SpringBoot整合shiro-MD5盐值加密
SpringBoot整合shiro-MD5盐值加密
为什么要进行密码加密?
在我们的日常生活中,许多人有着在不同网站上使用相同密码的坏习惯(包括我也是qaq),假如应用程序或服务器出现漏洞,数据被窃取,用户的明文密码直接被暴露给黑客。显然后果将不堪设想。使用密码加密可以有效地增加黑客破解密码的难度,提高安全性。
什么是md5加密和md5盐值加密?
- md5加密:
明文密码 + md5算法 = 密文密码 - md5盐值加密
盐值处理后的明文密码 + md5算法 = 密文密码
盐值可以由开发者进行自定义,这样密码被破解的可能性就有了显著的降低。
下面演示基于SpringBoot框架的shiro实现MD5盐值加密
SpringBoot整合shiro-实现MD5盐值加密
一、数据库中应有一个字段用于储存盐值
二、数据表映射的实体类中应有盐值属性
package com.pedro.entity;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
import java.io.Serializable;
@Data
@AllArgsConstructor
@NoArgsConstructor
public class User implements Serializable {
private int id;
private String username;
private String password;
private String perms;
private String salt;
}
User.java
三、ShiroConfig中设置加密方式
1、设置加密算法并用@Bean标签注入Spring容器
//密码加密算法设置
@Bean
public HashedCredentialsMatcher hashedCredentialsMatcher(){
HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
//设置加密方式
hashedCredentialsMatcher.setHashAlgorithmName("md5");
//设置散列的次数
hashedCredentialsMatcher.setHashIterations(2);
return hashedCredentialsMatcher;
}
2、realm中设置开启加密
@Bean
public UserRealm userRealm(){
//注入realm
UserRealm userRealm = new UserRealm();
//注入密码加密
userRealm.setCredentialsMatcher(hashedCredentialsMatcher());
return userRealm;
}
四、修改realm类中的认证方法
那么注册用户时如何对用户设置的密码进行加密呢?
一、可以准备一个用于加密的工具方法
public class PasswordGenerateUtil {
public static String getPassword(String username, String password, String salt, int hashTimes) {
//利用传入的信息进行加密,得到密文
Md5Hash md5Hash = new Md5Hash(password, username + salt, hashTimes);
//返回密文
return md5Hash.toString();
}
}
二、注册用户时注意
- 向数据库中存入用户信息时调用工具方法,加密密码再存入
- 存入用户信息时候记得把盐值也存进去
String salt1 = Long.toString(System.currentTimeMillis());
注意事项:
- 加密密码时设置的盐值处理方式必须和realm中存入info时的盐值处理方式设置得一样
- 加密时的散列次数必须和ShiroConfig中加密算法的bean中设置的一样
2020-5-24
