не удалось в аутентификации с использованием Широ

Question

не удалось в аутентификации с использованием Широ

1

Я должен создать пользовательское царство в Сиро, и я должен использовать пароль с "солью",

Код, который я использую, выглядит примерно так:

protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken  authenticationToken) 
        throws AuthenticationException {
    ...
    Admin admin = query.getByUsername(username);    
    String passwordSalted = admin.getPassword();

    SimpleAuthenticationInfo info = new SimpleAuthenticationInfo(username, passwordSalted, new SimpleByteSource(MY_PRIVATE_SALT), getName());
    return info;
}

public Admin createAdmin(AuthenticationToken authenticationToken){
    DefaultHashService hashService = new DefaultHashService();
    hashService.setHashIterations(500000);
    hashService.setHashAlgorithmName(Sha256Hash.ALGORITHM_NAME);
    hashService.setPrivateSalt(new SimpleByteSource(MY_PRIVATE_SALT)); // Same salt as in shiro.ini, but NOT base64-encoded.
    hashService.setGeneratePublicSalt(true);

    DefaultPasswordService passwordService = new DefaultPasswordService();
    passwordService.setHashService(hashService);
    String encryptedPassword = passwordService.encryptPassword(authenticationToken.getCredentials());

    Admin admin = new Admin();
    String principal = authenticationToken.getPrincipal().toString();
    admin.setUsername(principal);
    admin.setPassword(encryptedPassword);
    return admin;
}

Я использую функцию createAdmin для создания Admin, а затем я храню ее в базе данных, например:

UsernamePasswordToken u = new UsernamePasswordToken("foo","qwerty") ;
Admin admin = createAdmin(u);
query.save(admin);

Сохраненный пароль - это что-то вроде:

$ Shiro1 $ SHA-256 $ 50000 $ M7T93MZ65TCxXBsD7JFa9A == $ gJcEf2oSKE/RKXifwYiJCaHU7X10ng1PxqL3AEMvmjE =

Я не знаю, почему он не прошел проверку подлинности:

 Factory<SecurityManager> factory = 
            new IniSecurityManagerFactory("classpath:shiro.ini");
 SecurityManager securityManager = factory.getInstance();
 SecurityUtils.setSecurityManager(securityManager);
 AuthenticationToken authenticationToken = new UsernamePasswordToken("foo", "qwerty");

 Subject usr = SecurityUtils.getSubject();
 try {
    securityManager.login(usr, authenticationToken);
 } catch (Exception e) {
        log.error("error");
 }

И мой siro.ini:

 [main]
 customSecurityRealm=cl.fooproyect.CustomRealm

Решено:

Чтобы решить проблему, я должен изменить shiro.ini и createAdmin. Я позволил подойти к сиро, чтобы создать соль. Это решение работает для меня.

Изменения в shiro.ini

 [main]

 passwordService = org.apache.shiro.authc.credential.DefaultPasswordService
 passwordMatcher = org.apache.shiro.authc.credential.PasswordMatcher
 passwordMatcher.passwordService = $passwordService

 customSecurityRealm=cl.doman.punto.vaadin.shiro.CustomRealm
 customSecurityRealm.credentialsMatcher = $passwordMatcher

 securityManager.realms = $customSecurityRealm

Изменения в createAdmin:

 public Admin createAdmin(AuthenticationToken authenticationToken){
    DefaultHashService hashService = new DefaultHashService();

    DefaultPasswordService passwordService = new DefaultPasswordService();
    String encryptedPassword =      passwordService.encryptPassword(authenticationToken.getCredentials());

    Admin admin = new Admin();
    String principal = authenticationToken.getPrincipal().toString();
    admin.setUsername(principal);
    admin.setPassword(encryptedPassword);
    return admin;
}

Troncador 09 авг. 2014, в 07:05

Источник

0

Ваш код выглядит хорошо. Если вы отлаживаете метод входа в систему, используя исходный код shiro, вы обычно достаточно быстры, когда он не может пройти проверку подлинности.
Wouter 09 авг. 2014, в 05:58
0

«Отправленные учетные данные для токена [org.apache.shiro.authc.UsernamePasswordToken ... не соответствуют ожидаемым учетным данным.» : S, учетные данные не пройдены.
Troncador 09 авг. 2014, в 06:13
0

AuthenticationToken понимает текущий формат пароля "$ shiro1 $ sha ..."? У меня много вопросов, и я не могу найти пример, когда программист создает соленый пароль, а затем использует его
Troncador 09 авг. 2014, в 06:18
0

Я давно не пользовался shiro, но вижу, что вы используете специальный хеш-сервис для кодирования пароля, а не для аутентификации. Мой совет: подтвердите, что он работает со стандартным хеш-сервисом, затем найдите документ, чтобы узнать, где и как вы можете использовать пользовательский хэш-сервис в login
Serge Ballesta 09 авг. 2014, в 06:34
0

Мы используем примерно ту же конфигурацию, что и вы, но мы используем пружину, и она отлично работает. Я не вижу, как вы настраиваете securityManager, вы уверены, что он использует те же настройки хеша / соли, что и при создании пользователя?
Wouter 09 авг. 2014, в 07:00
0

@Wouter Я заканчиваю вопрос с помощью конфигурации securityManager и "shiro.ini".
Troncador 09 авг. 2014, в 07:19

Показать ещё 4 комментария

Теги:

java

shiro

1 ответ

Ещё вопросы

Ваш код выглядит хорошо. Если вы отлаживаете метод входа в систему, используя исходный код shiro, вы обычно достаточно быстры, когда он не может пройти проверку подлинности.
«Отправленные учетные данные для токена [org.apache.shiro.authc.UsernamePasswordToken ... не соответствуют ожидаемым учетным данным.» : S, учетные данные не пройдены.
AuthenticationToken понимает текущий формат пароля "$ shiro1 $ sha ..."? У меня много вопросов, и я не могу найти пример, когда программист создает соленый пароль, а затем использует его
Я давно не пользовался shiro, но вижу, что вы используете специальный хеш-сервис для кодирования пароля, а не для аутентификации. Мой совет: подтвердите, что он работает со стандартным хеш-сервисом, затем найдите документ, чтобы узнать, где и как вы можете использовать пользовательский хэш-сервис в login
Мы используем примерно ту же конфигурацию, что и вы, но мы используем пружину, и она отлично работает. Я не вижу, как вы настраиваете securityManager, вы уверены, что он использует те же настройки хеша / соли, что и при создании пользователя?
@Wouter Я заканчиваю вопрос с помощью конфигурации securityManager и "shiro.ini".

Wouter · Answer 1 · 2014-08-09T11-14-00.000Z

Вы должны убедиться, что ваше царство использует те же параметры настройки пароля, что и при создании пользователей.

Если вы используете весну, вы можете сделать из них бобы, но если вы не используете ничего подобного, вы можете использовать приведенную ниже идею, чтобы создать какую-то фабрику для создания одного объекта каждой из необходимых служб.

В любом случае, вот как мы настроили наш пароль/хеширование/пользовательский мир.

Сначала создайте службу паролей:

@Configuration
public class SecurityConfiguration {

    private static final String PRIVATE_SALT = "ourprivatesalt";

    private PasswordService passwordService;

    private PasswordMatcher credentialsMatcher = new PasswordAndSystemCredentialsMatcher();


    private AuthenticatingSecurityManager securityManager;

    @Bean
    public PasswordService passwordService() {
        if (passwordService == null) {
           DefaultPasswordService defaultPasswordService = new DefaultPasswordService();
           passwordService = defaultPasswordService;
           DefaultHashService defaultHashService = (DefaultHashService) defaultPasswordService.getHashService();
           defaultHashService.setPrivateSalt(new SimpleByteSource(PRIVATE_SALT));
        }
        return passwordService;
    }

    @Bean
    public CredentialsMatcher credentialsMatcher() {
        credentialsMatcher.setPasswordService(passwordService());
        return credentialsMatcher;
    }

И тогда наше обычное царство:

@Service
public class OurRealmImpl extends AuthorizingRealm {

    @Autowired
    private CredentialsMatcher credentialsMatcher;

    @PostConstruct
    private void configure() {
        setCredentialsMatcher(credentialsMatcher);
    }

Глядя на ваш код, я думаю, что недостающая вещь заключается в том, что вы не изменили совпадение учетных данных в своей пользовательской области.