md5加密
在线上系统的数据库中存储的密码不应该是明文,而是密码加密后的字符串,并且要求加密算法是不可逆的。
著名的加密算法有MD5、SHA1等。其中MD5是目前比较可靠的不可逆的加密方式。
而在Shiro中,如果我们需要对密码进行加密,并且能让Shiro能够自动的对用户输入的密码进行加密之后,再与数据库中的加密后的密码进行匹配需要让Shiro的自定义Realm去使用带有加密
机制的CredentialsMatcher密码匹配类。
<bean id="userRealm" class="cn.QEcode.realm.UserRealm">
<!-- 配置密码匹配器 -->
<property name="credentialsMatcher">
<bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
<!-- 加密算法为MD5 -->
<property name="hashAlgorithmName" value="MD5"></property>
<!-- 加密次数 -->
<property name="hashIterations" value="2"></property>
</bean>
</property>
</bean>
这里配置了credentialsMatcher,那么UserRealm在对密码进行匹配时,会先对用户输入的密码进行两次的md5加密,再与数据库中的密码匹配.
加盐
一般情况下,我们不会直接对密码进行md5加密,毕竟有的人会把密码设得极为简单,比如123,111之类,而这类密码就算是用md5加密后,还是很容易就会被破解的,所以我们在加密的时候会加上盐值.
盐值:其实就是一个字符串,一般是一个用户特有的属性,如email.
加盐:在加密的时候,不是对密码进行加密,而是对密码+盐值进行加密.
//用邮箱作为盐值
ByteSource credentialsSalt = ByteSource.Util.bytes(user.getEmail());
SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user,user.getPassword(),getName());
info.setCredentialsSalt(credentialsSalt);
这样Shiro在验证的时候就会对密码加盐,然后进行两次MD5加密,再与数据库中的密码进行匹配.
注意
当然,因为我们在验证的时候使用了md5加密,所以我们在新增密码到数据库的时候,也要对密码进行加密.而且当用户的email改变的时候,记得也要重新修改密码.
String password = new Md5Hash(password,email,2).toString();