上一期我们完成了基本的登录操作,然而,直接通过明文密码登录显然是非常不安全的。因此,我们必须对密码进行加密以加强信息的安全性。
MD5信息摘要算法(英语:MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。MD5由美国密码学家罗纳德·李维斯特(Ronald Linn Rivest)设计,于1992年公开,用以取代MD4算法。这套算法的程序在 RFC 1321 标准中被加以规范。1996年后该算法被证实存在弱点,可以被加以破解,对于需要高度安全性的数据,专家一般建议改用其他算法,如SHA-2。2004年,证实MD5算法无法防止碰撞(collision),因此不适用于安全性认证,如SSL公开密钥认证或是数字签名等用途。
—— 摘自百度百科
MD5 具有以下特点:
根据以上特点,我们就可以使用 MD5 实现密码的加密和安全登录。
“加盐”即为计算机密码加密中常用的"add salt",一般用于在原密码后面追加一些无关字符后在进行不可逆加密(例如MD5)以便增强安全性
现在有很多 MD5 在线解密的网站,它们其实是使用穷举算法,根据原字符串生成的 MD5 逐个比对,从而通过MD5 得到原先的数据串。
因此我们有必要在加密前,先对数据串做一些修改。例如,在数据串的结尾增加一串新内容,这便是加盐。
原串:“123456”
盐:“Koorye_Love_MD5”
加盐后的串:“123456Koorye_Love_MD5”
我们对加盐后的串再加密,得到的结果便更难被破解。
Hash,一般翻译做散列、杂凑,或音译为哈希,是把任意长度的输入(又叫做预映射pre-image)通过散列算法变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,所以不可能从散列值来确定唯一的输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。
散列实际上是通过 Hash 函数,将原串的值通过 Hash 函数做一次映射,从而得到一个新串。由于散列很难找到逆向规律,这种算法同样可以增加密文的复杂性。
举例:
现定义一种哈希函数,将字符 ‘a’ 映射到 ‘b’,‘b’ 映射到 ‘d’,‘c’ 映射到 ‘f’ (第几个字母就向后推几位,如果超出 ‘z’ 就向前推 26 位)…
那么,对原串 ‘acfbg’ 散列,得到的结果是 ‘bfldn’.
对 ‘bfldn’ 再进行一次散列,得到的结果是 ‘dlxhb’.
这种算法很难找到逆向规律,例如 ‘b’ 可能由 ‘a’ 得到,也可能由 ‘n’ 得到。
我们在 MD5 加密后进行散列时,通常会进行 1024 次或 2048 次,这使得原串很难被破解。
Shiro 为我们提供了 MD5 的加密算法,我们只需使用 Md5Hash 类即可实现:
public static void main(String[] args) {
Md5Hash md5Hash = new Md5Hash("123456");
System.out.println(md5Hash.toHex());
}
运行:
e10adc3949ba59abbe56e057f20f883e
Process finished with exit code 0
加盐和散列也非常简单,只需在构造函数中添加即可。
Md5Hash 的构造函数:
public static void main(String[] args) {
Md5Hash md5Hash = new Md5Hash("123456", "Koorye_Love_MD5", 1024);
System.out.println(md5Hash.toHex());
}
运行:
e9261b98c415bee7eaf191f89bee80c9
Process finished with exit code 0
注意加盐和散列后得到结果与不加盐不散列的结果是不同的。
我们自定义的 Realm 类一般都要继承一个名为 AuthorizingRealm 的类,这个类需要我们重写两个方法:
doGetAuthorizationInfo 认证doGetAuthenticationInfo 登录验证我们暂时先不管认证方法。
Shiro 的登录验证分为两步,用户名验证和密码验证。用户名验证需要我们自行判断,而密码验证 Shiro 为我们封装好了一个 SimpleAuthenticationInfo 类帮助我们自动完成。
我们先从明文登录开始。
首先通过 authenticationToken.getPrincipal() 拿到 token 的用户名,如果用户名不存在,返回 null。
如果用户名存在,返回 SimpleAuthenticationInfo 以验证密码,这个类需要三个参数:
this.getName() 即可package org.koorye.helloshiro;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
public class UserRealm extends AuthorizingRealm {
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
return null;
}
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
if ("koorye".equals(authenticationToken.getPrincipal())) {
// 用户存在
return new SimpleAuthenticationInfo(authenticationToken.getPrincipal(),
"123456", // 自动判断密码匹配
this.getName());
} else {
return null; // 用户不存在
}
}
}
编写一个测试类:
@Test
public void testLogin() {
DefaultSecurityManager manager = new DefaultSecurityManager();
manager.setRealm(new UserRealm());
SecurityUtils.setSecurityManager(manager);
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("koorye", "123456");
try {
subject.login(token);
System.out.println("登录成功");
} catch (UnknownAccountException e) {
e.printStackTrace();
System.out.println("用户名不存在");
} catch (AuthenticationException e) {
e.printStackTrace();
System.out.println("密码错误");
}
}
运行:
登录成功
Process finished with exit code 0
首先我们来定义一个 MD5 加密算法,因为,我们必须在验证时用一样的算法,才可以验证成功。
定义的算法:加盐 “Koorye_Love_MD5”,1024 次散列。
编写一个测试类查看结果:
@Test
public void showMd5() {
Md5Hash md5Hash = new Md5Hash("123456", "Koorye_Love_MD5", 1024);
System.out.println(md5Hash.toHex());
}
运行:
e9261b98c415bee7eaf191f89bee80c9
Process finished with exit code 0
如果要使用数据库,我们在数据库中存储的就是密码经过 MD5 加密后的串。
不过我们这里没有用到数据库,于是我们将加密后的串作为证书:
return new SimpleAuthenticationInfo(authenticationToken.getPrincipal(),
"e9261b98c415bee7eaf191f89bee80c9",
this.getName());
接下来,我们需要在 Realm 中说明加密算法的过程。
在声明 Realm 时说明加密算法是 MD5:
先声明一个 HashedCredentialsMatcher,然后用 matcher.setHashAlgorithmName("md5") 说明方法是 MD5.
再声明一个 Realm,使用userRealm.setCredentialsMatcher(matcher) 设置加密方法。
最后将 Realm 添加到 SecurityManager 中。
修改后的代码:
@Test
public void testLogin() {
DefaultSecurityManager manager = new DefaultSecurityManager();
HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
matcher.setHashAlgorithmName("md5");
UserRealm userRealm = new UserRealm();
userRealm.setCredentialsMatcher(matcher);
manager.setRealm(userRealm);
SecurityUtils.setSecurityManager(manager);
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("koorye", "123456");
try {
subject.login(token);
System.out.println("登录成功");
} catch (UnknownAccountException e) {
e.printStackTrace();
System.out.println("用户名不存在");
} catch (AuthenticationException e) {
e.printStackTrace();
System.out.println("密码错误");
}
}
我们需要使用 SimpleAuthenticationInfo 的另一种构造方法,这个方法的第三个参数使用 ByteSource.Util.bytes() 传入盐:
return new SimpleAuthenticationInfo(authenticationToken.getPrincipal(),
"e9261b98c415bee7eaf191f89bee80c9",
ByteSource.Util.bytes("Koorye_Love_MD5"),
this.getName());
至于散列的声明,则要与加密算法的声明同时进行:
HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
matcher.setHashAlgorithmName("md5");
matcher.setHashIterations(1024);
修改后的 Realm:
package org.koorye.helloshiro;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
public class UserRealm extends AuthorizingRealm {
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
return null;
}
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
if ("koorye".equals(authenticationToken.getPrincipal())) {
// 用户存在
return new SimpleAuthenticationInfo(authenticationToken.getPrincipal(),
"e9261b98c415bee7eaf191f89bee80c9",
ByteSource.Util.bytes("Koorye_Love_MD5"),
this.getName());
} else {
return null; // 用户不存在
}
}
}
修改后的 Test:
package org.koorye.test;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.crypto.hash.Md5Hash;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;
import org.junit.Test;
import org.koorye.helloshiro.UserRealm;
public class TestShiro {
@Test
public void showMd5() {
Md5Hash md5Hash = new Md5Hash("123456", "Koorye_Love_MD5", 1024);
System.out.println(md5Hash.toHex());
}
@Test
public void testLogin() {
DefaultSecurityManager manager = new DefaultSecurityManager();
HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
matcher.setHashAlgorithmName("md5");
matcher.setHashIterations(1024);
UserRealm userRealm = new UserRealm();
userRealm.setCredentialsMatcher(matcher);
manager.setRealm(userRealm);
SecurityUtils.setSecurityManager(manager);
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("koorye", "123456");
try {
subject.login(token);
System.out.println("登录成功");
} catch (UnknownAccountException e) {
e.printStackTrace();
System.out.println("用户名不存在");
} catch (AuthenticationException e) {
e.printStackTrace();
System.out.println("密码错误");
}
}
}
运行:
登录成功
Process finished with exit code 0
测试成功!
文章浏览阅读3k次。题目:1 、1、2、3、5、8....计算103的值规律:f(n)=f(n-1)+f(n-2)算法shi_f(n)=f(n-1)+f(n-2)
文章浏览阅读1.8k次。原因:JAVA_OPTS只对tomcat/weblogic等Web服务器中间件有效,以“java -cp [*.jar] test.Main”方式运行的不会去读取JAVA_OPTS,所以通过java -cp执行相关文件会报错。JAVA_OPTS在 tomcat/bin/catalina.sh或tomcat/bin/catalina.bat文件配置,这可配置java进程虚拟机的启动参数 。解决方案:1、如果在运行java类,需要设置Heap Size的话,需要如下方式:java -Xmx2048m_java_opts classpath
文章浏览阅读5.1k次。flex项目编译时报错:Description Resource Path Location Typeunable to open 'C:/Program Files/Adobe/Flex Builder 3 Plug-in/sdks/3.2.0/frameworks/locale/zh_CN' STaB Unknown Flex ProblemFlash builder 4 无法为区域设置“zh_CN”解析资源束“data"解决方法,先把web-info/flex/locale/en_US下的fds_r_flex怎么输出为zh
文章浏览阅读513次,点赞2次,收藏4次。慕课学习-->前端开发-->HTML/CSS-->CSS深入理解之z-indexZ-index一、Z-index基础1、z-index属性指定了元素及其子元素的z顺序 ,而z顺序 可以决定当元素发生覆盖的时候,哪个元素在上面。通常一个较大z-index值的元素会覆盖较小z-index值的元素。2、属性值:(1)z-index:auto; 默认值(2)z-in_"style=\"position:absolute;z-index:2"
文章浏览阅读585次。1 Android平台的Wifi模块移植要点1.1 Wifi结构user interfaceAndroid WiFiServiceWPA_SupplicantDHD DriverDongle BinaryBCM43xxHardware蓝色:需要修改黑色:不需要修改蓝色部分_wifi dhd
文章浏览阅读1.1k次。今天在 mysql 中进行连表查询时提示: 错误代码: 1267 Illegal mix of collations (utf8_general_ci,IMPLICIT) and (utf8_unicode_ci,IMPLICIT) for operation ‘=’ 创建数据库时选择的 COLLATION 是用在排序,大小比较上。一个字符集有一个或多种 collation,并且以_ci(大_illegal mix of collations (utf8_unicode_ci,implicit) and (utf8_general_ci,im
文章浏览阅读1w次。安装WEBLOGIC SERVERweblogic server 的目录结构weblogic server的classpath变量weblogic server使用命令行通过管理控制台执行核心的管理任务命令行管理安装有三种不同的方式安装weblogic server 》用户图形界面GUI 》控制台console模式 》Silent(沉默)模式(用脚本安装_weblogic服务器上boot文件路径
文章浏览阅读970次。Magento 2 的插件安装方式跟 1 的会有点不同,也容易出错,而且方式也有多种,这里简单的介绍下两种比较常用的安装方法。一、手动安装把下载好的插件压缩包解压,然后使用FTP工具上传到插件要求的对应目录下,然后执行如下命令phpbin/magentosetup:upgradephpbin/magentosetup:static-content:deploy-f..._magento2 安装插件
文章浏览阅读1.1w次,点赞4次,收藏7次。输入描述: 输入有多个测试用例,每个测试用例第一行为一个整数n(n ≤ 1000),表示方阵阶数为n。接下来是n行的数字,每行n个数用空格隔开。 输出描述: 输出一个整数,表示n阶方阵的和 示例1 输入 3 1 2 3 2 1 3 3 2 1 输出 18package HWday02;import java.ut..._c语言求一个n阶方阵的所有元素之和
文章浏览阅读203次。一个PHP资源列表,内容包括:库、框架、模板、安全、代码分析、日志、第三方库、配置工具、Web 工具、书籍、电子书、经典博文等等。 初始翻译信息来自:《推荐!国外程序员整理的 PHP 资源大全》 该内容也可以在github的相关项目上浏览。 英文版:awesome-php 中文版:awesome-php-zh_CN github上awesome-php-zh_CN项目的内容会根..._php phpickle使用
文章浏览阅读150次。http://hi.baidu.com/chippe/blog/item/68e2232e26aa1f534fc226ad.html股票 K 线图挺有意思。线有阴阳之分,同一个图形,在不同的区间,反映出来的内容也不一样。既然情况如此多样,是否可以考虑进行分析一下呢一、K 线图的特点:(1)四个价位-最高价,收盘价,开盘价,最低价(2)不管阳线还是阴线,我门只要记住这四个价格..._根据开盘价收盘价最低价四价的位置,画出线中阳线
文章浏览阅读3.7k次。css设置div随着窗口大小变换的方法:首先新建一个div,并设置初始化样式;然后给div添加transition;接着添加css3的媒体查询;最后改变窗口大小查看效果即可。本教程操作环境:Windows7系统、HTML5&&CSS3版本,该方法适用于所有品牌电脑。设置div随窗口大小改变而发生样式变换,可以使用css3的媒体查询来实现!css设置div随着窗口大小变换1、新建一个..._html怎么在网页大小改变的时候改变div的大小