Shiro 使用Realm進行密碼散列

散列算法

散列算法一般用於生成數據的摘要信息，是一種不可逆的算法，一般適合存儲密碼之類的數據，常見的散列算法如MD5、SHA等。一般進行散列時最好提供一個salt（鹽），比如加密密碼“admin”，產生的散列值是“21232f297a57a5a743894a0e4a801fc3”，可以到一些md5解密網站很容易的通過散列值得到密碼“admin”，即如果直接對密碼進行散列相對來說破解更容易，此時我們可以加一些只有系統知道的干擾數據，如用戶名和ID（即鹽）；這樣散列的對象是“密碼+用戶名+ID”，這樣生成的散列值相對來說更難破解。

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.crypto.hash.Md5Hash;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;

public class MD5Test {

    @Test
    public void md5Test(){
        String password="666";

        //加密：MD5
        Md5Hash md5Hash=new Md5Hash(password);
        System.out.println(md5Hash);//fae0b27c451c728867a567e8c1bb4e53

        //加密：MD5 + 鹽
        md5Hash = new Md5Hash(password,"zhangsan");
        System.out.println(md5Hash); //2f1f526e25fdefa341c7a302b47dd9df

        //加密：MD5 + 鹽 + 散列次數
        md5Hash = new Md5Hash(password,"zhangsan",3);
        System.out.println(md5Hash); //cd757bae8bd31da92c6b14c235668091

    }
}

在Realm中應用

實際應用是將鹽和散列後的值存在數據庫中，自動realm從數據庫取出鹽和加密後的值由shiro完成密碼校驗。

步驟：

1、自定義加密之後realm： 重寫3個方法：getName doGetAuthorizationInfo doGetAuthenticationInfo

public class PasswordReaml extends AuthorizingRealm {

    @Override
    public String getName() {
        return "MyReaml";
    }

    //授權操作
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {


        return null;
    }

    //認證操作
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        String userName = (String) authenticationToken.getPrincipal();
        System.out.println(userName);
        if (!"zhangsan".equals(userName)) {
            return  null;
        }
        String pwd = "cd757bae8bd31da92c6b14c235668091";
        // info對象 表示 Realm 登錄比對信息 ByteSource.Util.bytes("zhangsan")用來指定鹽
        SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(userName,pwd, ByteSource.Util.bytes("zhangsan"),getName());
        return info;

    }
}

2、配置ini配置文件

3、加載配置文件，測試

 @Test
    public void MyReaml3(){
        //1、創建SecurityManager工廠,IniSecurityManagerFactory可以從ini文件中初始化SecurityManager環境
        Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-cryptography.ini");
        //2、，創建Security通過工廠對象Manger對象
        SecurityManager securityManager = factory.getInstance();
        //3、將securityManager設置到運行環境中，讓系統隨時隨地訪問securityManager
        SecurityUtils.setSecurityManager(securityManager);
        //4、創建當前登錄主體
        Subject subject = SecurityUtils.getSubject();
        //5、收集主體登錄的身份/憑證，即賬號密碼
        UsernamePasswordToken token = new UsernamePasswordToken("zhangsan","666");
        //6、主體登錄
        subject.login(token);
        //7、判斷登錄是否成功
        System.out.println("驗證登錄是否成功："+subject.isAuthenticated());
        //8、登出(註銷)
        subject.logout();
        System.out.println("驗證登錄是否成功："+subject.isAuthenticated());
    }