3

我正在尝试使用 Shiro JdbcRealm 和 SHA256 hashedcredentialsMatcher。我需要更新旧数据库并为每个用户分配适当的盐(通过批处理例程)。

如何使用 Shiro 框架获取/设置给定帐户的盐?

4

2 回答 2

8

使用 Shiro 1.2.3,您需要做的就是:

  1. 扩展JdbcRealm和设置盐样式。

    public class JdbcSaltRealm extends JdbcRealm {
    public JdbcSaltRealm() {
        setSaltStyle(SaltStyle.COLUMN);
    }
}

  2. 更新shiro.ini以使用扩展领域并从数据库中获取盐列

    credentialsMatcher = org.apache.shiro.authc.credential.HashedCredentialsMatcher
credentialsMatcher.hashAlgorithmName = SHA-256
jdbcRealm = com.mypackage.JdbcSaltRealm
jdbcRealm.authenticationQuery = SELECT password, salt FROM user WHERE username = ?
jdbcRealm.credentialsMatcher = $credentialsMatcher

  3. 哈希和盐当前/新用户密码。这应该针对所有现有用户以及新用户注册进行。

    private void saltHashPassword(String password) {

    String salt = new BigInteger(250, new SecureRandom()).toString(32);

    //TODO: save salt value to "salt" column in user table

    Sha256Hash hash = new Sha256Hash(password, 
                          (new SimpleByteSource(salt)).getBytes());
    String saltedHashedPassword = hash.toHex();

    //TODO: save saltedHashedPassword value to "password" column in user table
}

我希望我的回答清晰易懂。

于 2014-05-20T09:23:04.203 回答
1

可能有点晚了:

看看这个教程
拥有该博客的 Meri 准确地描述了如何创建自己的加盐 JDBC 领域

这也是社区对 1.3.0 版本的公认改进

希望这会有所帮助,玩得开心!

于 2012-04-25T11:27:32.260 回答