Shiro(4)-Shiro密码加密

md5加密

在线上系统的数据库中存储的密码不应该是明文，而是密码加密后的字符串，并且要求加密算法是不可逆的。
著名的加密算法有MD5、SHA1等。其中MD5是目前比较可靠的不可逆的加密方式。
而在Shiro中,如果我们需要对密码进行加密,并且能让Shiro能够自动的对用户输入的密码进行加密之后,再与数据库中的加密后的密码进行匹配需要让Shiro的自定义Realm去使用带有加密
机制的CredentialsMatcher密码匹配类。

<bean id="userRealm" class="cn.QEcode.realm.UserRealm">
		
        <property name="credentialsMatcher">
            <bean class="org.apache.shiro.authc.credential.HashedCredentialsMatcher">
                
               <property name="hashAlgorithmName" value="MD5">property>
                
               <property name="hashIterations" value="2">property>
            bean>
        property>
bean>

这里配置了credentialsMatcher,那么UserRealm在对密码进行匹配时,会先对用户输入的密码进行两次的md5加密,再与数据库中的密码匹配.

加盐

一般情况下,我们不会直接对密码进行md5加密,毕竟有的人会把密码设得极为简单,比如123,111之类,而这类密码就算是用md5加密后,还是很容易就会被破解的,所以我们在加密的时候会加上盐值.
盐值:其实就是一个字符串,一般是一个用户特有的属性,如email.
加盐:在加密的时候,不是对密码进行加密,而是对密码+盐值进行加密.

//用邮箱作为盐值
	ByteSource credentialsSalt = ByteSource.Util.bytes(user.getEmail());
	SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(user,user.getPassword(),getName());
	info.setCredentialsSalt(credentialsSalt);

这样Shiro在验证的时候就会对密码加盐,然后进行两次MD5加密,再与数据库中的密码进行匹配.
注意
当然,因为我们在验证的时候使用了md5加密,所以我们在新增密码到数据库的时候,也要对密码进行加密.而且当用户的email改变的时候,记得也要重新修改密码.

String password = new Md5Hash(password,email,2).toString();