- 浏览: 236580 次
- 性别:
- 来自: 上海
文章分类
最新评论
-
shuhucy:
必须赞啊,源码理解的很深,解决一个困扰两天的问题
Spring AOP源码分析(八)SpringAOP要注意的地方 -
sealinesu:
精彩
Spring事务源码分析(一)Spring事务入门 -
whlt20090509:
"WEB-INF/view目录下有一个简单的hell ...
SpringMVC源码总结(一)HandlerMapping和HandlerAdapter入门 -
hai0378:
兄台 算我一个,最近在研究dubbo motan 及 zk ...
ZooKeeper源码研究寻求小伙伴 -
zpkbtzmbw:
看懂了,原理
SpringMVC源码总结(五)Tomcat的URIEncoding、useBodyEncodingForURI和CharacterEncodingFilter
有了上一篇文章的原理分析,这一篇文章主要结合原理来进行使用。
shiro.ini配置为:
代码为:
此案例,对于jdbcRealm并没有配置CredentialsMatcher,它会使用默认的CredentialsMatcher即SimpleCredentialsMatcher,如下:
从上一篇文章中知道SimpleCredentialsMatcher不进行加密,仅仅匹配密码对应的字节数组。
所以代码中用户lg的登陆密码为123,则数据库中的密码也是明文123。
下面我们就开始进行加密,首先从CredentialsMatcher的第三个分支来说,使用HashedCredentialsMatcher来进行加密。加密方式为salt自定义、hash次数为2、加密算法为md5的加密过程。配置文件如下所示:
如用户"lg"明文密码为"123",假如salt为"www",hash次数为2,加密算法为"MD5",则密文可如下方式算出:
经过md5加密后变成byte数组,存在Hash的bytes属性中,然后使用hash.toHex()将byte数组转换成16进制的字符串,最终结果为"9bfe7c447c6c58389824bd8f1719b0bb",然后将该结果作为密码的密文存到数据库中,同时我们把salt也存到数据库中,则数据库中是如下记录:
数据库的数据准备完毕,然后就开始代码设置。第一个设置就是,读取用户"lg"的记录的时候要把password_salt读取出来,即sql语句应该为DEFAULT_SALTED_AUTHENTICATION_QUERY =select password, password_salt from users where username = ?
然而默认的sql语句是:DEFAULT_AUTHENTICATION_QUERY=select password from users where username = ?
如何才能达到上述替换结果呢?
从上面代码中可以看到,需要设置JdbcRealm的saltStyle 为SaltStyle.COLUMN。saltStyle 是一个枚举类型,然而在ini配置文件中,并不支持设置枚举类型,只能暂时在代码中如下解决:
或者开涛大神又给出另外一种解决方案:注册一个Enum转换器,这个我准备在下一篇文章中给出ini配置文件的源码解析。
上述设置,就会使JdbcRealm 从数据库中读出用户"lg"的AuthenticationInfo信息中含有密文和salt。JdbcRealm下一步就要进行AuthenticationToken token(含有用户提交的明文密码"123") AuthenticationInfo info(含有密文密码"9bfe7c447c6c58389824bd8f1719b0bb",和salt "www")的匹配过程
hashProvidedCredentials方法:HashedCredentialsMatcher会将明文密码"123"进行如下类似的操作:
其中md5算法和hash次数2为我们所配置的,www则是从数据库中读出来的。
得到tokenHashedCredentials =上述的结果。
getCredentials方法:会将AuthenticationInfo info的密文密码先进行decode,如下:
为什么呢?因为我们之前算出的密文是byte数组,然后进行了16进制转换变成字符串,所以这里要将密文密码"9bfe7c447c6c58389824bd8f1719b0bb"先decode还原出byte数组
isStoredCredentialsHexEncoded()方法返回HashedCredentialsMatcher的storedCredentialsHexEncoded属性,默认为true,即会进行16进制的decode,正好符合我们的要求。如果设置为false,则要进行Base64解码。
tokenHashedCredentials 和上述getCredentials(AuthenticationInfo info)的结果的byte数组内容都是进过相同的算法和salt和hash次数,所以他们会匹配上,进而验证通过。
再来看下CredentialsMatcher的另一个分支PasswordMatcher的使用:
我们知道,根据上一篇文章的原理,PasswordMatcher会对AuthenticationInfo的密码进行String和Hash的判断。而我们的JdbcRealm在创建获取用户的AuthenticationInfo时,默认采用的是char数组的形式存储的,如下:
所以如果想让AuthenticationInfo存储的密码存储形式为Hash,则需要我们来自定义JdbcRealm。虽然是char数组,但PasswordMatcher对char数组转换成了String,如下:
所以会调用PasswordService的boolean passwordsMatch(Object submittedPlaintext, String encrypted)。
案例如下:
ini配置为:
第一个过程就是用户注册,对密码进行加密然后存到数据库的过程,我们全部使用PasswordMatcher最简单的默认配置,获取密文过程即用户注册的过程,先根据SecurityManager拿到JdbcRealm,再由JdbcRealm拿到PasswordMatcher,再根据PasswordMatcher拿到PasswordService,有了PasswordService就可以对明文密码进行加密了,打印的密文密码结果为:$shiro1$SHA-256$500000$y37r7l1qqEoIVXprJBfvbA==$065oJsZajS1yhGBUYYyxV1ThQ8brGw/9Koa6sDMmKAw=(每执行一次加密过程都会变,内部使用了随机生成salt的机制)
存到数据库中。如下截图:
然后就可以直接用账号"lisi"和上述明文密码"456"来进行登陆,也可以登陆成功。
然后我们就分析下使用PasswordService对明文加密的过程和用户登录时的匹配过程(有了前一篇文章的原理分析,然后就能够更改默认配置,实现自己的需求)
先是PasswordService的各项默认配置:
我们jdbcRealm配置的credentialsMatcher是org.apache.shiro.authc.credential.PasswordMatcher,它的配置如下:
再看DefaultPasswordService的配置:
它内部使用的HashService:算法为DEFAULT_HASH_ALGORITHM即"SHA-256",hash次数为DEFAULT_HASH_ITERATIONS即500000,是否产生publicSalt为true,即一定会产生publicSalt(我们知道最终要参与计算的salt是publicSalt和privateSalt的合并,这里默认并没有设置DefaultHashService 的privateSalt)。
它内部使用的HashFormat:为Shiro1CryptFormat,它的format方法能将一个Hash格式化成一个字符串,它的parse方法能将一个上述格式化的字符串解析成一个Hash。
它内部使用的HashFormatFactory:为经过HashFormat格式化的字符串找到对应的HashFormat。
看完了DefaultPasswordService的基本配置,然后就来看下对明文密码的加密过程:
第一个过程,即将明文密码通过HashService的算法等配置加密成一个Hash
先创建一个HashRequest ,最终为new SimpleHashRequest(this.algorithmName, this.source, this.salt, this.iterations);这个Request只有明文密码不为空,其他都为空,iterations为0。通过hashService.computeHash(request)过程来生成一个new SimpleHash(algorithmName, source, salt, iterations);
algorithmName:来自hashService的算法名即SHA-256
source:即来自明文密码
salt:是hashService的privateSalt(从上文知道为空)和publicSalt的合并。由于hashService的generatePublicSalt属性为true(从上文知道),所以会生成publicSalt,是如下方式随机生成的
hash次数:上述SimpleHashRequest的hash次数为0,所以采用的是hashService的hash次数即500000
综上所述,hashService产生了一个new SimpleHashRequest("SHA-256", this.source, this.salt, 500000)的一个hash。
接下来就是用hashFormat来格式化这个Hash,过程如下:
MCF_PREFIX为:$shiro1$,TOKEN_DELIMITER为:$
格式化的字符串为: $shiro1$算法名字$hash次数$salt的base64编码$hash的base64编码
所以得到的加密密文的结果为:
$shiro1$SHA-256$500000$y37r7l1qqEoIVXprJBfvbA==$065oJsZajS1yhGBUYYyxV1ThQ8brGw/9Koa6sDMmKAw=
所以这个密文每一部分都代表着一定的内容,从而可以实现parse,得到采用的算法、hash次数、salt信息。所以在用户登陆的时候,就可以将用户的明文密码仍按照此配置进行一次加密来匹配,即可断定用户的密码是否正确,这其实就是密码匹配过程所采用的方式。
上述案例是使用PasswordMatcher默认配置,现在如果我们想更改算法、salt、和hash次数来满足我们的需求。
PasswordMatcher是依靠PasswordService,默认的PasswordService是DefaultPasswordService,DefaultPasswordService又是靠HashService(默认是DefaultHashService)的算法、salt、hash次数等配置来加密的,所以我们要更改算法、salt、hash次数则要DefaultHashService进行设置,如我们想用md5算法来加密、publicSalt为随机生成,hash次数为3次,则ini配置文件要如下更改:
PasswordMatcher是依靠PasswordService来实现加密和匹配的,所以我们可以自定义一个PasswordService来按照我们自己约定的加密规则来实现加密,如下所示:
加密过程和匹配过程都采用相同的步骤来实现匹配。以上便是一个简单的PasswordService实现,ini配置更改为:
作者: 乒乓狂魔
shiro.ini配置为:
[main] #realm dataSource=com.mchange.v2.c3p0.ComboPooledDataSource dataSource.driverClass=com.mysql.jdbc.Driver dataSource.jdbcUrl=jdbc:mysql://localhost:3306/shiro dataSource.user=XXXXXX dataSource.password=XXXXX jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm jdbcRealm.dataSource=$dataSource jdbcRealm.permissionsLookupEnabled=true securityManager.realms=$jdbcRealm
代码为:
public class ShiroTest { @Test public void testHelloworld() { init(); Subject subject=login("lg","123"); System.out.println(subject.hasRole("role1")); System.out.println(subject.hasRole("role2")); System.out.println(subject.hasRole("role3")); } private Subject login(String userName,String password){ //3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证) Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken(userName,password); subject.login(token); return subject; } private void init(){ //1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager Factory<org.apache.shiro.mgt.SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini"); //2、得到SecurityManager实例 并绑定给SecurityUtils org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance(); SecurityUtils.setSecurityManager(securityManager); } }
此案例,对于jdbcRealm并没有配置CredentialsMatcher,它会使用默认的CredentialsMatcher即SimpleCredentialsMatcher,如下:
public AuthenticatingRealm() { this(null, new SimpleCredentialsMatcher()); } public AuthenticatingRealm(CacheManager cacheManager) { this(cacheManager, new SimpleCredentialsMatcher()); }
从上一篇文章中知道SimpleCredentialsMatcher不进行加密,仅仅匹配密码对应的字节数组。
所以代码中用户lg的登陆密码为123,则数据库中的密码也是明文123。
下面我们就开始进行加密,首先从CredentialsMatcher的第三个分支来说,使用HashedCredentialsMatcher来进行加密。加密方式为salt自定义、hash次数为2、加密算法为md5的加密过程。配置文件如下所示:
[main] #realm dataSource=com.mchange.v2.c3p0.ComboPooledDataSource dataSource.driverClass=com.mysql.jdbc.Driver dataSource.jdbcUrl=jdbc:mysql://localhost:3306/shiro dataSource.user=XXXX dataSource.password=XXXX jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm jdbcRealm.dataSource=$dataSource jdbcRealm.permissionsLookupEnabled=true credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher credentialsMatcher.hashAlgorithmName=MD5 credentialsMatcher.hashIterations=2 jdbcRealm.credentialsMatcher=$credentialsMatcher securityManager.realms=$jdbcRealm
如用户"lg"明文密码为"123",假如salt为"www",hash次数为2,加密算法为"MD5",则密文可如下方式算出:
Hash hash=new SimpleHash("MD5", new SimpleByteSource("123"),new SimpleByteSource("www"),2); System.out.println(hash.toHex());
经过md5加密后变成byte数组,存在Hash的bytes属性中,然后使用hash.toHex()将byte数组转换成16进制的字符串,最终结果为"9bfe7c447c6c58389824bd8f1719b0bb",然后将该结果作为密码的密文存到数据库中,同时我们把salt也存到数据库中,则数据库中是如下记录:
数据库的数据准备完毕,然后就开始代码设置。第一个设置就是,读取用户"lg"的记录的时候要把password_salt读取出来,即sql语句应该为DEFAULT_SALTED_AUTHENTICATION_QUERY =select password, password_salt from users where username = ?
然而默认的sql语句是:DEFAULT_AUTHENTICATION_QUERY=select password from users where username = ?
如何才能达到上述替换结果呢?
public void setSaltStyle(SaltStyle saltStyle) { this.saltStyle = saltStyle; if (saltStyle == SaltStyle.COLUMN && authenticationQuery.equals(DEFAULT_AUTHENTICATION_QUERY)) { authenticationQuery = DEFAULT_SALTED_AUTHENTICATION_QUERY; } }
从上面代码中可以看到,需要设置JdbcRealm的saltStyle 为SaltStyle.COLUMN。saltStyle 是一个枚举类型,然而在ini配置文件中,并不支持设置枚举类型,只能暂时在代码中如下解决:
Collection<Realm> realms=((RealmSecurityManager) securityManager).getRealms(); JdbcRealm jdbcRealm=(JdbcRealm)realms.toArray()[0]; jdbcRealm.setSaltStyle(SaltStyle.COLUMN);
或者开涛大神又给出另外一种解决方案:注册一个Enum转换器,这个我准备在下一篇文章中给出ini配置文件的源码解析。
上述设置,就会使JdbcRealm 从数据库中读出用户"lg"的AuthenticationInfo信息中含有密文和salt。JdbcRealm下一步就要进行AuthenticationToken token(含有用户提交的明文密码"123") AuthenticationInfo info(含有密文密码"9bfe7c447c6c58389824bd8f1719b0bb",和salt "www")的匹配过程
public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) { Object tokenHashedCredentials = hashProvidedCredentials(token, info); Object accountCredentials = getCredentials(info); return equals(tokenHashedCredentials, accountCredentials); }
hashProvidedCredentials方法:HashedCredentialsMatcher会将明文密码"123"进行如下类似的操作:
new SimpleHash("MD5", new SimpleByteSource("123"),new SimpleByteSource("www"),2)
其中md5算法和hash次数2为我们所配置的,www则是从数据库中读出来的。
得到tokenHashedCredentials =上述的结果。
getCredentials方法:会将AuthenticationInfo info的密文密码先进行decode,如下:
protected Object getCredentials(AuthenticationInfo info) { Object credentials = info.getCredentials(); byte[] storedBytes = toBytes(credentials); if (credentials instanceof String || credentials instanceof char[]) { //account.credentials were a char[] or String, so //we need to do text decoding first: if (isStoredCredentialsHexEncoded()) { storedBytes = Hex.decode(storedBytes); } else { storedBytes = Base64.decode(storedBytes); } } AbstractHash hash = newHashInstance(); hash.setBytes(storedBytes); return hash; }
为什么呢?因为我们之前算出的密文是byte数组,然后进行了16进制转换变成字符串,所以这里要将密文密码"9bfe7c447c6c58389824bd8f1719b0bb"先decode还原出byte数组
isStoredCredentialsHexEncoded()方法返回HashedCredentialsMatcher的storedCredentialsHexEncoded属性,默认为true,即会进行16进制的decode,正好符合我们的要求。如果设置为false,则要进行Base64解码。
tokenHashedCredentials 和上述getCredentials(AuthenticationInfo info)的结果的byte数组内容都是进过相同的算法和salt和hash次数,所以他们会匹配上,进而验证通过。
再来看下CredentialsMatcher的另一个分支PasswordMatcher的使用:
我们知道,根据上一篇文章的原理,PasswordMatcher会对AuthenticationInfo的密码进行String和Hash的判断。而我们的JdbcRealm在创建获取用户的AuthenticationInfo时,默认采用的是char数组的形式存储的,如下:
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { UsernamePasswordToken upToken = (UsernamePasswordToken) token; String username = upToken.getUsername(); // Null username is invalid if (username == null) { throw new AccountException("Null usernames are not allowed by this realm."); } Connection conn = null; SimpleAuthenticationInfo info = null; try { conn = dataSource.getConnection(); String password = null; String salt = null; switch (saltStyle) { case NO_SALT: password = getPasswordForUser(conn, username)[0]; break; case CRYPT: // TODO: separate password and hash from getPasswordForUser[0] throw new ConfigurationException("Not implemented yet"); //break; case COLUMN: String[] queryResults = getPasswordForUser(conn, username); password = queryResults[0]; salt = queryResults[1]; break; case EXTERNAL: password = getPasswordForUser(conn, username)[0]; salt = getSaltForUser(username); } if (password == null) { throw new UnknownAccountException("No account found for user [" + username + "]"); } //重点在这里在这里在这里在这里在这里在这里在这里 password.toCharArray()变成了char数组 info = new SimpleAuthenticationInfo(username, password.toCharArray(), getName()); if (salt != null) { info.setCredentialsSalt(ByteSource.Util.bytes(salt)); } } catch (SQLException e) { final String message = "There was a SQL error while authenticating user [" + username + "]"; if (log.isErrorEnabled()) { log.error(message, e); } // Rethrow any SQL errors as an authentication exception throw new AuthenticationException(message, e); } finally { JdbcUtils.closeConnection(conn); } return info; }
所以如果想让AuthenticationInfo存储的密码存储形式为Hash,则需要我们来自定义JdbcRealm。虽然是char数组,但PasswordMatcher对char数组转换成了String,如下:
protected Object getStoredPassword(AuthenticationInfo storedAccountInfo) { Object stored = storedAccountInfo != null ? storedAccountInfo.getCredentials() : null; //fix for https://issues.apache.org/jira/browse/SHIRO-363 if (stored instanceof char[]) { stored = new String((char[])stored); } return stored; }
所以会调用PasswordService的boolean passwordsMatch(Object submittedPlaintext, String encrypted)。
案例如下:
@Test public void testHelloworld() { init(); register("lisi","456"); Subject subject=login("lisi","456"); System.out.println(subject.hasRole("role1")); System.out.println(subject.hasRole("role2")); System.out.println(subject.hasRole("role3")); } public void register(String username,String password){ JdbcRealm jdbcRealm=getJdbcRelam(); PasswordMatcher passwordMatcher=(PasswordMatcher) jdbcRealm.getCredentialsMatcher(); String encryptPassword=passwordMatcher.getPasswordService().encryptPassword(password); //保存用户名和密文到数据库,这里不再做 System.out.println(encryptPassword); } private Subject login(String userName,String password){ //3、得到Subject及创建用户名/密码身份验证Token(即用户身份/凭证) Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken token = new UsernamePasswordToken(userName,password); subject.login(token); return subject; } private void init(){ //1、获取SecurityManager工厂,此处使用Ini配置文件初始化SecurityManager Factory<org.apache.shiro.mgt.SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini"); //2、得到SecurityManager实例 并绑定给SecurityUtils org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance(); SecurityUtils.setSecurityManager(securityManager); JdbcRealm jdbcRealm=getJdbcRelam(); jdbcRealm.setSaltStyle(SaltStyle.COLUMN); } public JdbcRealm getJdbcRelam(){ Collection<Realm> realms=((RealmSecurityManager)SecurityUtils.getSecurityManager()).getRealms(); return (JdbcRealm)realms.toArray()[0]; }
ini配置为:
[main] #realm dataSource=com.mchange.v2.c3p0.ComboPooledDataSource dataSource.driverClass=com.mysql.jdbc.Driver dataSource.jdbcUrl=jdbc:mysql://localhost:3306/shiro dataSource.user=XXXX dataSource.password=XXXX jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm jdbcRealm.dataSource=$dataSource jdbcRealm.permissionsLookupEnabled=true credentialsMatcher=org.apache.shiro.authc.credential.PasswordMatcher jdbcRealm.credentialsMatcher=$credentialsMatcher securityManager.realms=$jdbcRealm
第一个过程就是用户注册,对密码进行加密然后存到数据库的过程,我们全部使用PasswordMatcher最简单的默认配置,获取密文过程即用户注册的过程,先根据SecurityManager拿到JdbcRealm,再由JdbcRealm拿到PasswordMatcher,再根据PasswordMatcher拿到PasswordService,有了PasswordService就可以对明文密码进行加密了,打印的密文密码结果为:$shiro1$SHA-256$500000$y37r7l1qqEoIVXprJBfvbA==$065oJsZajS1yhGBUYYyxV1ThQ8brGw/9Koa6sDMmKAw=(每执行一次加密过程都会变,内部使用了随机生成salt的机制)
存到数据库中。如下截图:
然后就可以直接用账号"lisi"和上述明文密码"456"来进行登陆,也可以登陆成功。
然后我们就分析下使用PasswordService对明文加密的过程和用户登录时的匹配过程(有了前一篇文章的原理分析,然后就能够更改默认配置,实现自己的需求)
先是PasswordService的各项默认配置:
我们jdbcRealm配置的credentialsMatcher是org.apache.shiro.authc.credential.PasswordMatcher,它的配置如下:
public class PasswordMatcher implements CredentialsMatcher { private PasswordService passwordService; public PasswordMatcher() { this.passwordService = new DefaultPasswordService(); } //内部使用了DefaultPasswordService }
再看DefaultPasswordService的配置:
public class DefaultPasswordService implements HashingPasswordService { public static final String DEFAULT_HASH_ALGORITHM = "SHA-256"; public static final int DEFAULT_HASH_ITERATIONS = 500000; //500,000 private HashService hashService; private HashFormat hashFormat; private HashFormatFactory hashFormatFactory; private volatile boolean hashFormatWarned; //used to avoid excessive log noise public DefaultPasswordService() { this.hashFormatWarned = false; DefaultHashService hashService = new DefaultHashService(); hashService.setHashAlgorithmName(DEFAULT_HASH_ALGORITHM); hashService.setHashIterations(DEFAULT_HASH_ITERATIONS); hashService.setGeneratePublicSalt(true); //always want generated salts for user passwords to be most secure this.hashService = hashService; this.hashFormat = new Shiro1CryptFormat(); this.hashFormatFactory = new DefaultHashFormatFactory(); } //略 }
它内部使用的HashService:算法为DEFAULT_HASH_ALGORITHM即"SHA-256",hash次数为DEFAULT_HASH_ITERATIONS即500000,是否产生publicSalt为true,即一定会产生publicSalt(我们知道最终要参与计算的salt是publicSalt和privateSalt的合并,这里默认并没有设置DefaultHashService 的privateSalt)。
它内部使用的HashFormat:为Shiro1CryptFormat,它的format方法能将一个Hash格式化成一个字符串,它的parse方法能将一个上述格式化的字符串解析成一个Hash。
它内部使用的HashFormatFactory:为经过HashFormat格式化的字符串找到对应的HashFormat。
看完了DefaultPasswordService的基本配置,然后就来看下对明文密码的加密过程:
public String encryptPassword(Object plaintext) { Hash hash = hashPassword(plaintext); checkHashFormatDurability(); return this.hashFormat.format(hash); }
第一个过程,即将明文密码通过HashService的算法等配置加密成一个Hash
public Hash hashPassword(Object plaintext) { ByteSource plaintextBytes = createByteSource(plaintext); if (plaintextBytes == null || plaintextBytes.isEmpty()) { return null; } HashRequest request = createHashRequest(plaintextBytes); return hashService.computeHash(request); } protected HashRequest createHashRequest(ByteSource plaintext) { return new HashRequest.Builder().setSource(plaintext).build(); }
先创建一个HashRequest ,最终为new SimpleHashRequest(this.algorithmName, this.source, this.salt, this.iterations);这个Request只有明文密码不为空,其他都为空,iterations为0。通过hashService.computeHash(request)过程来生成一个new SimpleHash(algorithmName, source, salt, iterations);
algorithmName:来自hashService的算法名即SHA-256
source:即来自明文密码
salt:是hashService的privateSalt(从上文知道为空)和publicSalt的合并。由于hashService的generatePublicSalt属性为true(从上文知道),所以会生成publicSalt,是如下方式随机生成的
publicSalt = getRandomNumberGenerator().nextBytes();
hash次数:上述SimpleHashRequest的hash次数为0,所以采用的是hashService的hash次数即500000
综上所述,hashService产生了一个new SimpleHashRequest("SHA-256", this.source, this.salt, 500000)的一个hash。
接下来就是用hashFormat来格式化这个Hash,过程如下:
public String format(Hash hash) { if (hash == null) { return null; } String algorithmName = hash.getAlgorithmName(); ByteSource salt = hash.getSalt(); int iterations = hash.getIterations(); StringBuilder sb = new StringBuilder(MCF_PREFIX).append(algorithmName).append(TOKEN_DELIMITER).append(iterations).append(TOKEN_DELIMITER); if (salt != null) { sb.append(salt.toBase64()); } sb.append(TOKEN_DELIMITER); sb.append(hash.toBase64()); return sb.toString(); }
MCF_PREFIX为:$shiro1$,TOKEN_DELIMITER为:$
格式化的字符串为: $shiro1$算法名字$hash次数$salt的base64编码$hash的base64编码
所以得到的加密密文的结果为:
$shiro1$SHA-256$500000$y37r7l1qqEoIVXprJBfvbA==$065oJsZajS1yhGBUYYyxV1ThQ8brGw/9Koa6sDMmKAw=
所以这个密文每一部分都代表着一定的内容,从而可以实现parse,得到采用的算法、hash次数、salt信息。所以在用户登陆的时候,就可以将用户的明文密码仍按照此配置进行一次加密来匹配,即可断定用户的密码是否正确,这其实就是密码匹配过程所采用的方式。
上述案例是使用PasswordMatcher默认配置,现在如果我们想更改算法、salt、和hash次数来满足我们的需求。
PasswordMatcher是依靠PasswordService,默认的PasswordService是DefaultPasswordService,DefaultPasswordService又是靠HashService(默认是DefaultHashService)的算法、salt、hash次数等配置来加密的,所以我们要更改算法、salt、hash次数则要DefaultHashService进行设置,如我们想用md5算法来加密、publicSalt为随机生成,hash次数为3次,则ini配置文件要如下更改:
[main] #realm dataSource=com.mchange.v2.c3p0.ComboPooledDataSource dataSource.driverClass=com.mysql.jdbc.Driver dataSource.jdbcUrl=jdbc:mysql://localhost:3306/shiro dataSource.user=root dataSource.password=ligang jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm jdbcRealm.dataSource=$dataSource jdbcRealm.permissionsLookupEnabled=true hashService=org.apache.shiro.crypto.hash.DefaultHashService hashService.hashAlgorithmName=MD5 hashService.hashIterations=3 hashService.generatePublicSalt=true passwordService=org.apache.shiro.authc.credential.DefaultPasswordService passwordService.hashService=$hashService credentialsMatcher=org.apache.shiro.authc.credential.PasswordMatcher credentialsMatcher.passwordService=$passwordService jdbcRealm.credentialsMatcher=$credentialsMatcher securityManager.realms=$jdbcRealm
PasswordMatcher是依靠PasswordService来实现加密和匹配的,所以我们可以自定义一个PasswordService来按照我们自己约定的加密规则来实现加密,如下所示:
public class MyPasswordService implements PasswordService{ private String algorithmName="MD5"; private int iterations=5; private String salt="2014"; private HashFormat hashFormat=new Shiro1CryptFormat(); @Override public String encryptPassword(Object plaintextPassword) throws IllegalArgumentException { Hash hash=new SimpleHash(algorithmName,ByteSource.Util.bytes(plaintextPassword),ByteSource.Util.bytes(salt), iterations); return hashFormat.format(hash); } @Override public boolean passwordsMatch(Object submittedPlaintext, String encrypted) { Hash hash=new SimpleHash(algorithmName,ByteSource.Util.bytes(submittedPlaintext),ByteSource.Util.bytes(salt), iterations); String password=hashFormat.format(hash); return encrypted.equals(password); } }
加密过程和匹配过程都采用相同的步骤来实现匹配。以上便是一个简单的PasswordService实现,ini配置更改为:
[main] #realm dataSource=com.mchange.v2.c3p0.ComboPooledDataSource dataSource.driverClass=com.mysql.jdbc.Driver dataSource.jdbcUrl=jdbc:mysql://localhost:3306/shiro dataSource.user=root dataSource.password=ligang jdbcRealm=org.apache.shiro.realm.jdbc.JdbcRealm jdbcRealm.dataSource=$dataSource jdbcRealm.permissionsLookupEnabled=true passwordService=com.lg.shiro.MyPasswordService credentialsMatcher=org.apache.shiro.authc.credential.PasswordMatcher credentialsMatcher.passwordService=$passwordService jdbcRealm.credentialsMatcher=$credentialsMatcher securityManager.realms=$jdbcRealm
作者: 乒乓狂魔
发表评论
-
shiro源码分析(十一)SecurityManager
2015-01-16 05:59 0shiro源码分析(十一)SecurityManager -
shiro源码分析(九)RememberMe分析
2015-01-04 08:20 0shiro源码分析(八)RememberMe分析shiro源码 ... -
shiro源码分析(七)对称式加密解密
2015-01-01 10:29 0shiro源码分析(七)对称式加密解密shiro源码分析(七) ... -
shiro源码分析(八)ini配置文件的解析原理
2014-12-30 06:17 0shiro源码分析(七)ini配置文件的解析shiro源码分析 ... -
shiro源码分析(四)具体的Realm
2014-12-24 07:28 5257首先还是Realm的接口设计图: 这里只来说明Simple ... -
shiro源码分析(五)CredentialsMatcher
2014-12-29 07:39 11699Realm在验证用户身份的时候,要进行密码匹配。最简单的情况就 ... -
shiro源码分析(三)授权、认证、缓存的接口设计
2014-12-19 07:46 7196前两篇文章主要说的是认证过程,这一篇来分析下授权的过程。还是开 ... -
Subject Runas模块
2014-12-17 07:05 0Subject Runas模块Subject Runas模块S ... -
shiro源码分析(二)Subject和Session
2014-12-15 08:02 16790继续上一篇文章的案例 ... -
2 MapContext分析
2014-12-11 07:13 02 MapContext分析 -
1 AuthenticationInfo 是如何进行合并的?
2014-12-11 07:12 01 AuthenticationInfo 是如何进行合并的? -
shiro源码分析(一)入门
2014-12-11 07:21 13901最近闲来无事,准备读 ...
相关推荐
Shiro源码分析将帮助我们理解其工作原理和核心组件。 首先,Shiro的设计理念可以概括为:简单易用且功能强大。Shiro具有三个核心概念:Subject、SecurityManager和Realms。 1. Subject代表了当前与软件交互的用户...
本文将继续上一篇文章的案例,深入分析Shiro的Subject和Session机制,以及SecurityManager在创建Subject时所扮演的角色和过程。 首先,Shiro中的Subject代表了当前与软件交互的用户,可以是人、第三方服务、定时...
在这个"我的shiro源码.zip"压缩包中,包含的是一个整合了Spring(SSM框架的一部分)、Spring MVC和Mybatis的Shiro源代码示例。这个示例项目对于学习如何在实际开发中应用Shiro非常有帮助,因为源代码中有详细的注解...
在“shiro源码分析(四)具体的Realm”这一主题中,我们将深入探讨Shiro的核心组件——Realm,它是Shiro与应用程序安全数据源交互的桥梁。 Realm在Shiro中的地位至关重要,它负责验证用户身份并执行授权操作。 ...
- **源码分析**:通过阅读Shiro的源码,可以理解其内部的工作机制,包括如何进行身份验证、授权以及会话管理,有助于定制化开发和性能优化。 - **设计模式**:Shiro的源码中大量运用了设计模式,如工厂模式、代理...
Shiro的认证过程主要由Subject、Realms和CredentialsMatcher组成。Subject是Shiro的中心概念,代表当前用户或系统中的任何实体。Realms是Shiro与应用安全数据源(如数据库、LDAP等)的桥梁,负责验证凭证。...
Spring Boot学习之Shiro源码【学习狂神说,自己手动书写,可以实现正常所需的功能】 Spring Boot学习之Shiro源码【学习狂神说,自己手动书写,可以实现正常所需的功能】 Spring Boot学习之Shiro源码【学习狂神说,...
**SSH整合Shiro源码详解** 在Web应用开发中,安全性是至关重要的。SSH(Spring、Struts2、Hibernate)和Apache Shiro都是常见的Java安全框架。SSH是用于构建MVC架构的开源框架,而Shiro则专注于身份验证、授权和...
在深入学习 Shiro 源码时,你可以关注以下几个方面: 1. **架构设计**:理解Shiro的MVC设计模式,以及Subject、Realms、Caches等关键概念。 2. **认证流程**:研究`AuthenticationToken`、`AuthenticationInfo`和`...
shiro 视频、源码及课件。 shiro 视频、源码及课件。 shiro 视频、源码及课件。
通过对 SpringMVC 和 Shiro 源码的学习,我们可以深入了解这两个框架的内部机制,提高我们的代码质量和安全性。这不仅有助于优化现有项目,还为未来可能遇到的安全问题提供了解决方案。学习源码可以帮助我们理解框架...
2. **案例分析**:通过具体的场景,演示如何使用Shiro实现登录、权限控制等功能。 3. **最佳实践**:提供在实际项目中使用Shiro时的一些最佳实践和注意事项,帮助避免常见问题。 4. **实战教程**:可能包含一系列...
在这个"shiro权限案例demo"中,我们将深入探讨Shiro如何实现用户权限的管理。 首先,让我们了解Shiro的核心组件: 1. **Subject**:是Shiro的中心概念,代表了当前“安全的用户”。它提供了进行认证、授权、会话...
通过对 Shiro1.2.2 的源码分析,我们可以了解到它如何处理各种安全问题,以及如何构建高效、灵活的安全架构。同时,源码的学习有助于我们理解和解决在实际开发中遇到的安全问题,提升我们的编程技能。
通过阅读文档和分析源码,我们可以了解Shiro如何与JSP和数据库协作,如何实现用户认证、授权,以及如何定制Shiro以适应特定项目需求。对于Java Web开发者来说,掌握这些知识能提升应用的安全性和用户体验。
视频讲授过程中通过分析源代码使学员知其然更知其所以然。 【课程内容】 第一章 问候 Shiro 他大爷 1.Shiro 简介 2.ShiroHelloWorld 实现 第二章 身份认证 1.Subject 认证主体 2.身份认证流程 第三章 权限认证...
"跟我学Shiro源码"这个主题旨在深入理解Shiro的工作原理,通过分析源码来提升我们对安全编程的认知。 1. **Shiro架构** Shiro 的核心组件包括 Realm(认证与授权信息源)、SecurityManager(安全管理器)、Subject...
目前无漏洞版本shiro1.9.1源码+jar
通过分析这个源码,你可以理解如何在SpringBoot项目中构建一套完整的权限管理系统,包括用户的登录、权限校验以及对不同资源的访问控制。这不仅可以应用于简单的入门项目,也可以作为实际项目的基础框架,根据需求...