我们不能将用户的密码以明文存储，否则如果自己的数据库被入侵，用户在其他网站的帐号也可能被盗。

 

我对各种加密算法并不了解，就不说什么了，直接开始。

 

注册时生成密文

 

Shiro 提供了一个 SimpleHash 类可以很方便的对字符串进行加密，只需一行代码就可以对密码进行加密。

 

String hashPassword = new SimpleHash("SHA-256", password, username+"reg", 1024).toString();

 

它的第一个参数是加密的算法，第二个是要加密的内容，第三个是盐（这个参数随便你定），第四个是期望的次数。

 

得到加密之后的密码，就可以将整个 User 对象存储到数据库中，以后登录的时候再通过 Realm 查询。

 

/**

 

 * 注入用于存储 user 对象

 

 */

 

@Autowired

 

private UserService userService;

 

@GetMapping("reg")

 

public Object reg(@RequestParam(name = "username") String username,

 

                  @RequestParam(name = "password") String password) {

 

    String hashPassword = new SimpleHash("SHA-256", password, username+"reg", 1024).toString();

 

    User user = new User();

 

    user.setUsername(username);

 

    user.setPassword(hashPassword);

 

    user.setSalt(username + "reg");

 

    userService.addUser(user);

 

    return "注册成功";

 

}

 

Realm

 

上一篇文章说了如何实现登录，但是当时没有对密码进行加密。

 

加密之后的 Realm 又该怎么写了呢？

 

Shiro 给人一种感觉：基本的东西我都准备好了，你要啥就自己加。

 

所以只需要在自定义 Realm 里重写它的 setCredentialsMatcher 接口，在里面指定算法类型、期望的次数就行了。

 

@Override

 

public void setCredentialsMatcher(CredentialsMatcher credentialsMatcher) {

 

    HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();

 

    matcher.setHashAlgorithmName("SHA-256");

 

    matcher.setHashIterations(1024);

 

    super.setCredentialsMatcher(matcher);

 

}

 

这里跟注册时基本一致，不过好像没有指定盐？

 

加密使用了盐，验证的时候也少不了它，只不过它不是写在这里的，毕竟每个用户的盐可能是不一致的（盐根据你自己的想法去设置）。

 

可还记得 doGetAuthenticationInfo 方法返回了一个身份认证信息对象供 Shiro 验证，使用盐之后，在创建这个对象的时候把盐传进去就行了。

 

注意：因为现在需要的不仅仅是密码，还需要盐。所以模拟查询数据库的时候不能仅仅返回一个字符串了，而是应该返回一个对象，然后从对象中取出密码、盐。

 

/**

 

 * 注入用于存储 user 对象

 

 */

 

@Autowired

 

private UserService userService;

 

@Override

 

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {

 

    String username = token.getPrincipal().toString();

 

    User user = userService.getUserByUsername(username);

 

    if (user != null) {

 

        String password = user.getPassword();

 

        AuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(

 

            username,

 

            password,

 

            //传入盐

 

            ByteSource.Util.bytes(user.getSalt()),

 

            getName());

 

        return authenticationInfo;

 

    }

 

    return null;

 

}

 

模拟存取 User 对象

 

一切为了简单。

 

@Service

 

public class UserService {

 

    private HashMap<String, User> users = new HashMap<>();

 

    public void addUser(User user) {

 

        users.put(user.getUsername(), user);

 

    }

 

    public User getUserByUsername(String username) {

 

        return users.get(username);

 

    }

 

}