上一期我们完成了基本的登录操作,然而,直接通过明文密码登录显然是非常不安全的。因此,我们必须对密码进行加密以加强信息的安全性。
MD5信息摘要算法(英语:MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。MD5由美国密码学家罗纳德·李维斯特(Ronald Linn Rivest)设计,于1992年公开,用以取代MD4算法。这套算法的程序在 RFC 1321 标准中被加以规范。1996年后该算法被证实存在弱点,可以被加以破解,对于需要高度安全性的数据,专家一般建议改用其他算法,如SHA-2。2004年,证实MD5算法无法防止碰撞(collision),因此不适用于安全性认证,如SSL公开密钥认证或是数字签名等用途。
—— 摘自百度百科
MD5 具有以下特点:
根据以上特点,我们就可以使用 MD5 实现密码的加密和安全登录。
“加盐”即为计算机密码加密中常用的"add salt",一般用于在原密码后面追加一些无关字符后在进行不可逆加密(例如MD5)以便增强安全性
现在有很多 MD5 在线解密的网站,它们其实是使用穷举算法,根据原字符串生成的 MD5 逐个比对,从而通过MD5 得到原先的数据串。
因此我们有必要在加密前,先对数据串做一些修改。例如,在数据串的结尾增加一串新内容,这便是加盐。
原串:“123456”
盐:“Koorye_Love_MD5”
加盐后的串:“123456Koorye_Love_MD5”
我们对加盐后的串再加密,得到的结果便更难被破解。
Hash,一般翻译做散列、杂凑,或音译为哈希,是把任意长度的输入(又叫做预映射pre-image)通过散列算法变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,所以不可能从散列值来确定唯一的输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。
散列实际上是通过 Hash 函数,将原串的值通过 Hash 函数做一次映射,从而得到一个新串。由于散列很难找到逆向规律,这种算法同样可以增加密文的复杂性。
举例:
现定义一种哈希函数,将字符 ‘a’ 映射到 ‘b’,‘b’ 映射到 ‘d’,‘c’ 映射到 ‘f’ (第几个字母就向后推几位,如果超出 ‘z’ 就向前推 26 位)…
那么,对原串 ‘acfbg’ 散列,得到的结果是 ‘bfldn’.
对 ‘bfldn’ 再进行一次散列,得到的结果是 ‘dlxhb’.
这种算法很难找到逆向规律,例如 ‘b’ 可能由 ‘a’ 得到,也可能由 ‘n’ 得到。
我们在 MD5 加密后进行散列时,通常会进行 1024 次或 2048 次,这使得原串很难被破解。
Shiro 为我们提供了 MD5 的加密算法,我们只需使用 Md5Hash 类即可实现:
public static void main(String[] args) {
Md5Hash md5Hash = new Md5Hash("123456");
System.out.println(md5Hash.toHex());
}
运行:
e10adc3949ba59abbe56e057f20f883e
Process finished with exit code 0
加盐和散列也非常简单,只需在构造函数中添加即可。
Md5Hash 的构造函数:
public static void main(String[] args) {
Md5Hash md5Hash = new Md5Hash("123456", "Koorye_Love_MD5", 1024);
System.out.println(md5Hash.toHex());
}
运行:
e9261b98c415bee7eaf191f89bee80c9
Process finished with exit code 0
注意加盐和散列后得到结果与不加盐不散列的结果是不同的。
我们自定义的 Realm 类一般都要继承一个名为 AuthorizingRealm 的类,这个类需要我们重写两个方法:
doGetAuthorizationInfo 认证doGetAuthenticationInfo 登录验证我们暂时先不管认证方法。
Shiro 的登录验证分为两步,用户名验证和密码验证。用户名验证需要我们自行判断,而密码验证 Shiro 为我们封装好了一个 SimpleAuthenticationInfo 类帮助我们自动完成。
我们先从明文登录开始。
首先通过 authenticationToken.getPrincipal() 拿到 token 的用户名,如果用户名不存在,返回 null。
如果用户名存在,返回 SimpleAuthenticationInfo 以验证密码,这个类需要三个参数:
this.getName() 即可package org.koorye.helloshiro;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
public class UserRealm extends AuthorizingRealm {
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
return null;
}
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
if ("koorye".equals(authenticationToken.getPrincipal())) {
// 用户存在
return new SimpleAuthenticationInfo(authenticationToken.getPrincipal(),
"123456", // 自动判断密码匹配
this.getName());
} else {
return null; // 用户不存在
}
}
}
编写一个测试类:
@Test
public void testLogin() {
DefaultSecurityManager manager = new DefaultSecurityManager();
manager.setRealm(new UserRealm());
SecurityUtils.setSecurityManager(manager);
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("koorye", "123456");
try {
subject.login(token);
System.out.println("登录成功");
} catch (UnknownAccountException e) {
e.printStackTrace();
System.out.println("用户名不存在");
} catch (AuthenticationException e) {
e.printStackTrace();
System.out.println("密码错误");
}
}
运行:
登录成功
Process finished with exit code 0
首先我们来定义一个 MD5 加密算法,因为,我们必须在验证时用一样的算法,才可以验证成功。
定义的算法:加盐 “Koorye_Love_MD5”,1024 次散列。
编写一个测试类查看结果:
@Test
public void showMd5() {
Md5Hash md5Hash = new Md5Hash("123456", "Koorye_Love_MD5", 1024);
System.out.println(md5Hash.toHex());
}
运行:
e9261b98c415bee7eaf191f89bee80c9
Process finished with exit code 0
如果要使用数据库,我们在数据库中存储的就是密码经过 MD5 加密后的串。
不过我们这里没有用到数据库,于是我们将加密后的串作为证书:
return new SimpleAuthenticationInfo(authenticationToken.getPrincipal(),
"e9261b98c415bee7eaf191f89bee80c9",
this.getName());
接下来,我们需要在 Realm 中说明加密算法的过程。
在声明 Realm 时说明加密算法是 MD5:
先声明一个 HashedCredentialsMatcher,然后用 matcher.setHashAlgorithmName("md5") 说明方法是 MD5.
再声明一个 Realm,使用userRealm.setCredentialsMatcher(matcher) 设置加密方法。
最后将 Realm 添加到 SecurityManager 中。
修改后的代码:
@Test
public void testLogin() {
DefaultSecurityManager manager = new DefaultSecurityManager();
HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
matcher.setHashAlgorithmName("md5");
UserRealm userRealm = new UserRealm();
userRealm.setCredentialsMatcher(matcher);
manager.setRealm(userRealm);
SecurityUtils.setSecurityManager(manager);
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("koorye", "123456");
try {
subject.login(token);
System.out.println("登录成功");
} catch (UnknownAccountException e) {
e.printStackTrace();
System.out.println("用户名不存在");
} catch (AuthenticationException e) {
e.printStackTrace();
System.out.println("密码错误");
}
}
我们需要使用 SimpleAuthenticationInfo 的另一种构造方法,这个方法的第三个参数使用 ByteSource.Util.bytes() 传入盐:
return new SimpleAuthenticationInfo(authenticationToken.getPrincipal(),
"e9261b98c415bee7eaf191f89bee80c9",
ByteSource.Util.bytes("Koorye_Love_MD5"),
this.getName());
至于散列的声明,则要与加密算法的声明同时进行:
HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
matcher.setHashAlgorithmName("md5");
matcher.setHashIterations(1024);
修改后的 Realm:
package org.koorye.helloshiro;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;
public class UserRealm extends AuthorizingRealm {
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
return null;
}
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
if ("koorye".equals(authenticationToken.getPrincipal())) {
// 用户存在
return new SimpleAuthenticationInfo(authenticationToken.getPrincipal(),
"e9261b98c415bee7eaf191f89bee80c9",
ByteSource.Util.bytes("Koorye_Love_MD5"),
this.getName());
} else {
return null; // 用户不存在
}
}
}
修改后的 Test:
package org.koorye.test;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.crypto.hash.Md5Hash;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.subject.Subject;
import org.junit.Test;
import org.koorye.helloshiro.UserRealm;
public class TestShiro {
@Test
public void showMd5() {
Md5Hash md5Hash = new Md5Hash("123456", "Koorye_Love_MD5", 1024);
System.out.println(md5Hash.toHex());
}
@Test
public void testLogin() {
DefaultSecurityManager manager = new DefaultSecurityManager();
HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();
matcher.setHashAlgorithmName("md5");
matcher.setHashIterations(1024);
UserRealm userRealm = new UserRealm();
userRealm.setCredentialsMatcher(matcher);
manager.setRealm(userRealm);
SecurityUtils.setSecurityManager(manager);
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("koorye", "123456");
try {
subject.login(token);
System.out.println("登录成功");
} catch (UnknownAccountException e) {
e.printStackTrace();
System.out.println("用户名不存在");
} catch (AuthenticationException e) {
e.printStackTrace();
System.out.println("密码错误");
}
}
}
运行:
登录成功
Process finished with exit code 0
测试成功!
文章浏览阅读1.6w次,点赞8次,收藏41次。生活中我们无时不刻不都要在网站搜索资源,但就是缺少一个趁手的资源搜索网站,如果有一个比较好的资源搜索网站可以帮助我们节省一大半时间!今天小编在这里为大家分享5款超厉害的资源搜索网站,每一款都可以让你的资源丰富精彩!网盘传奇一款最有效的网盘资源搜索网站你还在为找网站里面的资源而烦恼找不到什么合适的工具而烦恼吗?这款网站传奇网站汇聚了4853w个资源,并且它每一天都会持续更新资源;..._最全资源搜索引擎
文章浏览阅读4.5k次,点赞5次,收藏18次。阅读测试程序,设计一个Book类。函数接口定义:class Book{}该类有 四个私有属性 分别是 书籍名称、 价格、 作者、 出版年份,以及相应的set 与get方法;该类有一个含有四个参数的构造方法,这四个参数依次是 书籍名称、 价格、 作者、 出版年份 。裁判测试程序样例:import java.util.*;public class Main { public static void main(String[] args) { List <Book>_6-1 book类的设计java
文章浏览阅读613次,点赞28次,收藏27次。相比于以前的传统手工管理方式,智能化的管理方式可以大幅降低学校的运营人员成本,实现了校园导航的标准化、制度化、程序化的管理,有效地防止了校园导航的随意管理,提高了信息的处理速度和精确度,能够及时、准确地查询和修正建筑速看等信息。课题主要采用微信小程序、SpringBoot架构技术,前端以小程序页面呈现给学生,结合后台java语言使页面更加完善,后台使用MySQL数据库进行数据存储。微信小程序主要包括学生信息、校园简介、建筑速看、系统信息等功能,从而实现智能化的管理方式,提高工作效率。
传统上用户登陆状态会以 Session 的形式保存在服务器上,而 Session ID 则保存在前端的 Cookie 中;而使用 JWT 以后,用户的认证信息将会以 Token 的形式保存在前端,服务器不需要保存任何的用户状态,这也就是为什么 JWT 被称为无状态登陆的原因,无状态登陆最大的优势就是完美支持分布式部署,可以使用一个 Token 发送给不同的服务器,而所有的服务器都会返回同样的结果。有状态和无状态最大的区别就是服务端会不会保存客户端的信息。
文章浏览阅读784次。发表于10小时前| 2674次阅读| 来源TechCrunch| 19 条评论| 作者Jon EvansiOSAndroid应用开发产品编程语言JavaObjective-C摘要:即便Android市场份额已经超过80%,对于开发者来说,使用哪一个平台做开发仍然很难选择。本文从开发环境、配置、UX设计、语言、API、网络、分享、碎片化、发布等九个方面把Android和iOS_ios 开发角度
搜索引擎的发展历史可以追溯到20世纪90年代初,随着互联网的快速发展和信息量的急剧增加,人们开始感受到了获取和管理信息的挑战。这些阶段展示了搜索引擎在技术和商业模式上的不断演进,以满足用户对信息获取的不断增长的需求。
文章浏览阅读990次。对象特性是指控制对象的输出参数和输入参数之间的相互作用规律。放大系数K描述控制对象特性的静态特性参数。它的意义是:输出量的变化量和输入量的变化量之比。时间常数T当输入量发生变化后,所引起输出量变化的快慢。(动态参数) ..._控制对象特性
文章浏览阅读5.7w次,点赞50次,收藏276次。FRP搭建内网穿透1.概述:frp可以通过有公网IP的的服务器将内网的主机暴露给互联网,从而实现通过外网能直接访问到内网主机;frp有服务端和客户端,服务端需要装在有公网ip的服务器上,客户端装在内网主机上。2.简单的图解:3.准备工作:1.一个域名(www.test.xyz)2.一台有公网IP的服务器(阿里云、腾讯云等都行)3.一台内网主机4.下载frp,选择适合的版本下载解压如下:我这里服务器端和客户端都放在了/usr/local/frp/目录下4.执行命令# 服务器端给执_locyanfrp
文章浏览阅读687次。题目:http://acm.hust.edu.cn/vjudge/contest/view.action?cid=93745#problem/A题意:给出r*c的01矩阵,可以翻转格子使得0表成1,1变成0,求出最小的步数使得每一行中1的个数相等,每一列中1的个数相等。思路:网络流。容量可以保证每一行和每一列的1的个数相等,费用可以算出最小步数。行向列建边,如果该格子是_uva12534
文章浏览阅读504次。1、Let's Encrypt 90天,支持泛域名2、Buypass:https://www.buypass.com/ssl/resources/go-ssl-technical-specification6个月,单域名3、AlwaysOnSLL:https://alwaysonssl.com/ 1年,单域名 可参考蜗牛(wn789)4、TrustAsia5、Alpha..._csdn alphassl免费申请
文章浏览阅读1.6k次。测试算法的性能 很多时候我们需要对算法的性能进行测试,最简单的方式是看算法在特定的数据集上的执行时间,简单的测试算法性能的函数实现见testSort()。【思想】:用clock_t计算某排序算法所需的时间,(endTime - startTime)/ CLOCKS_PER_SEC来表示执行了多少秒。【关于宏CLOCKS_PER_SEC】:以下摘自百度百科,“CLOCKS_PE_算法性能测试
文章浏览阅读1.2k次。fromhttps://towardsdatascience.com/finding-lane-lines-simple-pipeline-for-lane-detection-d02b62e7572bIdentifying lanes of the road is very common task that human driver performs. This is important ..._lanedetectionlite