涉及到密碼存儲(chǔ)問(wèn)題上,應(yīng)該加密/生成密碼摘要存儲(chǔ),而不是存儲(chǔ)明文密碼。比如之前的600w csdn賬號(hào)泄露對(duì)用戶(hù)可能造成很大損失,因此應(yīng)加密/生成不可逆的摘要方式存儲(chǔ)。
編碼/解碼
Shiro提供了base64和16進(jìn)制字符串編碼/解碼的API支持,方便一些編碼解碼操作。Shiro內(nèi)部的一些數(shù)據(jù)的存儲(chǔ)/表示都使用了base64和16進(jìn)制字符串。
Java代碼
|
1
2
3
4
|
String str = "hello"; String base64Encoded = Base64.encodeToString(str.getBytes()); String str2 = Base64.decodeToString(base64Encoded); Assert.assertEquals(str, str2); |
通過(guò)如上方式可以進(jìn)行base64編碼/解碼操作,更多API請(qǐng)參考其Javadoc。
Java代碼
|
1
2
3
4
|
String str = "hello"; String base64Encoded = Hex.encodeToString(str.getBytes()); String str2 = new String(Hex.decode(base64Encoded.getBytes())); Assert.assertEquals(str, str2); |
通過(guò)如上方式可以進(jìn)行16進(jìn)制字符串編碼/解碼操作,更多API請(qǐng)參考其Javadoc。
還有一個(gè)可能經(jīng)常用到的類(lèi)CodecSupport,提供了toBytes(str, "utf-8") / toString(bytes, "utf-8")用于在byte數(shù)組/String之間轉(zhuǎn)換。
散列算法
散列算法一般用于生成數(shù)據(jù)的摘要信息,是一種不可逆的算法,一般適合存儲(chǔ)密碼之類(lèi)的數(shù)據(jù),常見(jiàn)的散列算法如MD5、SHA等。一般進(jìn)行散列時(shí)最好提供一個(gè)salt(鹽),比如加密密碼“admin”,產(chǎn)生的散列值是“21232f297a57a5a743894a0e4a801fc3”,可以到一些md5解密網(wǎng)站很容易的通過(guò)散列值得到密碼“admin”,即如果直接對(duì)密碼進(jìn)行散列相對(duì)來(lái)說(shuō)破解更容易,此時(shí)我們可以加一些只有系統(tǒng)知道的干擾數(shù)據(jù),如用戶(hù)名和ID(即鹽);這樣散列的對(duì)象是“密碼+用戶(hù)名+ID”,這樣生成的散列值相對(duì)來(lái)說(shuō)更難破解。
Java代碼
|
1
2
3
|
String str = "hello"; String salt = "123"; String md5 = new Md5Hash(str, salt).toString();//還可以轉(zhuǎn)換為 toBase64()/toHex() |
如上代碼通過(guò)鹽“123”MD5散列“hello”。另外散列時(shí)還可以指定散列次數(shù),如2次表示:md5(md5(str)):“new Md5Hash(str, salt, 2).toString()”。
Java代碼
|
1
2
3
|
String str = "hello"; String salt = "123"; String sha1 = new Sha256Hash(str, salt).toString(); |
使用SHA256算法生成相應(yīng)的散列數(shù)據(jù),另外還有如SHA1、SHA512算法。
Shiro還提供了通用的散列支持:
Java代碼
|
1
2
3
4
|
String str = "hello"; String salt = "123"; //內(nèi)部使用MessageDigest String simpleHash = new SimpleHash("SHA-1", str, salt).toString(); |
通過(guò)調(diào)用SimpleHash時(shí)指定散列算法,其內(nèi)部使用了Java的MessageDigest實(shí)現(xiàn)。
為了方便使用,Shiro提供了HashService,默認(rèn)提供了DefaultHashService實(shí)現(xiàn)。
Java代碼
|
1
2
3
4
5
6
7
8
9
10
11
|
DefaultHashService hashService = new DefaultHashService(); //默認(rèn)算法SHA-512 hashService.setHashAlgorithmName("SHA-512"); hashService.setPrivateSalt(new SimpleByteSource("123")); //私鹽,默認(rèn)無(wú) hashService.setGeneratePublicSalt(true);//是否生成公鹽,默認(rèn)false hashService.setRandomNumberGenerator(new SecureRandomNumberGenerator());//用于生成公鹽。默認(rèn)就這個(gè) hashService.setHashIterations(1); //生成Hash值的迭代次數(shù) HashRequest request = new HashRequest.Builder() .setAlgorithmName("MD5").setSource(ByteSource.Util.bytes("hello")) .setSalt(ByteSource.Util.bytes("123")).setIterations(2).build(); String hex = hashService.computeHash(request).toHex(); |
1、首先創(chuàng)建一個(gè)DefaultHashService,默認(rèn)使用SHA-512算法;
2、可以通過(guò)hashAlgorithmName屬性修改算法;
3、可以通過(guò)privateSalt設(shè)置一個(gè)私鹽,其在散列時(shí)自動(dòng)與用戶(hù)傳入的公鹽混合產(chǎn)生一個(gè)新鹽;
4、可以通過(guò)generatePublicSalt屬性在用戶(hù)沒(méi)有傳入公鹽的情況下是否生成公鹽;
5、可以設(shè)置randomNumberGenerator用于生成公鹽;
6、可以設(shè)置hashIterations屬性來(lái)修改默認(rèn)加密迭代次數(shù);
7、需要構(gòu)建一個(gè)HashRequest,傳入算法、數(shù)據(jù)、公鹽、迭代次數(shù)。
SecureRandomNumberGenerator用于生成一個(gè)隨機(jī)數(shù):
Java代碼
|
1
2
3
4
|
SecureRandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator(); randomNumberGenerator.setSeed("123".getBytes()); String hex = randomNumberGenerator.nextBytes().toHex(); |
加密/解密
Shiro還提供對(duì)稱(chēng)式加密/解密算法的支持,如AES、Blowfish等;當(dāng)前還沒(méi)有提供對(duì)非對(duì)稱(chēng)加密/解密算法支持,未來(lái)版本可能提供。
AES算法實(shí)現(xiàn):
Java代碼
|
1
2
3
4
5
6
7
8
9
10
11
12
|
AesCipherService aesCipherService = new AesCipherService(); aesCipherService.setKeySize(128); //設(shè)置key長(zhǎng)度 //生成key Key key = aesCipherService.generateNewKey(); String text = "hello"; //加密 String encrptText = aesCipherService.encrypt(text.getBytes(), key.getEncoded()).toHex(); //解密 String text2 = new String(aesCipherService.decrypt(Hex.decode(encrptText), key.getEncoded()).getBytes()); Assert.assertEquals(text, text2); |
更多算法請(qǐng)參考示例com.github.zhangkaitao.shiro.chapter5.hash.CodecAndCryptoTest。
|
1
|
PasswordService/CredentialsMatcher |
Shiro提供了PasswordService及CredentialsMatcher用于提供加密密碼及驗(yàn)證密碼服務(wù)。
Java代碼
|
1
2
3
4
|
public interface PasswordService { //輸入明文密碼得到密文密碼 String encryptPassword(Object plaintextPassword) throws IllegalArgumentException; } |
Java代碼
|
1
2
3
4
|
public interface CredentialsMatcher { //匹配用戶(hù)輸入的token的憑證(未加密)與系統(tǒng)提供的憑證(已加密) boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info); } |
Shiro默認(rèn)提供了PasswordService實(shí)現(xiàn)DefaultPasswordService;CredentialsMatcher實(shí)現(xiàn)PasswordMatcher及HashedCredentialsMatcher(更強(qiáng)大)。
DefaultPasswordService配合PasswordMatcher實(shí)現(xiàn)簡(jiǎn)單的密碼加密與驗(yàn)證服務(wù)
1、定義Realm(com.github.zhangkaitao.shiro.chapter5.hash.realm.MyRealm)
Java代碼
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
public class MyRealm extends AuthorizingRealm { private PasswordService passwordService; public void setPasswordService(PasswordService passwordService) { this.passwordService = passwordService; } //省略doGetAuthorizationInfo,具體看代碼 @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { return new SimpleAuthenticationInfo( "wu", passwordService.encryptPassword("123"), getName()); } } |
為了方便,直接注入一個(gè)passwordService來(lái)加密密碼,實(shí)際使用時(shí)需要在Service層使用passwordService加密密碼并存到數(shù)據(jù)庫(kù)。
2、ini配置(shiro-passwordservice.ini)
Java代碼
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
[main] passwordService=org.apache.shiro.authc.credential.DefaultPasswordService hashService=org.apache.shiro.crypto.hash.DefaultHashService passwordService.hashService=$hashService hashFormat=org.apache.shiro.crypto.hash.format.Shiro1CryptFormat passwordService.hashFormat=$hashFormat hashFormatFactory=org.apache.shiro.crypto.hash.format.DefaultHashFormatFactory passwordService.hashFormatFactory=$hashFormatFactory passwordMatcher=org.apache.shiro.authc.credential.PasswordMatcher passwordMatcher.passwordService=$passwordService myRealm=com.github.zhangkaitao.shiro.chapter5.hash.realm.MyRealm myRealm.passwordService=$passwordService myRealm.credentialsMatcher=$passwordMatcher securityManager.realms=$myRealm |
2.1、passwordService使用DefaultPasswordService,如果有必要也可以自定義;
2.2、hashService定義散列密碼使用的HashService,默認(rèn)使用DefaultHashService(默認(rèn)SHA-256算法);
2.3、hashFormat用于對(duì)散列出的值進(jìn)行格式化,默認(rèn)使用Shiro1CryptFormat,另外提供了Base64Format和HexFormat,對(duì)于有salt的密碼請(qǐng)自定義實(shí)現(xiàn)ParsableHashFormat然后把salt格式化到散列值中;
2.4、hashFormatFactory用于根據(jù)散列值得到散列的密碼和salt;因?yàn)槿绻褂萌鏢HA算法,那么會(huì)生成一個(gè)salt,此salt需要保存到散列后的值中以便之后與傳入的密碼比較時(shí)使用;默認(rèn)使用DefaultHashFormatFactory;
2.5、passwordMatcher使用PasswordMatcher,其是一個(gè)CredentialsMatcher實(shí)現(xiàn);
2.6、將credentialsMatcher賦值給myRealm,myRealm間接繼承了AuthenticatingRealm,其在調(diào)用getAuthenticationInfo方法獲取到AuthenticationInfo信息后,會(huì)使用credentialsMatcher來(lái)驗(yàn)證憑據(jù)是否匹配,如果不匹配將拋出IncorrectCredentialsException異常。
另外可以參考配置shiro-jdbc-passwordservice.ini,提供了JdbcRealm的測(cè)試用例,測(cè)試前請(qǐng)先調(diào)用sql/shiro-init-data.sql初始化用戶(hù)數(shù)據(jù)。
如上方式的缺點(diǎn)是:salt保存在散列值中;沒(méi)有實(shí)現(xiàn)如密碼重試次數(shù)限制。
HashedCredentialsMatcher實(shí)現(xiàn)密碼驗(yàn)證服務(wù)
Shiro提供了CredentialsMatcher的散列實(shí)現(xiàn)HashedCredentialsMatcher,和之前的PasswordMatcher不同的是,它只用于密碼驗(yàn)證,且可以提供自己的鹽,而不是隨機(jī)生成鹽,且生成密碼散列值的算法需要自己寫(xiě),因?yàn)槟芴峁┳约旱柠}。
1、生成密碼散列值
此處我們使用MD5算法,“密碼+鹽(用戶(hù)名+隨機(jī)數(shù))”的方式生成散列值:
Java代碼
|
1
2
3
4
5
6
7
8
|
String algorithmName = "md5"; String username = "liu"; String password = "123"; String salt1 = username; String salt2 = new SecureRandomNumberGenerator().nextBytes().toHex(); int hashIterations = 2; SimpleHash hash = new SimpleHash(algorithmName, password, salt1 + salt2, hashIterations); String encodedPassword = hash.toHex(); |
如果要寫(xiě)用戶(hù)模塊,需要在新增用戶(hù)/重置密碼時(shí)使用如上算法保存密碼,將生成的密碼及salt2存入數(shù)據(jù)庫(kù)(因?yàn)槲覀兊纳⒘兴惴ㄊ牵簃d5(md5(密碼+username+salt2)))。
2、生成Realm(com.github.zhangkaitao.shiro.chapter5.hash.realm.MyRealm2)
Java代碼
|
1
2
3
4
5
6
7
8
9
|
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { String username = "liu"; //用戶(hù)名及salt1 String password = "202cb962ac59075b964b07152d234b70"; //加密后的密碼 String salt2 = "202cb962ac59075b964b07152d234b70"; SimpleAuthenticationInfo ai = new SimpleAuthenticationInfo(username, password, getName()); ai.setCredentialsSalt(ByteSource.Util.bytes(username+salt2)); //鹽是用戶(hù)名+隨機(jī)數(shù) return ai; } |
此處就是把步驟1中生成的相應(yīng)數(shù)據(jù)組裝為SimpleAuthenticationInfo,通過(guò)SimpleAuthenticationInfo的credentialsSalt設(shè)置鹽,HashedCredentialsMatcher會(huì)自動(dòng)識(shí)別這個(gè)鹽。
如果使用JdbcRealm,需要修改獲取用戶(hù)信息(包括鹽)的sql:“select password, password_salt from users where username = ?”,而我們的鹽是由username+password_salt組成,所以需要通過(guò)如下ini配置(shiro-jdbc-hashedCredentialsMatcher.ini)修改:
Java代碼
|
1
2
3
|
jdbcRealm.saltStyle=COLUMN jdbcRealm.authenticationQuery=select password, concat(username,password_salt) from users where username = ? jdbcRealm.credentialsMatcher=$credentialsMatcher |
1、saltStyle表示使用密碼+鹽的機(jī)制,authenticationQuery第一列是密碼,第二列是鹽;
2、通過(guò)authenticationQuery指定密碼及鹽查詢(xún)SQL;
此處還要注意Shiro默認(rèn)使用了apache commons BeanUtils,默認(rèn)是不進(jìn)行Enum類(lèi)型轉(zhuǎn)型的,此時(shí)需要自己注冊(cè)一個(gè)Enum轉(zhuǎn)換器“BeanUtilsBean.getInstance().getConvertUtils().register(new EnumConverter(), JdbcRealm.SaltStyle.class);”具體請(qǐng)參考示例“com.github.zhangkaitao.shiro.chapter5.hash.PasswordTest”中的代碼。
另外可以參考配置shiro-jdbc-passwordservice.ini,提供了JdbcRealm的測(cè)試用例,測(cè)試前請(qǐng)先調(diào)用sql/shiro-init-data.sql初始化用戶(hù)數(shù)據(jù)。
3、ini配置(shiro-hashedCredentialsMatcher.ini)
Java代碼
|
1
2
3
4
5
6
7
8
|
[main] credentialsMatcher=org.apache.shiro.authc.credential.HashedCredentialsMatcher credentialsMatcher.hashAlgorithmName=md5 credentialsMatcher.hashIterations=2credentialsMatcher.storedCredentialsHexEncoded=truemyRealm=com.github.zhangkaitao.shiro.chapter5.hash.realm.MyRealm2 myRealm.credentialsMatcher=$credentialsMatcher securityManager.realms=$myRealm |
1、通過(guò)credentialsMatcher.hashAlgorithmName=md5指定散列算法為md5,需要和生成密碼時(shí)的一樣;
2、credentialsMatcher.hashIterations=2,散列迭代次數(shù),需要和生成密碼時(shí)的意義;
3、credentialsMatcher.storedCredentialsHexEncoded=true表示是否存儲(chǔ)散列后的密碼為16進(jìn)制,需要和生成密碼時(shí)的一樣,默認(rèn)是base64;
此處最需要注意的就是HashedCredentialsMatcher的算法需要和生成密碼時(shí)的算法一樣。另外HashedCredentialsMatcher會(huì)自動(dòng)根據(jù)AuthenticationInfo的類(lèi)型是否是SaltedAuthenticationInfo來(lái)獲取credentialsSalt鹽。
4、測(cè)試用例請(qǐng)參考com.github.zhangkaitao.shiro.chapter5.hash.PasswordTest。
密碼重試次數(shù)限制
如在1個(gè)小時(shí)內(nèi)密碼最多重試5次,如果嘗試次數(shù)超過(guò)5次就鎖定1小時(shí),1小時(shí)后可再次重試,如果還是重試失敗,可以鎖定如1天,以此類(lèi)推,防止密碼被暴力破解。我們通過(guò)繼承HashedCredentialsMatcher,且使用Ehcache記錄重試次數(shù)和超時(shí)時(shí)間。
com.github.zhangkaitao.shiro.chapter5.hash.credentials.RetryLimitHashedCredentialsMatcher:
Java代碼
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
|
public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) { String username = (String)token.getPrincipal(); //retry count + 1 Element element = passwordRetryCache.get(username); if(element == null) { element = new Element(username , new AtomicInteger(0)); passwordRetryCache.put(element); } AtomicInteger retryCount = (AtomicInteger)element.getObjectValue(); if(retryCount.incrementAndGet() > 5) { //if retry count > 5 throw throw new ExcessiveAttemptsException(); } boolean matches = super.doCredentialsMatch(token, info); if(matches) { //clear retry count passwordRetryCache.remove(username); } return matches; } |
如上代碼邏輯比較簡(jiǎn)單,即如果密碼輸入正確清除cache中的記錄;否則cache中的重試次數(shù)+1,如果超出5次那么拋出異常表示超出重試次數(shù)了。
總結(jié)
以上所述是小編給大家介紹的shiro編碼和加密,希望對(duì)大家有所幫助,如果大家有任何疑問(wèn)請(qǐng)給我留言,小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)服務(wù)器之家網(wǎng)站的支持!
原文鏈接:http://blog.sina.com.cn/s/blog_9c6852670102wwb2.html
