必ずあなたを守る(四):Shiro的加盐登陆

对Realm进行加盐操作

在文章Realm解析中我们进行了最简单的用户名密码登陆举例,在实际中数据库是不可能存用户的密码明文的(说是这么说,还是有好多作死的公司存),目的在于:

  1. 公司也不能侵犯用户隐私(BAT小米笑而不语)
  2. 万一被拖库了,黑客也拿不到用户密码(因为密码被加密了)

什么是加盐操作

username password salt
admin xxxxxxxxx sakf3s

在用户表单中除了password字段之外还有salt字段,salt就是英语”盐” salt是在password存入数据库之时随机生成的一个字符串,然后与密码混在一起进行hash操作,将hash值放入password字段当作密码

当用户登陆时

  1. 服务器取出salt
  2. 与用户的输入进行相同的hash算法
  3. hash值与password进行比较,如果一致就登陆成功

对Realm进行加盐配置

随机盐生成器

首先一个Object可以生成随机的salt以供使用

1
2
3
<bean id="secureRandomNumberGenerate" class="org.apache.shiro.crypto.SecureRandomNumberGenerator">
    <property name="defaultNextBytesSize" value="5"/>
</bean>

Hash算法对象

然后还需要选择某一种Hash算法,以便加盐过程中的Hash运算,其中hashAlgorithmName字符串参考Java本身自带的Hash字符串名

1
2
3
4
<bean id="sha512Matcher" class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
    <property name="hashAlgorithmName" value="SHA-512"/>
    <property name="hashIterations" value="2"/>
</bean>

Salt和Hash注入Realm

与文章Realm解析不同,这里authenticationQuery的SQL语句不仅要获得password,还要获得salt

其中saltStyle分为四种

saltStyle salt机制
NO_SALT 默认,密码没有经过加盐
CRYPT 密码是以Unix加密方式储存的
COLUMN salt是单独的一列储存在数据库中
EXTERNAL salt没有储存在数据库中,需要通过JdbcRealm.getSaltForUser(String)函数获取

最常用的方式就是第三个 COLUMN

1
2
3
4
5
6
7
8
9
<bean id="sampleRealm" class="org.apache.shiro.realm.jdbc.JdbcRealm">
    <property name="dataSource" ref="dataSource"/>   
    <property name="authenticationQuery" value="SELECT password,salt FROM users WHERE username = ?"/>
    <property name="userRolesQuery" value="SELECT role FROM roles WHERE username = ?"/>      
    <property name="permissionsQuery" value="SELECT permission FROM permissisons WHERE username = ?"/>
    <property name="permissionsLookupEnabled" value="true"/>
    <property name="saltStyle" value="COLUMN"/>                <====声明salt是以column的方式存放在数据库里
    <property name="credentialsMatcher" ref="sha512Matcher"/>  <====采用刚才声明的Hash器当作Matcher方法
</bean>

需要注意的是,在选择了Slat之后,SQL语句一定要先获得password后获得salt,Realm会按照这个顺序区分哪个字符串是密码,哪个是salt,在JdbcRealm存在默认SQL语句

1
2
protected static final String DEFAULT_AUTHENTICATION_QUERY = "select password from users where username = ?";
protected static final String DEFAULT_SALTED_AUTHENTICATION_QUERY = "select password, password_salt from users where username = ?";

新用户将密码加盐放入数据库

由于sampleRealm仅仅是 获得角色和权限的逻辑 ,并不能再新建用户的时候帮我们对用户的密码进行hash,所以在新用户插入数据库的时候,我们要手动进行加盐

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
@Autowired
private SecureRandomNumberGenerator secureRandomNumberGenerator;

@Autowired
private HashedCredentialsMatcher hashedCredentialsMatcher;

private void generateNewSaltAndHashedPassword(UserBO userBO) throws Exception {
    //产生随机盐
    ByteSource byteSource = secureRandomNumberGenerator.nextBytes();
    String salt = byteSource.toString();

    //进行Hash运算
    String algorithmName = hashedCredentialsMatcher.getHashAlgorithmName();
    int hashIterations = hashedCredentialsMatcher.getHashIterations();
    SimpleHash simpleHash = new SimpleHash(algorithmName,userBO.getPassword(),salt,hashIterations);
    String hashedPassword = simpleHash.toString();

    //放入用户模型以便插入数据库
    userBO.setSalt(salt);
    userBO.setPassword(hashedPassword);
}

其中 HashedCredentialsMatcherSecureRandomNumberGenerator 我们已经在applicationContext.xml里进行了配置以供sampleRealm使用,这里仅仅需要使用 @Autowired 引用单例即可

请问老板还招人么(/ω\)

支付宝
微信

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

我写的,大概率是错的。。。。。