网站首页 > 资源文章 正文
上篇文章和小伙伴们聊了密码加密问题,但是还不够,本文我们再来看看密码加盐问题。
密码为什么要加盐
不管是消息摘要算法还是安全散列算法,如果原文一样,生成密文也是一样的,这样的话,如果两个用户的密码原文一样,存到数据库中密文也就一样了,还是不安全,我们需要做进一步处理,常见解决方案就是加盐。盐从那里来呢?我们可以使用用户 id(因为一般情况下,用户 id 是唯一的),也可以使用一个随机字符,我这里采用第一种方案。
Shiro 中如何实现加盐
shiro 中加盐的方式很简单,在用户注册时生成密码密文时,就要加入盐,如下几种方式:
Md5Hash md5Hash = new Md5Hash("123", "sang", 1024);
Sha512Hash sha512Hash = new Sha512Hash("123", "sang", 1024);
SimpleHash md5 = new SimpleHash("md5", "123", "sang", 1024);
SimpleHash sha512 = new SimpleHash("sha-512", "123", "sang", 1024)
然后我们首先将 sha512 生成的字符串放入数据库中,接下来我要配置一下我的 jdbcRealm ,因为我要指定我的盐是什么。在这里我的盐就是我的用户名,每个用户的用户名是不一样的,因此这里没法写死,在 JdbcRealm 中,系统提供了四种不同的 SaltStyle ,如下:
SaltStyle含义NO_SALT默认,密码不加盐CRYPT密码是以 Unix 加密方式储存的COLUMNsalt 是单独的一列储存在数据库中EXTERNALsalt 没有储存在数据库中,需要通过 JdbcRealm.getSaltForUser(String) 函数获取
四种不同的 SaltStyle 对应了四种不同的密码处理方式,部分源码如下:
switch (saltStyle) {
case NO_SALT:
password = getPasswordForUser(conn, username)[0];
break;
case CRYPT:
// TODO: separate password and hash from getPasswordForUser[0]
throw new ConfigurationException("Not implemented yet");
//break;
case COLUMN:
String[] queryResults = getPasswordForUser(conn, username);
password = queryResults[0];
salt = queryResults[1];
break;
case EXTERNAL:
password = getPasswordForUser(conn, username)[0];
salt = getSaltForUser(username);
}
在 COLUMN 这种情况下,SQL 查询结果应该包含两列,第一列是密码,第二列是盐,这里默认执行的 SQL 在 JdbcRealm 一开头就定义好了,如下:
protected static final String DEFAULT_SALTED_AUTHENTICATION_QUERY = "select password, password_salt from users where username = ?";
即系统默认的盐是数据表中的 password_salt 提供的,但是我这里是 username 字段提供的,所以这里我一会要自定义这条 SQL。自定义方式很简单,修改 shiro.ini 文件,添加如下两行:
jdbcRealm.saltStyle=COLUMN
jdbcRealm.authenticationQuery=select password,username from users where username=?
首先设置 saltStyle 为 COLUMN ,然后重新定义 authenticationQuery 对应的 SQL。注意返回列的顺序很重要,不能随意调整。如此之后,系统就会自动把 username 字段作为盐了。
不过,由于 ini 文件中不支持枚举,saltStyle 的值实际上是一个枚举类型,所以我们在测试的时候,需要增加一个枚举转换器在我们的 main 方法中,如下:
BeanUtilsBean.getInstance().getConvertUtils().register(new AbstractConverter() {
@Override
protected String convertToString(Object value) throws Throwable {
return ((Enum) value).name();
}
@Override
protected Object convertToType(Class type, Object value) throws Throwable {
return Enum.valueOf(type, value.toString());
}
@Override
protected Class getDefaultType() {
return null;
}
}, JdbcRealm.SaltStyle.class);
当然,以后当我们将 shiro 和 web 项目整合之后,就不需要这个转换器了。
如此之后,我们就可以再次进行登录测试了,会发现没什么问题了。
非 JdbcRealm 如何配置盐
OK,刚刚是在 JdbcRealm 中配置了盐,如果没用 JdbcRealm ,而是自己定义的普通 Realm,要怎么解决配置盐的问题?
首先要说明一点是,我们前面的文章在自定义 Realm 时都是通过实现 Realm 接口实现的,这种方式有一个缺陷,就是密码比对需要我们自己完成,一般在项目中,我们自定义 Realm 都是通过继承 AuthenticatingRealm 或者 AuthorizingRealm ,因为这两个方法中都重写了 getAuthenticationInfo 方法,而在 getAuthenticationInfo 方法中,调用 doGetAuthenticationInfo 方法获取登录用户心些,获取到之后,会调用 assertCredentialsMatch 方法进行密码比对,而我们直接实现 Realm 接口则没有这一步,部分源码如下:
public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
AuthenticationInfo info = getCachedAuthenticationInfo(token);
if (info == null) {
//调用doGetAuthenticationInfo获取info,这个doGetAuthenticationInfo是我们在自定义Realm中自己实现的
info = doGetAuthenticationInfo(token);
log.debug("Looked up AuthenticationInfo [{}] from doGetAuthenticationInfo", info);
if (token != null && info != null) {
cacheAuthenticationInfoIfPossible(token, info);
}
} else {
log.debug("Using cached authentication info [{}] to perform credentials matching.", info);
}
if (info != null) {
//获取到info之后,进行密码比对
assertCredentialsMatch(token, info);
} else {
log.debug("No AuthenticationInfo found for submitted AuthenticationToken [{}]. Returning null.", token);
}
return info;
}
基于上面所述的原因,这里我先继承 AuthenticatingRealm ,如下:
public class MyRealm extends AuthenticatingRealm {
public String getName() {
return "MyRealm";
}
public boolean supports(AuthenticationToken token) {
return token instanceof UsernamePasswordToken;
}
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
String username = token.getPrincipal().toString();
if (!"sang".equals(username)) {
throw new UnknownAccountException("用户不存在");
}
String dbPassword = "a593ccad1351a26cf6d91d5f0f24234c6a4da5cb63208fae56fda809732dcd519129acd74046a1f9c5992db8903f50ebf3c1091b3aaf67a05c82b7ee470d9e58";
return new SimpleAuthenticationInfo(username, dbPassword, ByteSource.Util.bytes(username), getName());
}
}
关于这个类,我说如下几点:
- 用户名我这里还是手动判断了下,实际上这个地方要从数据库查询用户信息,如果查不到用户信息,则直接抛 UnknownAccountException
- 返回的 SimpleAuthenticationInfo 中,第二个参数是密码,正常情况下,这个密码是从数据库中查询出来的,我这里直接写死了
- 第三个参数是盐值,这样构造好 SimpleAuthenticationInfo 之后返回,shiro 会去判断用户输入的密码是否正确
上面的核心步骤是第三步,系统去自动比较密码输入是否正确,在比对的过程中,需要首先对用户输入的密码进行加盐加密,既然加盐加密,就会涉及到credentialsMatcher ,这里我们要用的 credentialsMatcher 实际上和在 JdbcRealm 中用的 credentialsMatcher 一样(忘记的小伙伴可以先去复习下上篇文章),只需要在配置文件中增加如下一行即可:
MyRealm.credentialsMatcher=$sha512
sha512 和我们上文定义的一致,这里就不再重复说了。
好了,关于密码加盐问题我们先说到这里。有问题欢迎留言讨论。
猜你喜欢
- 2024-11-19 要懂redis,首先得看懂sds(全网最细节的sds讲解)
- 2024-11-19 迷之 crontab 异常:不运行、不报错、无日志?原来是这些原因
- 2024-11-19 K8S:分享一次“乌龙问题”(人为导致的无法正常删除命名空间)
- 2024-11-19 DBCC CHECKD 手工修复和优化数据库 各种参数的用法说明
- 2024-11-19 开发利器丨如何使用ELK设计微服务中的日志收集方案?
- 2024-11-19 人民艺Show|共赏经典话剧:北京人民艺术剧院《雷雨》
- 2024-11-19 聊聊springboot项目如何实现自定义actuator端点
- 2024-11-19 Doris Rollup物化视图及应用实践
- 2024-11-19 JavaDemo案例演示RocketMQ DLedger宕机故障下的高可用
- 2024-11-19 用友U8数据库执行DBCC检查,提示需要DBCC UPDATEUSAGE
欢迎 你 发表评论:
- 最近发表
-
- Linux系统Shell脚本编程之whiptail图形化工具编写系统管理程序
- Linux常用命令讲解及Shell脚本开发实战入门二
- Linux命令手册:从青铜到王者,这30个命令让你成为终端高手
- Shell脚本编程入门:轻松掌握自动化利器
- 阿里巴巴《Linux命令行与shell脚本编程大全》高清版 PDF 开放下载
- Lazygit:让Git操作变得直观高效的终端魔法
- 2GB内存电脑跑Win10太卡 程序员求助 网友怀念起XP系统
- 觉得Linux很难?不妨试试2025年这些Linux桌面版!
- Linux运维工程师必知的服务器备份工具:Rsnapshot
- 推荐给系统管理员的10款Linux GUI工具
- 标签列表
-
- 电脑显示器花屏 (79)
- 403 forbidden (65)
- linux怎么查看系统版本 (54)
- 补码运算 (63)
- 缓存服务器 (61)
- 定时重启 (59)
- plsql developer (73)
- 对话框打开时命令无法执行 (61)
- excel数据透视表 (72)
- oracle认证 (56)
- 网页不能复制 (84)
- photoshop外挂滤镜 (58)
- 网页无法复制粘贴 (55)
- vmware workstation 7 1 3 (78)
- jdk 64位下载 (65)
- phpstudy 2013 (66)
- 卡通形象生成 (55)
- psd模板免费下载 (67)
- shift (58)
- localhost打不开 (58)
- 检测代理服务器设置 (55)
- frequency (66)
- indesign教程 (55)
- 运行命令大全 (61)
- ping exe (64)
本文暂时没有评论,来添加一个吧(●'◡'●)