                        課程
                    
                        /后端開發(fā)
                        
                            /Java
                        
                        /Shiro安全框架入門

使用了 HashedCredentialsMatcher 后密碼并沒有加密?

不太清楚有沒有碰到密碼沒有真正加密的問題...吾輩在 CustomRealm 中對傳進來的密碼進行了斷點查看發(fā)現(xiàn)并沒有加密(還是明文), 老師的課程中沒有對比密碼, 不知道會不會有沒有問題呢? (」゜ロ゜)」

查看傳入的 token 的值

00:33

RXLiuli

2018-04-27

源自：Shiro安全框架入門 3-6

關(guān)注問題我要回答

2749

操作

收起

4 回答

JackSparrow414
2019-04-20

同學(xué)你好，你配置的只是shiro驗證的加密規(guī)則，在你保存的時候并沒有去加密，所以數(shù)據(jù)庫里的密碼還是明文，你在保存的方法那里設(shè)置一下加密算法名字，加密次數(shù)，鹽值即可。例子如下：

public?void?insert(User?user1)?{
??//對用戶密碼進行加鹽處理
??String?salt?=?RandomStringUtils.randomAlphabetic(20);
??user.setPassword(new?SimpleHash("MD5",user1.getPassword(),salt,20).toHex());
??user1.setPassword(new?Sha256Hash(user1.getPassword(),salt,20).toHex());
??user1.setSalt(salt);
??this.save(user1);
}

0 回復(fù) 有任何疑惑可以回復(fù)我~

收起回答

alwynxu
2018-09-24

你看的密碼沒有加密是正確的，

HashedCredentialsMatcher中的
public?boolean?doCredentialsMatch(AuthenticationToken?token,?AuthenticationInfo?info)?{
????Object?tokenHashedCredentials?=?hashProvidedCredentials(token,?info);
????Object?accountCredentials?=?getCredentials(info);
????return?equals(tokenHashedCredentials,?accountCredentials);
}
方法會對傳過來的明文密碼按照HashedCredentialsMatcher對象的設(shè)置進行加密，然后與數(shù)據(jù)庫里面的加密密碼進行比對的

0 回復(fù) 有任何疑惑可以回復(fù)我~

收起回答

ReLuFl
2018-08-18

我也是。。。。。。。沒有跟視頻里一樣，根本沒散列。。

0 回復(fù) 有任何疑惑可以回復(fù)我~

收起回答

alpha8
2018-04-28

你的自定義realm的doGetAuthenticationInfo少了一行代碼，?指定salt鹽值。

如下：

SimpleAuthenticationInfo?saf?=?new?SimpleAuthenticationInfo(username,?user.getPassword(),?this.getName());
saf.setCredentialsSalt(ByteSource.Util.bytes(SALT));
return?saf;

0 回復(fù) 有任何疑惑可以回復(fù)我~

收起回答

#1

hodge

沒有＋鹽值導(dǎo)致的？開始在設(shè)置realm的時候指定鹽值（獲取到的鹽值）放進去并返回是不是就不用你現(xiàn)在寫的這一步？

2019-09-24 回復(fù) 有任何疑惑可以回復(fù)我~