Java 如何使用Shiro'；s SaltedAuthenticationInfo？

我正在为我的应用程序开发一个身份验证组件。我使用的是带有salt密码的ApacheShiro API

我用salt创建了一个新用户，如本例所示：

ByteSource salt = randomNumberGenerator.nextBytes(32);      
byte[] byteTabSalt = salt.getBytes();   
String strSalt = byteArrayToHexString(byteTabSalt);         
String hashedPasswordBase64 = new Sha256Hash(inPassword, salt, 512).toBase64();

但是我不明白我该如何使用salt来验证doGetAuthenticationInfo方法中的用户。我的方法必须返回SaltedAuthenticatedInfo，但我不明白应该如何创建它

我不理解凭证匹配器和SaltedAuthenticateInfo之间的链接

创建密码时是否必须通知凭证匹配者

感谢您的帮助。

SaltedAuthenticationInfo

SaltedAuthenticationInfo

是一个接口。ShiroAPI为方便起见提供了许多默认实现。尽可能多地尝试使用默认实现之一；避免创建自己的。
我建议使用

SimpleAuthenticationInfo

，它实现的不仅仅是

SaltedAuthenticationInfo

，但可能足以满足您的需要。
有关更多信息，请参阅

如果您确实需要实现自己的

SaltedAuthenticationInfo

，则应仔细阅读文档。
有关更多信息，请参阅和

HashedCredentialMatcher

布尔doCredentialsMatch（AuthenticationToken，AuthenticationInfo）

实际上负责验证逻辑。
此方法以

AuthenticationToken

的形式获取用户提交的凭据，并将其与以前以

AuthenticationInfo

的形式存储的凭据进行比较
您必须确保首先将所有必要的信息传递给

HashCredentialMatcher

（迭代、算法和

SaltedAuthenticationInfo

中的salt）

伪示例使用

final int iterations = 50000;

AuthenticationToken authToken = ...;
SaltedAuthenticationInfo saltedAuthInfo = ...;

HashedCredentialsMatcher authenticator = 
     new HashedCredentialsMatcher(Sha256Hash.ALGORITHM_NAME);
authenticator.setHashIterations(iterations);

final boolean successfulAuthentication = 
     authenticator.doCredentialsMatch(authToken, saltedAuthInfo);

有关更多信息，请参阅

其他安全说明

• 盐的长度
  256位的盐看起来不错。使用如此大的盐，您可以将任何两个用户共享同一盐的风险降至最低。在选择盐的长度时，请记住盐的长度会起作用

• 迭代次数
  根据经验，你永远不能使用少于10000个。您当前使用512

  String hashedPasswordBase64 = new Sha256Hash(inPassword, salt, 512).toBase64();
  

  大多数散列算法都非常快（包括sha256），你不想做任何可能成为黑客的事情。您使用的迭代次数越多，验证速度就会越慢，但它也会直接降低破解尝试的速度
  您将希望在保持应用程序可接受的响应性的同时，将迭代次数设置为尽可能高。你可能会惊讶于自己能飞多高。
  就我个人而言，我倾向于使用数百万；但我是偏执狂，不介意稍有耽搁
  有关更多信息，请参阅

• 我个人会避免硬编码任何散列参数（散列算法、盐大小、迭代计数等）
  通过硬编码这些值，你会限制你立即适应和响应的能力
  使用散列凭证存储这些值允许您进行更动态的身份验证，您可以在将来以相对较少的工作量配置和推出更强大的算法
  例如，默认哈希算法可能是sha256，使用50000次迭代和256位salt。但在未来，50000次迭代可能还不够。
  无需太多麻烦，您就可以将首选算法配置更改为对所有新密码迭代100000次。您不必担心破解旧密码，因为您不会更改使用现有凭据存储的算法参数。 您还可以使用它来更改盐的大小甚至整个算法
  如果需要，你可以让每个人更改他们的密码；强制用户选择新的（希望更强）首选算法设置。
  Unix操作系统多年来一直在使用
  这需要更多的努力，但值得投资。强大的身份验证控制至关重要

---

我的错误是没有正确创建用于比较AuthenticationToken的AuthenticationInfo。因此，在我自己领域的DogeAuthenticationInfo方法中，我会这样做：

Object principal   = arg0.getPrincipal();
Object credentials = arg0.getCredentials();
String realmName   = this.getName(); // to get the realm name

SimpleAuthenticationInfo simpleAuthenticationInfo = new SimpleAuthenticationInfo(principal, credentials, realmName);

CredentialsMatcher credentialsMatcher = this.getCredentialsMatcher();
boolean successfulAuthentication = credentialsMatcher.doCredentialsMatch(arg0, simpleAuthenticationInfo);

所以布尔成功认证是真的。

---

但我不明白CredentialsMatcher和HashedCredentialsMatcher之间有什么区别，因为那是假的。我必须阅读Javadoc。

512是。我认为每个人推荐的最低值是1000，10000+更常见。另外，您不需要将salt转换为string。我将salt转换为string以将其放入数据库。我将使用更大的迭代次数。谢谢你的回答，谢谢你的帮助。我想我的问题是我没有使用相同的凭证匹配器参数。我没有为凭证提供正确的算法名称。我会测试这个。@Fred37b没问题。如上所述，请确保在

HashedCredentialMatcher

上设置了所有适当的参数，包括迭代次数。创建AuthenticationInfo或SaltedAuthenticationInfo的我的方法buildAuthenticationInfo（字符串用户名，字符[]密码）根本不起作用。我没有创建正确的AuthenticationInfo对象。我使用shiro 1.2.0的实现也有问题。由于我的方法与这里讨论的方法有所不同，我在这里创建了一个新的thead：