温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

Spring Boot集成Shiro并使用SHA-256加密密码的方法

发布时间:2022-03-14 16:15:55 来源:亿速云 阅读:909 作者:iii 栏目:web开发

这篇文章主要介绍“Spring Boot集成Shiro并使用SHA-256加密密码的方法”,在日常操作中,相信很多人在Spring Boot集成Shiro并使用SHA-256加密密码的方法问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”Spring Boot集成Shiro并使用SHA-256加密密码的方法”的疑惑有所帮助!接下来,请跟着小编一起来学习吧!

我们不能将用户的密码以明文存储,否则如果自己的数据库被入侵,用户在其他网站的帐号也可能被盗。

注册时生成密文

Shiro 提供了一个 SimpleHash 类可以很方便的对字符串进行加密,只需一行代码就可以对密码进行加密。

String hashPassword = new SimpleHash("SHA-256", password, username+"reg", 1024).toString();

它的第一个参数是加密的算法,第二个是要加密的内容,第三个是盐(这个参数随便你定),第四个是期望的次数。

得到加密之后的密码,就可以将整个 User 对象存储到数据库中,以后登录的时候再通过 Realm 查询。

/**

 * 注入用于存储 user 对象

 */

@Autowired

private UserService userService;

@GetMapping("reg")

public Object reg(@RequestParam(name = "username") String username,

                  @RequestParam(name = "password") String password) {

    String hashPassword = new SimpleHash("SHA-256", password, username+"reg", 1024).toString();

    User user = new User();

    user.setUsername(username);

    user.setPassword(hashPassword);

    user.setSalt(username + "reg");

    userService.addUser(user);

    return "注册成功";

}

Realm

上一篇文章说了如何实现登录,但是当时没有对密码进行加密。

加密之后的 Realm 又该怎么写了呢?

Shiro 给人一种感觉:基本的东西我都准备好了,你要啥就自己加。

所以只需要在自定义 Realm 里重写它的 setCredentialsMatcher 接口,在里面指定算法类型、期望的次数就行了。

@Override

public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {

    HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();

    matcher.setHashAlgorithmName("SHA-256");

    matcher.setHashIterations(1024);

    super.setCredentialsMatcher(matcher);

}

这里跟注册时基本一致,不过好像没有指定盐?

加密使用了盐,验证的时候也少不了它,只不过它不是写在这里的,毕竟每个用户的盐可能是不一致的(盐根据你自己的想法去设置)。

可还记得 doGetAuthenticationInfo 方法返回了一个身份认证信息对象供 Shiro 验证,使用盐之后,在创建这个对象的时候把盐传进去就行了。

注意:因为现在需要的不仅仅是密码,还需要盐。所以模拟查询数据库的时候不能仅仅返回一个字符串了,而是应该返回一个对象,然后从对象中取出密码、盐。

/**

 * 注入用于存储 user 对象

 */

@Autowired

private UserService userService;

@Override

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

    String username = token.getPrincipal().toString();

    User user = userService.getUserByUsername(username);

    if (user != null) {

        String password = user.getPassword();

        AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(

            username,

            password,

            //传入盐

            ByteSource.Util.bytes(user.getSalt()),

            getName());

        return authenticationInfo;

    }

    return null;

}

模拟存取 User 对象

一切为了简单。

@Service

public class UserService {

    private HashMap<String, User> users = new HashMap<>();

    public void addUser(User user) {

        users.put(user.getUsername(), user);

    }

    public User getUserByUsername(String username) {

        return users.get(username);

    }

}

到此,关于“Spring Boot集成Shiro并使用SHA-256加密密码的方法”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注亿速云网站,小编会继续努力为大家带来更多实用的文章!

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI