今天我们介绍一个Java库-Jasypt,全称为Java Simplified Encryption,用于加密解密。它能够让开发者用花费最小的工作而把加密集成到项目中,并且不需要对加密/解密有...

常用的加密算法介绍——MD5(md5常用的数据加密算法)

我不是高手,我只是一个普通的程序员,我特别愿意大家留言讨论,批评指正,您给我指正了,我就去查资料,去做实验,我技术就能得到提高,我认为这是一个程序员的基本素养。序言:程序员在实际的开发中会或多或少地...

Hutool-一个小而全的Java工具类库

Hutool简介Hutool是一个小而全的Java工具类库,通过静态方法封装,降低相关API的学习成本,提高工作效率,使Java拥有函数式语言般的优雅,让Java语言也可以“甜甜的”。Hutool中的...

MD5加密算法(MD5加密算法对于密码的实现代码)

说到加密算法,这个属于安全领域经常涉及到的加密,为了安全嘛,这个还是比较重要的知识。比如在网络协议里https就是一种加密网络传输协议,一般涉及到金融领域,购物,基金,股票等系统都需要使用https进...

鸿蒙系统全面解析,诞生背景、技术细节生态圈一文看懂 | 智东西内参

华为6月2日正式发布的鸿蒙系统无疑占据了最近热点话题的C位,虽然不全是赞美的声音,但这种努力打破美国垄断,挑战谷歌、苹果在移动操作系统上垄断地位的尝试必将成为中国科技史上的里程碑事件。本期的智能内参,...

安全架构进阶二之数字摘要(数字内容安全需求主要包括哪几个方面)

什么是数字摘要?数字摘要也称为消息摘要,它是一个唯一对应一个消息或文本的固定长度的值,它由一个个单向Hash函数对消息进行计算而产生,如果消息在传递的途中改变了,接受者通过对收到的消息采用相同的Has...

蜀ICP备2024111239号-3