散列算法
散列算法一般用於生成數據的摘要信息,是一種不可逆的算法,一般適合存儲密碼之類的數據,常見的散列算法如MD5、SHA等。一般進行散列時最好提供一個salt(鹽),比如加密密碼“admin”,產生的散列值是“21232f297a57a5a743894a0e4a801fc3”,可以到一些md5解密網站很容易的通過散列值得到密碼“admin”,即如果直接對密碼進行散列相對來說破解更容易,此時我們可以加一些只有系統知道的干擾數據,如用戶名和ID(即鹽);這樣散列的對象是“密碼+用戶名+ID”,這樣生成的散列值相對來說更難破解。
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.crypto.hash.Md5Hash;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;
public class MD5Test {
@Test
public void md5Test(){
String password="666";
//加密:MD5
Md5Hash md5Hash=new Md5Hash(password);
System.out.println(md5Hash);//fae0b27c451c728867a567e8c1bb4e53
//加密:MD5 + 鹽
md5Hash = new Md5Hash(password,"zhangsan");
System.out.println(md5Hash); //2f1f526e25fdefa341c7a302b47dd9df
//加密:MD5 + 鹽 + 散列次數
md5Hash = new Md5Hash(password,"zhangsan",3);
System.out.println(md5Hash); //cd757bae8bd31da92c6b14c235668091
}
}
在Realm中應用
實際應用是將鹽和散列後的值存在數據庫中,自動realm從數據庫取出鹽和加密後的值由shiro完成密碼校驗。
步驟:
1、自定義加密之後realm: 重寫3個方法:getName doGetAuthorizationInfo doGetAuthenticationInfo
public class PasswordReaml extends AuthorizingRealm {
@Override
public String getName() {
return "MyReaml";
}
//授權操作
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
return null;
}
//認證操作
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
String userName = (String) authenticationToken.getPrincipal();
System.out.println(userName);
if (!"zhangsan".equals(userName)) {
return null;
}
String pwd = "cd757bae8bd31da92c6b14c235668091";
// info對象 表示 Realm 登錄比對信息 ByteSource.Util.bytes("zhangsan")用來指定鹽
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(userName,pwd, ByteSource.Util.bytes("zhangsan"),getName());
return info;
}
}
2、配置ini配置文件
3、加載配置文件,測試
@Test
public void MyReaml3(){
//1、創建SecurityManager工廠,IniSecurityManagerFactory可以從ini文件中初始化SecurityManager環境
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-cryptography.ini");
//2、,創建Security通過工廠對象Manger對象
SecurityManager securityManager = factory.getInstance();
//3、將securityManager設置到運行環境中,讓系統隨時隨地訪問securityManager
SecurityUtils.setSecurityManager(securityManager);
//4、創建當前登錄主體
Subject subject = SecurityUtils.getSubject();
//5、收集主體登錄的身份/憑證,即賬號密碼
UsernamePasswordToken token = new UsernamePasswordToken("zhangsan","666");
//6、主體登錄
subject.login(token);
//7、判斷登錄是否成功
System.out.println("驗證登錄是否成功:"+subject.isAuthenticated());
//8、登出(註銷)
subject.logout();
System.out.println("驗證登錄是否成功:"+subject.isAuthenticated());
}