想用Shiro實(shí)現(xiàn)自定義的密碼匹配,但無論給不給SimpleAuthenticationInfo加第三個(gè)參數(shù),都是在數(shù)據(jù)庫里存明文密碼時(shí)匹配成功。請(qǐng)問如何設(shè)置才能使用自定義的方式去匹配?
SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(user.getUsername(),
user.getPassword()
ByteSource.Util.bytes(user.getCredentialsSalt()),
getName() // realm name
);
1.數(shù)據(jù)庫是一定是加密后的密碼,用戶在前臺(tái)輸入用戶名和密碼,后臺(tái)對(duì)他的密碼進(jìn)行加密,然后和數(shù)據(jù)庫中的密碼進(jìn)行比對(duì),也有一種是不通過后臺(tái),直接通過前臺(tái)的javascript去加密,然后把加密的密碼去數(shù)據(jù)庫去比對(duì)。
1.更改shiro安全管理配置
<!-- 定義Shiro安全管理配置 -->
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
<!-- <property name="realm" ref="systemAuthorizingRealm" /> -->
<property name="realm" ref="userRealm" />
<property name="sessionManager" ref="sessionManager" />
<property name="cacheManager" ref="shiroCacheManager" />
</bean>
<!-- 3.1 直接配置繼承了org.apache.shiro.realm.AuthorizingRealm的bean -->
<bean id="userRealm" class="com.thinkgem.jeesite.modules.sys.security.SystemAuthorizingRealm">
<!-- 配置密碼匹配器 -->
<property name="credentialsMatcher" ref="credentialsMatcher"/>
</bean>
<!-- 憑證匹配器 -->
<bean id="credentialsMatcher" class="com.thinkgem.jeesite.modules.sys.security.CustomCredentialsMatcher">
</bean>
<property name="realm" ref="systemAuthorizingRealm" /> ,Spring自動(dòng)注入。
2.自定義密碼驗(yàn)證
/**
*/
public class CustomCredentialsMatcher extends SimpleCredentialsMatcher {
@Override
public boolean doCredentialsMatch(AuthenticationToken authcToken, AuthenticationInfo info) {
UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
Object accountCredentials = getCredentials(info);
// String pwd =encrypt32(String.valueOf(token.getPassword()));//md5 32位加密
String pwdType =String.valueOf(token.getPassword());// 判斷一下密碼是否是用戶輸入的,還是JCIS傳過來的
if(pwdType.length() == 32){
return equals(pwdType, accountCredentials); //密碼長度=32位,說明是md5加密過,是從xx傳進(jìn)來的 32位加密。
}
String pwdUser =encrypt32(String.valueOf(token.getPassword()));//不等于32 是用戶輸入的密碼。 如果用戶輸入的密碼長度位32那么里面會(huì)有一個(gè)bug
return equals(pwdUser, accountCredentials);
//將密碼加密與系統(tǒng)加密后的密碼校驗(yàn),內(nèi)容一致就返回true,不一致就返回false
//return super.doCredentialsMatch(token, info) ;
}
3.更改密碼驗(yàn)證,注釋掉自帶的。
/**
* 設(shè)定密碼校驗(yàn)的Hash算法與迭代次數(shù)
*/
// @PostConstruct
// public void initCredentialsMatcher() {
// HashedCredentialsMatcher matcher = new HashedCredentialsMatcher(SystemService.HASH_ALGORITHM);
// matcher.setHashIterations(SystemService.HASH_INTERATIONS);
// setCredentialsMatcher(matcher);
// // setCredentialsMatcher(new CustomCredentialsMatcher());
// }
如果不注釋就是用這種方式也可以。
/**
* 設(shè)定密碼校驗(yàn)的Hash算法與迭代次數(shù)
*/
@PostConstruct
public void initCredentialsMatcher() {
setCredentialsMatcher(new CustomCredentialsMatcher());
}
北大青鳥APTECH成立于1999年。依托北京大學(xué)優(yōu)質(zhì)雄厚的教育資源和背景,秉承“教育改變生活”的發(fā)展理念,致力于培養(yǎng)中國IT技能型緊缺人才,是大數(shù)據(jù)專業(yè)的國家
北大青鳥中博軟件學(xué)院創(chuàng)立于2003年,作為華東區(qū)著名互聯(lián)網(wǎng)學(xué)院和江蘇省首批服務(wù)外包人才培訓(xùn)基地,中博成功培育了近30000名軟件工程師走向高薪崗位,合作企業(yè)超4
中公教育集團(tuán)創(chuàng)建于1999年,經(jīng)過二十年潛心發(fā)展,已由一家北大畢業(yè)生自主創(chuàng)業(yè)的信息技術(shù)與教育服務(wù)機(jī)構(gòu),發(fā)展為教育服務(wù)業(yè)的綜合性企業(yè)集團(tuán),成為集合面授教學(xué)培訓(xùn)、網(wǎng)
達(dá)內(nèi)教育集團(tuán)成立于2002年,是一家由留學(xué)海歸創(chuàng)辦的高端職業(yè)教育培訓(xùn)機(jī)構(gòu),是中國一站式人才培養(yǎng)平臺(tái)、一站式人才輸送平臺(tái)。2014年4月3日在美國成功上市,融資1
曾工作于聯(lián)想擔(dān)任系統(tǒng)開發(fā)工程師,曾在博彥科技股份有限公司擔(dān)任項(xiàng)目經(jīng)理從事移動(dòng)互聯(lián)網(wǎng)管理及研發(fā)工作,曾創(chuàng)辦藍(lán)懿科技有限責(zé)任公司從事總經(jīng)理職務(wù)負(fù)責(zé)iOS教學(xué)及管理工作。
浪潮集團(tuán)項(xiàng)目經(jīng)理。精通Java與.NET 技術(shù), 熟練的跨平臺(tái)面向?qū)ο箝_發(fā)經(jīng)驗(yàn),技術(shù)功底深厚。 授課風(fēng)格 授課風(fēng)格清新自然、條理清晰、主次分明、重點(diǎn)難點(diǎn)突出、引人入勝。
精通HTML5和CSS3;Javascript及主流js庫,具有快速界面開發(fā)的能力,對(duì)瀏覽器兼容性、前端性能優(yōu)化等有深入理解。精通網(wǎng)頁制作和網(wǎng)頁游戲開發(fā)。
具有10 年的Java 企業(yè)應(yīng)用開發(fā)經(jīng)驗(yàn)。曾經(jīng)歷任德國Software AG 技術(shù)顧問,美國Dachieve 系統(tǒng)架構(gòu)師,美國AngelEngineers Inc. 系統(tǒng)架構(gòu)師。