java web 密码加密_JavaWeb日记——Shiro之密码加密
一般我们把密码存在数据库里都是采用加密的方式,确保了即使数据库泄漏,不法分子也无法登录帐号。常见的加密算法有MD5,SHA1等,本篇博客将给大家讲解如何在Shiro中使用MD5算法给密码加密。
POM
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
4.0.0
com.jk.shiroLearning
chapter4
1.0-SNAPSHOT
junit
junit
4.9
commons-logging
commons-logging
1.1.3
org.apache.shiro
shiro-core
1.2.2
mysql
mysql-connector-java
5.1.25
com.alibaba
druid
0.2.23
shiro-realm.ini
[main]
#自定义authorizer
authorizer=org.apache.shiro.authz.ModularRealmAuthorizer
securityManager.authorizer=$authorizer
#自定义realm 一定要放在securityManager.authorizer赋值之后(因为调用setRealms会将realms设置给authorizer,并给各个Realm设置permissionResolver和rolePermissionResolver)
realm=com.jk.realm.MyRealm
#配置加密匹配器
credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher
#加密算法
credentialsMatcher.hashAlgorithmName=MD5
#加密次数
credentialsMatcher.hashIterations=1024
realm.credentialsMatcher=$credentialsMatcher
securityManager.realms=$realm
配置比以前多了加密匹配器的部分
自定义Realm
public class MyRealm extends AuthorizingRealm {
//授权,调用checkRole/checkPermission/hasRole/isPermitted都会执行该方法
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
//可通过不同principal赋予不同权限
if (principals.getPrimaryPrincipal().equals("jack")){
//授予角色role1
authorizationInfo.addRole("role1");
authorizationInfo.addRole("role2");
//授予对user任何行为任何实例的权限
authorizationInfo.addObjectPermission(new WildcardPermission("user:*"));
//等同于
//authorizationInfo.addStringPermission("user:*");
}
return authorizationInfo;
}
//认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
String username = (String)token.getPrincipal(); //得到用户名
//加密算法
String hashAlgorithName="MD5";
//加密明文
String credentials="123456";
//加密盐值
ByteSource salt = null;
//加密盐值
//盐值通常取唯一的,我们这用用户名作为盐值
//ByteSource salt= ByteSource.Util.bytes(username);
//加密次数
int hashIterations = 1024;
Object password = new SimpleHash(hashAlgorithName,credentials,salt,hashIterations);
return new SimpleAuthenticationInfo(username, password, getName());
}
}
在一般开发过程中我们不会直接用MD5加密,还要加上一个盐值,这个盐值一般是唯一的。
验证登录
public class UseMD5 {
public static void main(String[]args){
//1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
Factory factory =
new IniSecurityManagerFactory("classpath:shiro-realm.ini");
//2、得到SecurityManager实例 并绑定给SecurityUtils
org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
//3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)
Subject subject = SecurityUtils.getSubject();
//登录信息传密码明文
UsernamePasswordToken token = new UsernamePasswordToken("jack", "123456");
try {
//4、登录,即身份验证
subject.login(token);
//验证是否有user1的create权限
System.out.println(subject.isPermitted("user1:create:*"));
//验证是否有role1角色
System.out.println(subject.hasRole("role1"));
} catch (AuthenticationException e) {
//5、身份验证失败
e.printStackTrace();
}
//6、退出
subject.logout();
}
}
登录时我们传的是明文123456,校验时比较的是用MD5加盐用户名加密1024次后的值
开发中我们一般会采用数据库储存用户名,加密后密码还要盐值,,需要使用到JdbcRealm
首先执行sql语句创建数据库并插入数据
drop database if exists shiro;
create database shiro;
use shiro;
create table users (
id bigint auto_increment,
username varchar(100),
password varchar(100),
password_salt varchar(100),
constraint pk_users primary key(id)
) charset=utf8 ENGINE=InnoDB;
create unique index idx_users_username on users(username);
create table user_roles(
id bigint auto_increment,
username varchar(100),
role_name varchar(100),
constraint pk_user_roles primary key(id)
) charset=utf8 ENGINE=InnoDB;
create unique index idx_user_roles on user_roles(username, role_name);
create table roles_permissions(
id bigint auto_increment,
role_name varchar(100),
permission varchar(100),
constraint pk_roles_permissions primary key(id)
) charset=utf8 ENGINE=InnoDB;
create unique index idx_roles_permissions on roles_permissions(role_name, permission);
insert into users(username, password, password_salt) values('jack', 'fc1709d0a95a6be30bc5926fdb7f22f4', 'jack');
insert into user_roles(username, role_name) values('jack', 'role1');
insert into user_roles(username, role_name) values('jack', 'role2');
insert into roles_permissions(role_name, permission) values('role1', 'user1:*');
insert into roles_permissions(role_name, permission) values('role1', 'user2:*');
insert into roles_permissions(role_name, permission) values('role2', 'user3:*');
shiro-jdbc.ini
[main]
authorizer=org.apache.shiro.authz.ModularRealmAuthorizer
securityManager.authorizer=$authorizer
#自定义realm 一定要放在securityManager.authorizer赋值之后(因为调用setRealms会将realms设置给authorizer,并给各个Realm设置permissionResolver和rolePermissionResolver)
jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm
dataSource=com.alibaba.druid.pool.DruidDataSource
dataSource.driverClassName=com.mysql.jdbc.Driver
dataSource.url=jdbc:mysql://localhost:3306/shiro
dataSource.username=root
dataSource.password=root
jdbcRealm.dataSource=$dataSource
jdbcRealm.permissionsLookupEnabled=true
#配置加密匹配器
credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher
#加密算法
credentialsMatcher.hashAlgorithmName=MD5
#加密次数
credentialsMatcher.hashIterations=1024
jdbcRealm.credentialsMatcher=$credentialsMatcher
securityManager.realms=$jdbcRealm
这个也是比之前的多了配置加密匹配器
校验登录
public class UseJdbcMD5 {
public static void main(String[]args){
//1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager
Factory factory =
new IniSecurityManagerFactory("classpath:shiro-jdbc.ini");
//2、得到SecurityManager实例 并绑定给SecurityUtils
SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
//3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证)
Subject subject = SecurityUtils.getSubject();
//登录信息传密码明文
UsernamePasswordToken token = new UsernamePasswordToken("jack", "123456");
try {
//4、登录,即身份验证
subject.login(token);
//验证是否有user1的create权限
System.out.println(subject.isPermitted("user1:create:*"));
//验证是否有role1角色
System.out.println(subject.hasRole("role1"));
} catch (AuthenticationException e) {
//5、身份验证失败
e.printStackTrace();
}
//6、退出
subject.logout();
}
}
java web 密码加密_JavaWeb日记——Shiro之密码加密相关推荐
- java web 添加超链接_Javaweb 超链接后显示问题
java web 项目发送带有超链接文本邮件问题 今天做java web项目的时候遇到了一个很想不通的或者说很奇葩的问题, 小编首先需要设置邮件内容的格式为:html 其次在内容中加上不要太乖,不想做 ...
- java web架构配置_javaweb(1) tomcat配置和web程序结构
一.tomcat配置 为方便在cmd中直接启动tomcat服务器,可以像其他程序(如jdk)一样配置tomcat. 1.CATALINA_HOME = D:\java\apache-tomcat-8. ...
- java web编写计算器_javaWeb 使用 jsp 和 javaBean 实现计算器功能
jsp 和 javaBean 实现计算器功能 try { calculator.calculate(); } catch (Exception e) { out.write(e.getMessage( ...
- java web 开发基础_javaweb开发基础(一)
001使用MyEclispe建立web工程 我的建立在D盘WebAPP这个目录下 在myeclipse中启动Tomcat,在浏览器中输入http://localhost:8080/,如果不出意外的话, ...
- java web传递参数_Javaweb的八种传值方式
1.表单提交 html自带的from方法,简单易懂,便于操作,依靠于标签中的type="submit"进行表单传输,或者根据js进行控制提交表单.其中由method属性决定以pos ...
- java web容器原理_javaWeb工作原理
http:无状态协议,客户端和服务器之间不需要建立持久的连接,通信完就断开. http的工作流程: 1.客户端和服务器建立连接 2.客户端发送请求 3.服务器响应内容 4.服务器关闭连接,客户端解析服 ...
- java web开发常见问题_JavaWeb学习笔记(五)--Web开发其他常见问题
一.把web应用打成war包 使用JDK自带jar命令,进入到web应用里面,执行命令: jar -cvf 包名.war . # .表示当前目录所有的文件 直接用jar可查看帮助 执行完成后生成一个d ...
- java web批量下载_JAVAWEB批量文件下载器
[实例简介] JAVAWEB批量文件下载器,实现文件批量下载,队列方式,一个下载完成,再下载另一个. [实例截图] [核心代码] 7a8f7e4d-75f1-489b-9ef8-b42f3b6da24 ...
- java web mysql 登陆_javaweb登录功能实现,eclipse开发工具,mysql作为数据库
[实例简介] 简单的网页登录,表单的提交,servlet的处理,mysql数据库的链接 [实例截图] [核心代码] javaweb登录功能的实现 └── javaweb登录功能的实现 ├── mysq ...
- java web排序商城_JavaWeb网上商城的反思
不知道从什么时候起,我爱上了写博客,对之前学得的只是进行反思.写了几天课程设计,代码量量8.9千左右. 然后下面文字是我在博客上复制过来的,说得很详细 MVC(Model View Controlle ...
最新文章
- SDUT OJ 数据结构实验之链表四:有序链表的归并
- php 如何生成exe文件怎么打开,如何把PHP转成EXE文件
- JavaScript DOM 4 - 属性 attribute vs property
- RDS关系型数据库 入门 01 创建关系型数据库实例【华为云分享】
- php中未定义的变量使用技巧
- 维特比算法Viterbi Algorithm
- python测试脚本截图_Python+selenium实现截图图片并保存截取的图片
- php ldap ad 登录验证,PHP中的LDAP身份验证 – 无需密码即可进行身份验证
- python基础6-控制语句
- 小米6一键刷入Trwp,小米6刷机包,小米6刷Xposd,手机刷机。
- syncthing同步慢_使用Syncthing在多个设备上同步文件
- Manjaro安装与基本配置
- 矩阵分析:三角分解,QR分解,秩分解,奇异值分解
- 新手焊接电路板_手把手教您如何掌握焊接电路板基础知识
- 时空之巅服务器在线玩,天域之巅 - 《神鬼传奇》官方网站
- 已经配置javahome了的,还出现A Java Runtime Environment (JRE) or Java Development
- 律师查询微信实名认证信息之操作指引
- 力软新版APP:聊一聊Uni-App框架,跨平台多端解决方案
- 建筑八大员培训武汉材料员培训建筑施工中的材料验收实践分析
- unity 手机重力迷宫(一)