35 | SpringBoot整合Shiro之MD5盐值加密
前言
这篇文章是对上一篇 34 | Spring Boot整合Shiro框架(Shiro简介+实现登录拦截、用户认证、请求授权并整合Mybatis和Thymeleaf)的扩展
1. MD5盐值加密和MD5加密的区别
当两个用户的密码相同时,单纯使用不加盐的MD5加密方式,会发现数据库中存在相同结构的密码,这样是不安全的。为了实现两个人的原始密码一样,但加密后的结果是不一样的效果,就要使用加了盐的MD5加密方式。其实就好像炒菜一样,两道一样的鱼香肉丝,加的盐不一样,炒出来的味道就不一样。
2. 使用步骤
2.1 在控制层的注册用户方法中使用MD5盐值加密
@PostMapping("/register")
public String register(User user) {
// 设置盐值
Object salt = ByteSource.Util.bytes(user.getName());
// 加密后的密码
String newPassword = new SimpleHash("MD5", user.getPassword(), salt, 1000).toHex();
user.setPassword(newPassword);
if (userService.registerUser(user)) {
return "redirect:/toLogin";
}
return "register";
}
2.2 在UserRealm的认证方法中加入盐值校验
@Override
// 认证
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
System.out.println("执行了=>认证doGetAuthorizationInfo");
// 封装用户的登录数据
UsernamePasswordToken userToken = (UsernamePasswordToken) token;
// 连接数据库
User user = userService.getUserByName(userToken.getUsername());
// 没有此人,抛出 UnkownAccountException
if (user == null) {
return null;
}
//获取当前登录的用户对象
Subject subject = SecurityUtils.getSubject();
//存放到Session中
Session session = subject.getSession();
session.setAttribute("user", user);
// realmName: 当前 realm 对象的 name. 调用父类的 getName() 方法即可
String realmName = getName();
System.out.println(realmName);
// 盐值。使用 username作为盐值,盐值必须是唯一的
ByteSource credentialsSalt = ByteSource.Util.bytes(user.getName());
/*三个参数:
principals:身份,即主体的标识属性,可以是任何东西,如用户名、邮箱等,唯一即可。
一个主体可以有多个principals,但只有一个Primary principals,一般是用户名/密码/手机号。
credentials: 传递的密码对象
realmName: 认证名(指定当前 Realm 的类名)
*/
// 密码认证, shiro自己做
// 根据用户的情况, 来构建 AuthenticationInfo 对象并返回. 通常使用的实现类为: SimpleAuthenticationInfo
return new SimpleAuthenticationInfo(user, user.getPassword(), credentialsSalt, realmName);
}
2.3 在ShiroConfig中配置认证匹配器
即创建HashedCredentialsMatcher对象,并设置加密算法即可
注意: 如果你没有配置此类,你会发现尽管密码被加密,但你输入原始密码是等不进去的,因为这个HashedCredentialsMatcher类处理密码校验
package com.nsx.shiro.config;
import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.LinkedHashMap;
import java.util.Map;
/**
* Created by NXS
* 2020/9/1 17:05
*/
@Configuration
public class ShiroConfig {
//shiroFilterFactoryBean 3
@Bean
public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager securityManager) {
ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();
// 设置安全管理器
factoryBean.setSecurityManager(securityManager);
/*
anon:无需认证就可以访问
authc:必须认证了才能访问
user:必须拥有 记住我功能才能用
perms:拥有对某个资源的权限才能访问
role:拥有某个角色权限才能访问
*/
//添加shiro的内置过滤器 拦截
Map<String, String> fiterMap = new LinkedHashMap<>();
// 设置哪些路径授予哪些权限
fiterMap.put("/user/add", "perms[user:add]");
fiterMap.put("/user/update", "perms[user:update]");
// /user/* 指的是路径 必须认证了才能访问
fiterMap.put("/user/*", "authc");
factoryBean.setFilterChainDefinitionMap(fiterMap);
// 设置登录的请求
factoryBean.setLoginUrl("/toLogin");
// 跳转至未授权页面
factoryBean.setUnauthorizedUrl("/unauthorize");
return factoryBean;
}
//DefaultWebSecurityManager 2
@Bean(name = "securityManager")
public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm) {
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
// 关联userRealm
securityManager.setRealm(userRealm);
return securityManager;
}
//创建realm对象,需要自定义类 1
@Bean
public UserRealm userRealm(@Qualifier("credentialsMatcher") HashedCredentialsMatcher matcher) {
UserRealm userRealm = new UserRealm();
userRealm.setCredentialsMatcher(matcher);
return userRealm;
}
// ShiroDialect 用来整合shiro和thymleaf
@Bean
public ShiroDialect getShiroDialect() {
return new ShiroDialect();
}
/**
* 替换当前 Realm 的 credentialsMatcher 属性.
* 直接使用 HashedCredentialsMatcher 对象, 并设置加密算法即可.
* 密码校验规则HashedCredentialsMatcher
* 这个类是为了对密码进行编码的
* 防止密码在数据库中明码表示,当然在登录认证的时候,
* 这个类也负责对form里输入的密码进行编码
* 处理认证匹配处理器
*/
@Bean("credentialsMatcher")
public HashedCredentialsMatcher credentialsMatcher() {
HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
//设置加密算法
matcher.setHashAlgorithmName("MD5");
//设置加密次数
matcher.setHashIterations(1000);
//是否存储为16进制
//将setStoredCredentialsHexEncoded设置为true,则需要使用toHex()进行转换成字符串,默认使用的是toBase64()
matcher.setStoredCredentialsHexEncoded(true);
return matcher;
}
}
重点加入什么,参见下面图片
3. 效果
分享视频啦啦啦啦啦啦
4. 总结:
最后总结一下Shiro的MD5加盐加密:
1)在doGetAuthenticationInfo方法返回值创建SimpleAuthenticationInfo对象的时候,需要使用
SimpleAuthenticationInfo(principal, credentials, credentialsSalt, realmName)构造器。
2)使用ByteSource.Util.bytes()来计算盐值
3)盐值需要唯一,一般使用随机字符串或者userid
4)使用new SimpleHash(hashAlgorithmName,crdentials,salt,hashIterations)来进行MD5盐值加密,并且hashIterations一定要与HashedCredentialsMatcher设置的加密次数相同
参考:http://blog.csdn.net/acmman/article/details/78585662