1. 在shiro的配置类ShiroConfiguration中添加凭证匹配器
/**
* 凭证匹配器
* 密码校验规则HashedCredentialsMatcher
* 这个类是为了对密码进行编码的 ,
* 防止密码在数据库里明码保存 , 当然在登陆认证的时候 ,
* 这个类也负责对form里输入的密码进行编码
* 处理认证匹配处理器:如果自定义需要实现继承HashedCredentialsMatcher
* @return
*/
@Bean(name="hashedCredentialsMatcher")
public HashedCredentialsMatcher hashedCredentialsMatcher(){
HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher();
hashedCredentialsMatcher.setHashAlgorithmName("MD5");//散列算法:这里使用MD5算法;
hashedCredentialsMatcher.setHashIterations(3);//散列的次数
//storedCredentialsHexEncoded默认是true,此时用的是密码加密用的是Hex编码;false时用Base64编码
hashedCredentialsMatcher.setStoredCredentialsHexEncoded(true);
return hashedCredentialsMatcher;
}
2. 在shiro的配置类ShiroConfiguration中,将凭证匹配器加入到realm域中
@Bean(name = "realm")
@ConditionalOnMissingBean(name = "realm")
public Realm realm() {
Class<?> realmClass = shiroProperties.getRealmClass();
if (realmClass != null) {
AuthorizingRealm realm = (AuthorizingRealm) BeanUtils.instantiate(realmClass);
realm.setCredentialsMatcher(hashedCredentialsMatcher());//向realm域中注入凭证匹配器
log.debug("Common-shiro-ShiroConfiguration-realm 设置完毕");
return realm;
}
return null;
}
3. 修改web服务中的realm类中的认证方法
添加加密时的盐,这里的盐是一个固定值。最好使用用户的用户名之类的字符串来做盐,这样可以使相同的密码产生不同的加密字符串。
//盐值
ByteSource credentialsSalt = ByteSource.Util.bytes("sys_user");
return new SimpleAuthenticationInfo(principal, user.getPassword(), credentialsSalt, getName());