SpringBoot整合Shiro(三)

关于shiro的一些其它知识点

一、加密

散列算法一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据,常见的散列算法如MD5、SHA等。一般进行散列时最好提供一个salt(盐),比如加密密码“admin”,产生的散列值是“21232f297a57a5a743894a0e4a801fc3”,可以到一
些md5 解密网站很容易的通过散列值得到密码“admin”,即如果直接对密码进行散列相对来说破解更容易,此时我们可以加一些只有系统知道的干扰数据,如用户名和ID(即盐);
这样散列的对象是“密码+用户名+ID”,这样生成的散列值相对来说更难破解。

二、shiro对加密的支持(使用shiro自身的密码验证,是需要配置的,否则要自己提供验证方案)

Shiro 提供了CredentialsMatcher 的散列实现HashedCredentialsMatcher实现密码验证服务,它只用于密码验证,且可以提供自己的盐,而不是随机生成盐,且生成密码散列值的算法需要自己写,因为能提供自己的盐。

SpringBoot整合Shiro(三)_第1张图片
image.png
SpringBoot整合Shiro(三)_第2张图片
image.png

例子如下:
通过ByteSource.Util.bytes方法将用户名和随机值一起组合成盐,再与密码一起进行MD5加密,且迭代两次。由于随机值生成后保存在数据库,对外是隐藏的,不容易被破解,且保证了如果多个用户密码一样,加密后的字符串是不同的。

public static RandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator();
    /**加密算法*/
    public static final  String ALGORITHMNAME = "md5";
    /**迭代次数*/
    public static final int HASHITERATIONS = 2;
    
    /**生成随机盐*/
    public static String createCredentialsSalt(){
        String salt=randomNumberGenerator.nextBytes().toHex();
        return salt;
    }
    
    /**加密密码*/
    public static String encryptPassword(String username,String Password,String credentialsSalt) {
        String newPassword = new SimpleHash(ALGORITHMNAME, Password, ByteSource.Util.bytes(username+credentialsSalt), HASHITERATIONS).toHex();
        return newPassword;
    }

你可能感兴趣的:(SpringBoot整合Shiro(三))