目录
- Shiro 解密的核心注意事项
- 1. 密码处理:坚决避免 “可逆解密”
- 2.例子【自己模拟数据库,未连数据库】:
Shiro 解密的核心注意事项
1. 密码处理:坚决避免 “可逆解密”
- 禁用明文存储:永远不要将明文密码存入数据库,必须使用 Hash 算法 + 盐值 加密(盐值需每个用户唯一,避免彩虹表攻击);
- 不自定义解密逻辑:不要尝试对 Hash 后的密码进行 “解密”(不可逆算法无法解密),验证时只需用相同算法和盐值加密输入密码后对比;
- 选择强 Hash 算法:优先使用 SHA-256、SHA-512 等强算法,避免使用 MD5(安全性较低,仅用于兼容旧系统),且需设置足够的迭代次数(如 10000+)。
2. 对称加密:密钥安全是核心
密钥长度合规:AES 算法需使用 16/24/32 字节的密钥(对应 AES-128/AES-192/AES-256),密钥长度不足会导致加密强度下降;
密钥安全存储:密钥绝对不能硬编码到代码中,需通过配置中心(如 Nacos、Apollo)、硬件加密机(HSM)、环境变量等安全方式存储;
加密参数一致:解密时的 算法(AES/Blowfish)、模式(CBC/ECB)、填充方式(PKCS5Padding)、编码格式(Base64/Hex) 必须与加密时完全一致,否则会解密失败。
3. 令牌安全:防止令牌泄露与篡改
RememberMe 令牌保护:
配置 secure=true(仅通过 HTTPS 传输 Cookie)和 httpOnly=true(禁止前端 JS 访问 Cookie,防止 XSS 攻击);
定期更换 rememberMe 密钥,避免密钥泄露导致令牌被解密;
JWT 令牌保护:
使用非对称加密(RSA)进行签名(私钥加密签名,公钥验签),避免对称密钥泄露风险;
缩短 JWT 有效期(如 15 分钟),通过刷新令牌机制延长会话,减少令牌泄露后的风险。
4. 异常处理:避免泄露敏感信息
解密失败时(如密钥错误、密文篡改),仅返回通用错误提示(如 “认证失败”),不要暴露具体原因(如 “密钥错误”“密文格式错误”),防止攻击者通过异常信息猜测加密逻辑;
捕获 AuthenticationException 等 Shiro 认证异常时,避免打印详细堆栈(尤其是包含密钥、密文的日志)。
5. 版本与依赖:避免安全漏洞
使用 Shiro 最新稳定版本(如 1.12.0),旧版本(如 1.3.2,你日志中使用的版本)存在已知安全漏洞(如 RememberMe 反序列化漏洞);
若集成第三方库(如 JJWT、SLF4J),需确保依赖版本无安全漏洞(可通过 Maven Dependency Check 等工具检测)。
四、常见问题排查
密码验证失败(如你日志中的 “用户名或密码错误”):
检查盐值是否一致(存储时和验证时的盐值必须相同);
检查 Hash 算法、迭代次数、编码格式是否匹配;
确认数据库中存储的加密密码是否正确(可手动用相同算法加密明文密码对比)。
对称解密失败:
核对密钥是否与加密时一致(包括密钥长度、编码格式);
检查加密模式(CBC/ECB)、填充方式(PKCS5Padding)是否匹配;
确认密文是否完整(未被篡改、编码格式正确)。
RememberMe 令牌解密失败:
检查 rememberMeManager 的 cipherKey 是否正确;
确认 Cookie 是否被篡改(如前端修改 Cookie 内容);
升级 Shiro 版本,避免旧版本反序列化漏洞。
2.例子【自己模拟数据库,未连数据库】:
[main]
definitionRealm=com.apesource.shiro.realm.MyRealm
securityManager.realms=$definitionRealm
工具类:DigestsUtil
package com.apesource.shiro.tools;import org.apache.shiro.crypto.SecureRandomNumberGenerator;
import org.apache.shiro.crypto.hash.SimpleHash;import java.util.HashMap;
import java.util.Map;/*** @Description:摘要*/
public class DigestsUtil {public static final String SHA1 = "SHA-1";//加密方式public static final Integer COUNTS =369;//加密次数/*** @Description sha1方法* @param input 需要散列字符串* @param salt 盐字符串* @return*/public static String show(String input, String salt) {return new SimpleHash(SHA1, input, salt,COUNTS).toString();}/*** @Description 随机获得salt字符串* @return*/public static String generateSalt(){SecureRandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator();return randomNumberGenerator.nextBytes().toHex();}/*** @Description 生成密码字符密文和salt密文* @param* @return*/public static Map<String,String> entryptPassword(String passwordPlain) {Map<String,String> map = new HashMap<String,String>();String salt = generateSalt();String password =show(passwordPlain,salt);map.put("name","刘老师");map.put("salt", salt);map.put("password", password);//密文return map;}
}
业务层代码:
package com.apesource.shiro.service;import java.util.Map;/*** @Description:模拟数据库操作服务接口*/
public interface SecurityService {/*** @Description 查找用户密码* @param loginName 用户名称* @return 密码*/Map<String,String> findPasswordByLoginName(String loginName);
}package com.apesource.shiro.service.impl;import com.apesource.shiro.service.SecurityService;
import com.apesource.shiro.tools.DigestsUtil;
import org.apache.shiro.crypto.SecureRandomNumberGenerator;
import org.apache.shiro.crypto.hash.SimpleHash;import java.util.HashMap;
import java.util.Map;/*** @Description:模拟数据库操作服务接口实现*/
public class SecurityServiceImpl implements SecurityService {public Map<String,String> findPasswordByLoginName(String loginName) {//1.获取dao对象//2.调用dao方法(按照用户名称查询用户信息,匿名密码)//按照用户名查询数据库加密的密码,模拟数据库if (loginName.equals("刘老师")){//模拟数据库Map<String, String> stringStringMap = DigestsUtil.entryptPassword("654321");return stringStringMap;}return null;}
}MyRealm:
package com.apesource.shiro.realm;import com.apesource.shiro.service.SecurityService;
import com.apesource.shiro.service.impl.SecurityServiceImpl;
import com.apesource.shiro.tools.DigestsUtil;
import org.apache.shiro.authc.*;
import org.apache.shiro.authc.credential.HashedCredentialsMatcher;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.util.ByteSource;import java.util.Map;public class MyRealm extends AuthorizingRealm {//告诉shiro使用的散列算法public MyRealm() {//MyRealm的无参构造,构造初始值//指定密码匹配方式sha1HashedCredentialsMatcher hashedCredentialsMatcher = new HashedCredentialsMatcher(DigestsUtil.SHA1);//指定密码迭代此时hashedCredentialsMatcher.setHashIterations(DigestsUtil.COUNTS);//使用父层方法是匹配方式生效setCredentialsMatcher(hashedCredentialsMatcher);}/*** @Description 认证方法*/@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {//获取登录名//1.构造uptokenUsernamePasswordToken upToken = (UsernamePasswordToken) authenticationToken;//2.获取输入的用户名密码String username = upToken.getUsername();//3.通过用户名称查询数据库相关信息SecurityService securityService = new SecurityServiceImpl();//创建业务对象//4.调用业务方法(按照用户名称查询用户相关信息)Map<String, String> map = securityService.findPasswordByLoginName(username);if(map == null){throw new UnknownAccountException("账户不存在");}String salt = map.get("salt");//从map集合中获取盐值String password = map.get("password");//从map集合中获取匿名密码//参数1:安全数据 参数2:密码 参数3:混淆字符串(盐值) 参数4:realm名称return new SimpleAuthenticationInfo(username,password, ByteSource.Util.bytes(salt),"myRealm");}/*** @Description 授权方法*/@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {return null;}}测试类:
package com.apesource.shiro;import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;/*** @Description:shiro的第一个例子*/
public class HelloShiro {@Testpublic void shiroLogin(){//导入INI配置创建工厂Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");//工厂构建安全管理器SecurityManager securityManager = factory.getInstance();//使用工具生效安全管理器SecurityUtils.setSecurityManager(securityManager);//使用工具获得subject主体Subject subject = SecurityUtils.getSubject();String name = "刘老师";String password = "654321";//构建账户密码UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken(name,password);//使用subject主体去登录subject.login(usernamePasswordToken);//打印登录信息System.out.println("登录结果:"+subject.isAuthenticated());//true}}
)
)
)
