shiro最闪亮的四大特征:认证,权限,加密,会话管理
为了提高应用系统的安全性,这里主要关注shiro提供的密码服务模块;
1.加密工具类的熟悉
首先来个结构图,看看shiro提供了哪些加密工具类:
2.通过shiro进行散列算法操作,常见的有两个MD5,SHA-1
简单的散列操作:代码如下
<span style="font-size:18px;">public static void test1() {
// 假设是用户输入的密码
String password = "123456";
// 加入的盐(百度百科有)
String salt = "jack";
// 这是最原始的MD5加密 (可在网上破解)
Md5Hash originalMd5 = new Md5Hash(password);
System.out.println(originalMd5.toString());// 输出加密后的密码
// 这种也是原始md5加密(可在网上破解)
SimpleHash originalMd52 = new SimpleHash("MD5", password);// 构造函数中的 "MD5"的意思是进行md5加密,大小写无关
System.out.println(originalMd52.toString());
// sha-1 原始加密方法(可在网上破解)
SimpleHash originalSha1 = new SimpleHash("SHA-1", password);//
System.out.println(originalSha1.toString());
// 要加大破解难度,这时候加个'盐'来加密是爽歪歪的
// 第1种MD5加盐加密操作
Md5Hash newPassword = new Md5Hash(password, salt, 1);// 第三个参数 "1"的意思是循环加密多少次
System.out.println(newPassword.toString());
// 第2种MD5加盐加密操作
SimpleHash sh = new SimpleHash("MD5", password, salt, 1);// 第四个参数 "1"的意思是循环加密多少次
System.out.println(sh.toString());
// 第2种SHA-1加盐加密操作
SimpleHash sh2 = new SimpleHash("SHA-1", password, salt, 1);// 第四个参数 "1"的意思是循环加密多少次
System.out.println(sh2.toString());
}</span>
不过我们平常是得把散列的加密方式配置到ini文件中,实际项目上我们不可能把用户的账号和密码写在ini配置文件中,而是通过数据库查询进行处理的,所以要用到自定义,其实就是加上数据库的操作而已。配置文件如下:shiro_hash.ini 注意:ini文件是以;开始的
<span style="font-size:18px;">[main]
;认证适配器
hashedCredentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher
;加密的方式_MD5
hashedCredentialsMatcher.hashAlgorithmName=MD5;
;循环加密多少次
hashedCredentialsMatcher.hashIterations=1
;自定义的realm 认证
HashRealm=com.ywj.TestShiro.HashRealm
;自定义的realm的认证适配器
HashRealm.credentialsMatcher=$hashedCredentialsMatcher
;加入securityManager中
securityManager.realms=$HashRealm;
</span>
自定义的Realm:
<span style="font-size:18px;">import org.apache.commons.lang3.StringUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource; public class HashRealm extends AuthorizingRealm { @Override
public void setName(String name) {
super.setName("HashRealm");// 自定义一个名字
} // 认证不关这块的事,先空着先
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
// TODO Auto-generated method stub
return null;
} @Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { // 获取token里的账号
String username = String.valueOf(token.getPrincipal()); // 假设这里是逻辑是从数据库获取用户信息不存在
if(StringUtils.isBlank(username) || "a".equals(username)) {
return null;// 返回一个空,就是没这个用户存在
}
// 盐
String salt = "jack";
String password = "4da71e0c7f2fa0ff8a25ecc4f5dab6d4";// 假设这个是数据库里查询出来的用户密码MD5加密后的
// 返回认证信息
return new SimpleAuthenticationInfo(username, password, ByteSource.Util.bytes(salt), this.getName());
} }<span style="color:#ff6666;">
</span></span>
http://blog.****.net/u013845177/article/details/77620957