3. SpringBoot与Shiro整合:密码加密和解密

这是Springboot与Shiro整合系列文章的第三节，本节的目标能够使用Shiro完成密码的加密和解密

在涉及到密码存储的问题上，我们一般的做法是存储密码的摘要，而不是存储明文密码。因为密码的摘要理论上来说是不可逆的，即使别人拿到了你的密码摘要，他也不能获取到你的密码，这是一种比较安全的密码存储方式。

01

散列算法

散列算法一般用于生成数据的摘要信息，常见的散列算法有MD5、SHA等。在进行散列时最好提供一个salt(盐），比如 "admin" 的不加盐的摘要是

21232f297a57a5a743894a0e4a801fc3,我们可以到一些md5解密网站很容易的通过散列值得到密码 “admin"

所以说如果直接对密码进行散列相对来说更容易被破解，此时我们可以加一些只有系统才知道的干扰数据作为散列的盐，比如用户名或者用户id,这样散列的对象是”密码+用户id" ，这样生成的散列值相对来说更难破解。

此外我们还可以指定散列的次数，比如2 就代表散列两次，即md5(md5(str)),这样散列后的密码，将会更加难以破解。

在本次集成中，将会采用MD5 散列算法，盐就是userid, 散列次数配置在配置文件中。

02

密码验证的原理

前边已经说过了散列算法是一种不可逆的算法，即使知道了摘要也不能得到密码，那么我们如何比对用户传入的密码和数据库中存储摘要是不是一致呢？

比如用户传入的密码是admin,数据库中存储的密码是21232f297a57a5a743894a0e4a801fc3，我们不能把21232f297a57a5a743894a0e4a801fc3解密成为admin，但是我们可以把admin 加密成为21232f297a57a5a743894a0e4a801fc3，这样我们就能知道用户输入的密码是不是正确了。

流程如下:

03

Shiro密码匹配器

Shiro中的CredentialsMatcher就是密码匹配器，他的作用就是用来比较用户输入的密码与通过Realm中查询出来的密码是否相同。

上边我们说了用户传入的是明文密码，数据库中存储的是摘要密码，所以CredentialsMatcher最主要的工作就是把明文密码转换成摘要密码后再帮我们比较。

我们先看一下他的继承关系图

这里我们能看到的和散列相关的实现类是HashedCredentialsMatcher， 所以本次整合我们就使用它了，如果对其他实现类感兴趣，也可以私聊我探讨。

在我们的ShiroConfig.java中增加下面的代码，这里我们配置的加密算法是MD5,加密次数是通过配置文件获取的

    @Value("${shiro.password-hashIterations}")
    private int passwordHashIterations;

    @Bean
    public HashedCredentialsMatcher hashedCredentialsMatcher(){
        HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher(Md5Hash.ALGORITHM_NAME);
        hashedCredentialsMatcher.setHashIterations(passwordHashIterations);
        return hashedCredentialsMatcher;
    }

我们还需要用我们定义的密码匹配器去覆盖掉Reaml里面默认的密码匹配器，这里我们创建一个有参构造器，通过构造器去覆盖

@Component
public class UserNamePaswordRealm  extends AuthenticatingRealm {
    @Autowired
    private SysUserMapper sysUserMapper;
    
    //通过构造器注入去覆盖掉默认的matcher
    public UserNamePaswordRealm(CredentialsMatcher matcher) {
        super((matcher));
    }
    。。。。
    
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
       。。。。。
        SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(userName, sysUser.getPassowrd(), sysUser.getRealName());
        //设置盐，供CredentialsMatcher 使用
        simpleAuthenticationInfo.setCredentialsSalt(ByteSource.Util.bytes(String.valueOf(sysUser.getUserid())));
        return simpleAuthenticationInfo;
    }
    }

还有一个地方需要注意，就是Realm方法doGetAuthenticationInfo的返回值，需要设置上盐值，CredentialsMatcher就是从这里获取的盐，源码中相关的代码如下

04

正确的密码却登录失败了

这时候如果我们再像上节那样进行登录，肯定不会成功的

测试之后确实没有成功，但是这个也不是密码错误的异常。

得到这个异常的原因是 shiro在用Hex帮我们解码的时候异常了，因为123并不是合法的16进制编码的数据，所以从这里我们应该了解到，我们的密码在加密后一定要再用16进制进行编码一下，后边的code也会体现这一点。

05

用户新增

从上边了解到我们自己手工添加的用户已经不好使了，所以我要新增一个用户添加的功能，用它来帮我们新增用户。

package com.example.shirospringboot.requestBean;


import javax.validation.constraints.NotBlank;


public class User {
    @NotBlank(message = "用户名不能为空")
    private  String username;
    @NotBlank(message = "密码不能为空")
    private String password;
    @NotBlank(message = "真实名字不能为空")
    private String realname;
    
    public String getUsername() {
        return username;
    }
    
    public void setUsername(String username) {
        this.username = username;
    }
    
    public String getPassword() {
        return password;
    }
    
    public void setPassword(String password) {
        this.password = password;
    }
    
    public String getRealname() {
        return realname;
    }
    
    public void setRealname(String realname) {
        this.realname = realname;
    }
}

Controller 代码如下

@Controller
public class SysUserController {
    @Autowired
    private SysuserService sysuserService;
    
    @PostMapping("/user")
    public ResponseEntity addUser(@RequestBody User user) {
        sysuserService.addUser(user);
        return ResponseEntity.ok().build();
    }
}

Service代码如下

@Component
public class SysuserServiceImpl implements SysuserService {
    @Autowired
    private SysUserMapper sysUserMapper;
    
    @Value("${passwordHashIterations}")
    private  int passwordHashIterations;
    
    @Override
    @Transactional
    public void addUser(User user) {
        SysUser sysUser = new SysUser();
        sysUser.setUsername(user.getUsername());
        sysUser.setRealName(user.getRealname());
        sysUser.setPassowrd(user.getPassword());
        sysUserMapper.insert(sysUser);
        int userid = sysUser.getUserid();
    
        /**
         * 使用md5进行加密，并且使用userid作为盐
         *  这里的 toHex()是不能省略的哦
         */
        String hashEdPassword = new Md5Hash(user.getPassword(), String.valueOf(userid), passwordHashIterations).toHex();
        sysUser = new SysUser();
        sysUser.setUserid(userid);
        sysUser.setPassowrd(hashEdPassword);
        sysUserMapper.updateByPrimaryKeySelective(sysUser);
    
    }
}

在Service中密码的加密方式、加密次数一定要和CredentialsMatcher中的一致，这样用户传入的密码才能成功的和数据库中的密码进行比对。

新增 用户名 java 密码 123 成功，数据库中的123也被加密了

我们到解密网站试试，看看还能不能解析出来

06

新用户测试

1.正确的用户名密码

2.错误的密码

3. 用户名错误

代码经被上传至Gitee仓库，有需要者可私信笔者