Apache Shiro 2.0.0 中使用INI文件配置Shiro2密码哈希的注意事项

在Apache Shiro 2.0.0版本中，当使用INI配置文件定义用户及其密码时，如果采用新的Shiro2密码哈希格式，开发者可能会遇到一个常见但容易被忽视的问题。本文将详细介绍这个问题及其解决方案，帮助开发者正确配置安全认证。

问题背景

Apache Shiro提供了多种密码哈希算法，其中Shiro2格式支持更现代的密码哈希算法如Argon2。当开发者使用命令行工具生成Shiro2格式的密码哈希后，通常会将其直接复制到shiro.ini配置文件中。然而，这种直接复制粘贴的方式会导致认证失败。

问题原因

Shiro2格式的密码哈希字符串中通常包含逗号(,)，例如：

$shiro2$argon2id$v=19$t=1,m=65536,p=4$H5z81Jpr4ntZr3MVtbOUBw$fJDgZCLZjMC6A2HhnSpxULMmvVdW3su+/GCU3YbxfFQ

而shiro.ini文件中用户定义的格式为：

username = password, role1, role2, roleN...

INI解析器会将逗号视为分隔符，导致密码哈希字符串被截断。在上例中，实际被解析的密码部分仅为"$shiro2$argon2id$v=19$t=1"，这显然是一个不完整的哈希值。

解决方案

解决这个问题的方法很简单：将整个密码哈希字符串用双引号括起来。例如：

user1 = "$shiro2$argon2id$v=19$t=1,m=65536,p=4$H5z81Jpr4ntZr3MVtbOUBw$fJDgZCLZjMC6A2HhnSpxULMmvVdW3su+/GCU3YbxfFQ", role1, role2

这样INI解析器会将引号内的内容视为一个整体，不会错误地截断密码哈希字符串。

生产环境建议

虽然INI配置文件在开发和测试环境中使用方便，但在生产环境中并不推荐使用这种方式存储用户凭证，原因包括：

1. 配置文件通常以明文形式存储，安全性较低
2. 用户管理不够灵活，需要重启应用才能生效
3. 缺乏密码策略强制执行机制

对于生产环境，建议使用数据库存储用户凭证，并配置适当的JDBC Realm。

总结

当在Apache Shiro 2.0.0中使用INI配置文件并采用Shiro2密码哈希格式时，务必记得将包含逗号的密码哈希字符串用双引号括起来。这一简单但关键的步骤可以避免许多认证相关的问题。同时，开发者应当根据实际环境选择合适的用户凭证存储方案，确保应用安全。