shiro自定义密码校验器

visionzheng

2020-01-29

shiro自定义密码校验器

shiro内置了几个密码校验的类，有 Md5CredentialsMatcher Sha1CredentialsMatcher , 不过从1.1版本开始，都开始使用 HashedCredentialsMatcher 这个类了，通过配置加密规则来校验

它们都实现了一个接口 CredentialsMatcher ，我这里也实现这个接口，实现一个自己的密码校验。

新建MyCredentialsMatcher.java

package cn.ishangit.neucommunity.config;

import cn.ishangit.neucommunity.service.UserService;
import cn.ishangit.neucommunity.util.CommunityUtil;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.credential.CredentialsMatcher;
import org.springframework.beans.factory.annotation.Autowired;

import java.util.Objects;

/**
 * @author Chen
 * @Description 自定义shiro密码比较器
 * @create 2020-01-29 21:21
 */

public class MyCredentialsMatcher implements CredentialsMatcher {

    @Autowired
    private UserService userService;

    @Override
    public boolean doCredentialsMatch(AuthenticationToken token, AuthenticationInfo info) {
        UsernamePasswordToken utoken=(UsernamePasswordToken) token;
        //获得用户输入的密码:(可以采用加盐(salt)的方式去检验)
        String inPassword = new String(utoken.getPassword());
        String username = utoken.getUsername();
        //获得数据库中的密码
        String dbPassword = (String) info.getCredentials();
        SimpleAuthenticationInfo saInfo = (SimpleAuthenticationInfo)info;
        String salt = userService.findUserByName(username).getSalt();
        inPassword = CommunityUtil.md5(inPassword+salt);
        //进行密码的比对
        boolean flag = Objects.equals(inPassword, dbPassword);
        return flag;
    }
}

配置自己的密码校验类替换默认的：由于是springboot，我们直接在配置类ShiroConfig里面配置：

/**
     * 创建DefaultWebSecurityManager
     * @return
     */
    @Bean("securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(){
        DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
        getUserRealm().setCredentialsMatcher(myCredentialsMatcher());
        //关联UserRealm
        securityManager.setRealm(getUserRealm());
        return securityManager;
    }

    /**
     * 配置加密方式
     * @return
     */
    @Bean
    public MyCredentialsMatcher myCredentialsMatcher() {
        return new MyCredentialsMatcher();
    }

此时我们的密码校验类就替换成了我们自己的。

shiro string apache

visionzheng

0 关注 0 粉丝 0 动态

相关推荐

Apache Shiro 反序列化(CVE-2016-4437)复现

shiro默认使用CookieRememberMeManager，对rememberMe的cookie做了加密处理，在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操

xclxcl 2020-08-03

Apache Shiro 反序列化(CVE-2016-4437)复现

shiro默认使用CookieRememberMeManager，对rememberMe的cookie做了加密处理，在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操

zmzmmf 2020-08-03

【Shiro】05 自定义Realm认证实现

Shiro默认使用自带的IniRealm，IniRealm从ini配置文件中读取用户的信息，大部分情况下需要从系统的数据库中读取用户信息，所以需要自定义realm。public abstract class CachingRealm implements

likesyour 2020-08-01

shiro配合druid使用下URL拦截权限设置为anno时遇到的问题

在使用shiro做权限控制的一个系统中，其中有一个页面需要配置为无需登录就能访问，配置方法如下。这里配置的意思就是所有人都能直接访问 /test 这个路径，但是实际访问时，却报如下错误：

杜鲁门 2020-11-05

springboot windows10风格工作流整合项目框架源码 shiro 安全框架

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用，非桌面应用程序。

luckyxl0 2020-08-16

windows10风格 springboot mybatis 项目框架源码 shiro flowable工作流

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用，非桌面应用程序。

Dullonjiang 2020-08-09

不用 Spring Security 可否？试试这个小而美的安全框架

写在前面在一款应用的整个生命周期，我们都会谈及该应用的数据安全问题。用户的合法性与数据的可见性是数据安全中非常重要的一部分。但是，一方面，不同的应用对于数据的合法性和可见性要求的维度与粒度都有所区别；另一方面，以当前微服务、多服务的架构方式，如何共享Ses

MicroBoy 2020-08-02

springboot windows10风格工作流整合项目框架源码 shiro

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用，非桌面应用程序。

ganjing 2020-08-02

springboot windows10风格工作流整合项目框架源码 shiro 安全框架

此项目为Springboot工作流版本 windows 风格,浏览器访问操作使用，非桌面应用程序。

zmzmmf 2020-07-09

Spring Security 从入门到实战

Spring Security 和 Apache Shiro 都是安全框架，为Java应用程序提供身份认证和授权。本片文章将讲述Security入门到项目实战使用。其中包括简单的登录和项目常用的权限管理，权限校验有两种方式、角色资源校验、URL校验，如果有

MicroBoy 2020-07-05

springcloud vue.js 微服务分布式 flowable 工作流前后分离 shiro权限

三：系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理：点开二级菜单进入三级菜单

zzhao 2020-06-26

springcloud vue.js 微服务分布式 activiti工作流前后分离集成代码生成器 shiro权限

三：系统服务 -----------------------------------------------------------------------------------------------------1. 权限管理：点开二级菜单进入三级菜单

子云 2020-06-18

shiro java 反序列漏洞复现

返回值中能在set-cookie很明显看到rememberme=deleteme 这个的字段，那么很有可能存在shiro漏洞。运行shiro.py根据域名生成payload,后面的网址就是上一步生成的域名，前面自己加上http://头。复制payload，

visionzheng 2020-06-07

Spring Security

Spring家族的安全管理框架，竞品是Shiro。虽然Security功能比Shiro强大，但Spring Boot出现之前，Security的整合比较麻烦，使得大部分项目选择使用Shiro。Spring Boot对于Spring Security提供了自

neweastsun 2020-06-04

SpringBoot11：集成Shiro

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Cryptography：加密，使用密码学

ErixHao 2020-06-03

Shiro+JWT 实现权限管理(一)--Shiro

再后来的工作过程中,发现了shiro的一些不足之处--对于多端登录支持不是很友好,需要自己去实现具体功能.在大致研究了JWT功能后,决定对之前写的权限管理做一些优化--使用JWT做认证,配合Shrio强大的授权功能,实现更加全面、轻量化的权限管理.之前那篇

GDreams0 2020-06-01

springboot整合shiro

Shiro是Apache下的一个开源项目。shiro属于轻量级框架，相对于SpringSecurity简单的多，也没有SpringSecurity那么复杂。

ganjing 2020-05-29

Java项目源码考试系统 springboot mybaits vue.js 前后分离跨域 shiro 权限

34. 成绩管理：可以根据条件检索考生成绩，分值排序逆序，查看排名，查看考生试卷信息，查看试题统计图。列表动态滑动放大展示。

zmzmmf 2020-05-28

shiro配置登录验证（前后端分离项目）

本次只是记录一下启用shiro配置过程遗忘掉的几个关键点，首先项目是前后端分离的后台，提供json格式的接口数据，但又是一个web项目，现在要控制登录之后才能使用1、ShiroFilterFactoryBean我这里是一个自定义的，继承ShiroFilte

nullcy 2020-05-26

30分钟学会如何使用Shiro

要学习如何使用Shiro必须先从它的架构谈起，作为一款安全框架Shiro的设计相当精妙。Shiro的应用不依赖任何容器，它也可以在JavaSE下使用。但是最常用的环境还是JavaEE。下面以用户登录为例：。token可以理解为用户令牌，登录的过程被抽象为S

ganjing 2020-05-22

visionzheng

W3CSchool教程: HTML 教程; CSS 教程; Bootstrap 教程; Javascript 教程; jQuery 教程

后端教程: C 教程; Java 教程; PHP 教程; Python 教程; Go 教程

移动开发: Android 教程; Swift 教程; Kotlin 教程; jQuery Mobile 教程; ionic 教程

关于我们: 新闻动态; 联系方式; 招聘英才; 安科实验室; 帮助与反馈

安科网(Ancii)，中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号京公网安备11010802014868号