Shiro实现密码加密和解密

Shiro实现密码加密和解密

常见的加密方式有很多，Shiro中提供的一套散列算法加密方式。散列算法，是一种不可逆的算法（自然是要不可逆的，因为可逆的算法破解起来也很容易，所以不可逆的算法更安全），常见的散列算法如MD5、SHA，但是网上看到很多破解MD5加密的网站，不是说散列算法是不可逆的吗？为什么还存在那么多破解密码的网站？
其实散列算法确实是不可逆的，即使是常见的MD5加密也是不可逆的加密方式，而网上的破解网站并不是能够逆向算出这个加密密码，而是通过大数据的方式得出来的，相当于，MD5解密的网站中存在一个很大的数据库，里面存放了用户常见的加密密码，然后当用户再用此密码解密时，再从数据库中比对加密后的MD5密码，如果存在就能得到原密码了。为了避免这种情况，引入了盐salt的概念，如果能通过大数据的方式破解MD5的加密，但如果在加密的密码中再添加一组数据进行混淆，破解起来就相当难了，因为添加的salt只有自己知道是什么

自定义一套散列算法

（1）实例化一个RandomNumberGenerator对象生成随机数，可以用来设置盐值
（2）设定散列算法的名称和散列迭代次数
（3）调用SimpleHash()构造方法，将算法名称、用户输入的密码、盐值、迭代次数传入
（4）通过SimpleHash()构造方法，Shiro能自动对密码进行加密，并调用实体类对象的setter()将密码设置进去

@Component
public class PasswordEncryption {
	// 实例化RandomNumberGenerator对象，用于生成一个随机数
	private RandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator();
	// 散列算法名称
	private String algorithName = "MD5";
	// 散列迭代次数
	private int hashInterations = 2;

	// 省略私有属性的getter/setter方法...

	// 加密算法
	public void encryptPassword(User user) {
		if (user.getPassword() != null) {
			// 对user对象设置盐：salt
			// 这个盐值是randomNumberGenerator生成的随机数，所以盐值并不需要我们指定
			user.setSalt(randomNumberGenerator.nextBytes().toHex());
			/* 调用SimpleHash指定散列算法参数：
			 		1、算法名称；
					2、用户输入的密码；
					3、盐值（随机生成的）；
					4、迭代次数；
			*/
			String newPassword = new SimpleHash(algorithName, user.getPassword(),
					ByteSource.Util.bytes(user.getCredentialsSalt()), hashInterations).toHex();
			user.setPassword(newPassword);
		}
	}
	
}

在encryptPassword中进行了核心的密码加密过程，只需要调用SimpleHash()传入需要加密的参数即可。应该注意两个地方：user.setSalt()和user.getCredentialsSalt()。

---

上一篇：Spring Boot中使用Shiro                                    下一篇：Shiro权限控制注解

---