如果你曾使用过JDK的MessageDigest类, 你会立刻意识到它的使用有点麻烦。MessageDigest类有一个笨拙的基于工厂的静态方法API,它不是面向对象的,并且你被迫去捕获那些永远都不必捕获的Checked Exceptions。如果需要输出十六进制编码或Base64编码的消息摘要,你只有靠自己 - 对上述两种编码,没有标准的JDK支持它们。Shiro用一种干净而直观的哈希API解决了上述问题。
打个比方,考虑比较常见的情况,使用MD5哈希一个文件,并确定该哈希的十六进制值。被称为‘校验和’,这在提供文件下载时常用到 - 用户可以对下载文件执行自己的MD5哈希。如果它们匹配,用户完全可以认定文件在传输过程中没有被篡改。
不使用Shiro,你需要如下步骤才能完成上述内容:
将文件转换成字节数组。JDK中没有干这事的,故而你需要创建一个辅助方法用于打开FileInputStream,使用字节缓存区,并抛出相关的IOExceptions,等等。
使用MessageDigest类对字节数组进行哈希,处理相关异常。
将哈希后的字节数组编码成十六进制字符。JDK中还是没有干这事的,你依旧需要创建另外一个辅助方法,有可能在你的实现中会使用位操作和位移动。
JDK的消息摘要过程如下:
try { MessageDigest md = MessageDigest.getInstance("MD5"); md.digest(bytes); byte[] hashed = md.digest(); } catch (NoSuchAlgorithmException e) { e.printStackTrace(); } |
对于这样简单普遍的需求,这个工作量实在太大了。现在看看Shiro是如何做同样事情的:
String hex = new Md5Hash(myFile).toHex();
当使用Shiro简化所有这些工作时,一切都非常简单明了。完成SHA-512哈希和密码的Base64编码也一样简单。
String encodedPassword = new Sha512Hash(password, salt, count).toBase64();
你可以看到Shiro对哈希和编码简化了不少,挽救了你处理在这类问题上所消耗的脑细胞。
Shiro中哈希功能的特点:
缺省接口的实现 — Shiro提供了默认的散列(也称为消息摘要)算法,如MD5,SHA-256,SHA等,实现了开箱即用。这提供了一个类型安全的实施方法(如新Md5Hash(data)),而不是被迫使用JDK中不安全类型的字符串的工厂方法。
内置的Hex和Base64编码转换 — Shiro在做哈希运算的时候可以通过toHex()和toBase64()方法自动为十六进制和Base-64编码的哈希数据进行编码转换。
内置的盐和重复散列支持 — 盐和重复的哈希迭代散列数据是非常有价值的工具,特别是当它涉及到保护用户的密码。Shiro的哈希功能支持开箱即用的盐和多个hash迭代,这样你就不必在任何你可能需要它的地方重复这个逻辑。