这篇文章主要介绍“Spring Boot集成Shiro并使用SHA-256加密密码的方法”,在日常操作中,相信很多人在Spring Boot集成Shiro并使用SHA-256加密密码的方法问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”Spring Boot集成Shiro并使用SHA-256加密密码的方法”的疑惑有所帮助!接下来,请跟着小编一起来学习吧!
我们不能将用户的密码以明文存储,否则如果自己的数据库被入侵,用户在其他网站的帐号也可能被盗。
注册时生成密文
Shiro 提供了一个 SimpleHash 类可以很方便的对字符串进行加密,只需一行代码就可以对密码进行加密。
String hashPassword = new SimpleHash("SHA-256", password, username+"reg", 1024).toString();
它的第一个参数是加密的算法,第二个是要加密的内容,第三个是盐(这个参数随便你定),第四个是期望的次数。
得到加密之后的密码,就可以将整个 User 对象存储到数据库中,以后登录的时候再通过 Realm 查询。
/**
* 注入用于存储 user 对象
*/
@Autowired
private UserService userService;
@GetMapping("reg")
public Object reg(@RequestParam(name = "username") String username,
@RequestParam(name = "password") String password) {
String hashPassword = new SimpleHash("SHA-256", password, username+"reg", 1024).toString();
User user = new User();
user.setUsername(username);
user.setPassword(hashPassword);
user.setSalt(username + "reg");
userService.addUser(user);
return "注册成功";
}
Realm
上一篇文章说了如何实现登录,但是当时没有对密码进行加密。
加密之后的 Realm 又该怎么写了呢?
Shiro 给人一种感觉:基本的东西我都准备好了,你要啥就自己加。
所以只需要在自定义 Realm 里重写它的 setCredentialsMatcher 接口,在里面指定算法类型、期望的次数就行了。
@Override
public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {
HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
matcher.setHashAlgorithmName("SHA-256");
matcher.setHashIterations(1024);
super.setCredentialsMatcher(matcher);
}
这里跟注册时基本一致,不过好像没有指定盐?
加密使用了盐,验证的时候也少不了它,只不过它不是写在这里的,毕竟每个用户的盐可能是不一致的(盐根据你自己的想法去设置)。
可还记得 doGetAuthenticationInfo 方法返回了一个身份认证信息对象供 Shiro 验证,使用盐之后,在创建这个对象的时候把盐传进去就行了。
注意:因为现在需要的不仅仅是密码,还需要盐。所以模拟查询数据库的时候不能仅仅返回一个字符串了,而是应该返回一个对象,然后从对象中取出密码、盐。
/**
* 注入用于存储 user 对象
*/
@Autowired
private UserService userService;
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
String username = token.getPrincipal().toString();
User user = userService.getUserByUsername(username);
if (user != null) {
String password = user.getPassword();
AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
username,
password,
//传入盐
ByteSource.Util.bytes(user.getSalt()),
getName());
return authenticationInfo;
}
return null;
}
模拟存取 User 对象
一切为了简单。
@Service
public class UserService {
private HashMap<String, User> users = new HashMap<>();
public void addUser(User user) {
users.put(user.getUsername(), user);
}
public User getUserByUsername(String username) {
return users.get(username);
}
}
到此,关于“Spring Boot集成Shiro并使用SHA-256加密密码的方法”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注亿速云网站,小编会继续努力为大家带来更多实用的文章!
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。