                        課程
                    
                        /后端開發
                        
                            /Java
                        
                        /Shiro安全框架入門

使用了 HashedCredentialsMatcher 后密碼并沒有加密?

不太清楚有沒有碰到密碼沒有真正加密的問題...吾輩在 CustomRealm 中對傳進來的密碼進行了斷點查看發現并沒有加密(還是明文), 老師的課程中沒有對比密碼, 不知道會不會有沒有問題呢? (」゜ロ゜)」

查看傳入的 token 的值

00:33

RXLiuli

2018-04-27

源自：Shiro安全框架入門 3-6

關注問題我要回答

2766

操作

收起

4 回答

JackSparrow414
2019-04-20

同學你好，你配置的只是shiro驗證的加密規則，在你保存的時候并沒有去加密，所以數據庫里的密碼還是明文，你在保存的方法那里設置一下加密算法名字，加密次數，鹽值即可。例子如下：

public?void?insert(User?user1)?{
??//對用戶密碼進行加鹽處理
??String?salt?=?RandomStringUtils.randomAlphabetic(20);
??user.setPassword(new?SimpleHash("MD5",user1.getPassword(),salt,20).toHex());
??user1.setPassword(new?Sha256Hash(user1.getPassword(),salt,20).toHex());
??user1.setSalt(salt);
??this.save(user1);
}

0 回復有任何疑惑可以回復我~

收起回答

alwynxu
2018-09-24

你看的密碼沒有加密是正確的，

HashedCredentialsMatcher中的
public?boolean?doCredentialsMatch(AuthenticationToken?token,?AuthenticationInfo?info)?{
????Object?tokenHashedCredentials?=?hashProvidedCredentials(token,?info);
????Object?accountCredentials?=?getCredentials(info);
????return?equals(tokenHashedCredentials,?accountCredentials);
}
方法會對傳過來的明文密碼按照HashedCredentialsMatcher對象的設置進行加密，然后與數據庫里面的加密密碼進行比對的

0 回復有任何疑惑可以回復我~

收起回答

ReLuFl
2018-08-18

我也是。。。。。。。沒有跟視頻里一樣，根本沒散列。。

0 回復有任何疑惑可以回復我~

收起回答

alpha8
2018-04-28

你的自定義realm的doGetAuthenticationInfo少了一行代碼，?指定salt鹽值。

如下：

SimpleAuthenticationInfo?saf?=?new?SimpleAuthenticationInfo(username,?user.getPassword(),?this.getName());
saf.setCredentialsSalt(ByteSource.Util.bytes(SALT));
return?saf;

0 回復有任何疑惑可以回復我~

收起回答

hodge

沒有＋鹽值導致的？開始在設置realm的時候指定鹽值（獲取到的鹽值）放進去并返回是不是就不用你現在寫的這一步？

2019-09-24 回復有任何疑惑可以回復我~