本文目录:
► 第五章:Shiro编码加密
► 5.1 编码、解码
► 5.2 散列算法
► 5.3 加密、解密
下节预告
► 第六章:Shiro之Realm高级篇(预告)
5.1 编码、解码
在涉及到密码存储问题上,应该加密或者生成密码摘要存储,而不是存储明文密码。为避免数据泄露对用户造成很大的损失,应该加密或者生成不可逆的摘要方式存储。
Shiro 提供了base64 和 16 进制字符串编码、 解码的 API 支持,方便一些编码解码操作。Shiro 内部的一些数据的存储表示都使用了 base64 和 16 进制字符串。
String str = "likang";
String base64Encoded = Base64.encodeToString(str.getBytes());
String str2 = Base64.decodeToString(base64Encoded);
Assert.assertEquals(str, str2);
通过如上方式可以进行 base64 编码 / 解码操作,更多 API 请参考其 Javadoc。
String str3 = "likang";
String base64Encoded2 = Hex.encodeToString(str3.getBytes());
String str4 = new String(Hex.decode(base64Encoded2.getBytes()));
Assert.assertEquals(str3, str4);
通过如上方式可以进行 16 进制字符串编码 / 解码操作,更多 API 请参考其 Javadoc。
5.2 散列算法
散列算法:一般用于生成数据的摘要信息,是一种不可逆的算法,一般适合存储密码之类的数据,常见的散列算法如 MD5、SHA 等。一般进行散列时最好提供一个 salt(盐),比如加密密码 “admin”,产生的散列值是 “21232f297a57a5a743894a0e4a801fc3”,可以到一些 md5 解密网站很容易的通过散列值得到密码 “admin”,即如果直接对密码进行散列相对来说破解更容易,此时我们可以加一些只有系统知道的干扰数据,如用户名和 ID(即盐);这样散列的对象是 “密码 + 用户名 +ID”,这样生成的散列值相对来说更难破解。
String str = "likang";
String salt = "123";
//还可以转换为 toBase64()/toHex()
String md5 = new Md5Hash(str, salt).toString();
System.out.println(md5);
如上代码通过盐 “123”MD5 散列 “likang”。另外散列时还可以指定散列次数,如 2 次表示:md5(md5(str)):“new Md5Hash(str, salt, 2).toString()”。
String str = "likang";
String salt = "123";
String sha1 = new Sha256Hash(str, salt).toString();
使用 SHA256 算法生成相应的散列数据,另外还有如 SHA1、SHA512 算法。
Shiro 还提供了通用的散列支持:
String str = "likang";
String salt = "123";
//内部使用MessageDigest
String simpleHash = new SimpleHash("SHA-1", str, salt).toString();
通过调用 SimpleHash 时指定散列算法,其内部使用了 Java 的 MessageDigest 实现。
为了方便使用,Shiro 提供了 HashService,默认提供了DefaultHashService 实现。
//默认算法SHA-512
DefaultHashService hashService = new DefaultHashService();
hashService.setHashAlgorithmName("SHA-512");
//私盐,默认无
hashService.setPrivateSalt(new SimpleByteSource("123"));
//是否生成公盐,默认false
hashService.setGeneratePublicSalt(true);
//用于生成公盐。默认就这个
hashService.setRandomNumberGenerator(new SecureRandomNumberGenerator());
//生成Hash值的迭代次数
hashService.setHashIterations(1);
HashRequest request = new HashRequest.Builder()
.setAlgorithmName("MD5").setSource(ByteSource.Util.bytes("liakng"))
.setSalt(ByteSource.Util.bytes("123")).setIterations(2).build();
String hex = hashService.computeHash(request).toHex();
说明:
SecureRandomNumberGenerator 用于生成一个随机数:
SecureRandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator();
randomNumberGenerator.setSeed("123".getBytes());
String hex = randomNumberGenerator.nextBytes().toHex();
5.3 加密、解密
Shiro 还提供对称式加密 和 解密算法的支持,如 AES、Blowfish 等;
AES 算法实现:
AesCipherService aesCipherService = new AesCipherService();
//设置key长度
aesCipherService.setKeySize(128);
//生成key
Key key = aesCipherService.generateNewKey();
String text = "likang";
//加密
String encrptText = aesCipherService.encrypt(text.getBytes(), key.getEncoded()).toHex();
//解密
String text2 = new String(aesCipherService.decrypt(Hex.decode(encrptText), key.getEncoded()).getBytes());
Assert.assertEquals(text, text2);
PasswordService和CredentialsMatcher
Shiro 提供了 PasswordService 及 CredentialsMatcher 用于提供加密密码及验证密码服务。
public interface PasswordService {
//输入明文密码得到密文密码
String encryptPassword(Object var1) throws IllegalArgumentException;
//明文密码和密文是否匹配
boolean passwordsMatch(Object var1, String var2);
}
public interface CredentialsMatcher {
////匹配用户输入的token的凭证(未加密)与系统提供的凭证(已加密)
boolean doCredentialsMatch(AuthenticationToken var1, AuthenticationInfo var2);
}
Shiro 默认提供了 PasswordService 实现 DefaultPasswordService;CredentialsMatcher 实现 PasswordMatcher 及 HashedCredentialsMatcher(更强大)。