《Spring Security3》第四章第三部分翻译上(配置安全的密码)

最新推荐文章于 2023-03-04 21:50:36 发布
最新推荐文章于 2023-03-04 21:50:36 发布
阅读量427 收藏
点赞数
分类专栏: Spring Security3

配置安全的密码

         我们回忆第一章:一个不安全应用的剖析中,审计人员认为密码以明文形式进行存储是最高优先级的安全风险。实际上,在任何安全系统中,密码安全都是保证已经经过认证的安全实体是真实可靠的重要方面。安全系统的设计人员必须保证密码存储时,任何恶意的用户想要进行破解都是非常困难的。

         在数据库存储时,需要遵守以下的准则:

l  密码不能以明文的形式进行存储(简单文本);

l  用户提供的密码必须与数据库存储的密码进行比较;

l  密码不能应用户的请求提供(即使用户忘记了密码)。

对于大多数应用来说,为了满足以上要求最适合的方式是对密码进行单向的编码或加密。单向编码提供了安全和唯一的特性,这对于正确的认证用户非常重要,它能够保证密码一旦被加密就不能再被解密了。

在大多数的安全应用设计中,一般没有必要和实际要求根据用户的请求检索用户的密码,因为如果没有附加的安全认证,提供用户的实际密码会有很大的安全风险。作为替代方案,大多数的应用为用户提供了重设密码的功能,要么需要提供额外的认证信息(如社会保险号码、生日、缴税ID或其它个人信息),要么通过一个基于email的系统。

【存储其它类型的敏感信息:以下的准则可以应用于密码以及其它类型的敏感信息,包括社会保险号以及信用卡信息(尽管基于应用的不同,它们中的一些需要解密的能力)。比较常见的是数据库以多种形式来存储这些敏感信息,比如用户16个数字的信用卡数字可以用一种高度加密的形式存储,但是最后的四位数字以明文的形式存储(作为佐证,可以回忆一些商业站点会显示XXXX XXXX XXXX 1234来帮助你分别已存储的信用卡)。】

基于我们(实际上并不太符合现实)使用SQL来访问HSQL数据库中用户的环境,你可能已经在思考如何对密码进行编码。HSQL以及其它大多数的数据库并没有提供加密方法作为数据库的内置功能。

一般来说,bootstrap过程(为系统添加初始的用户和数据)会联合使用一些SQL加载和Java代码。根据应用的复杂性,这个过程也可能会变得很复杂。

对于JBCP Pets应用来说,我们将会继续使用嵌入式数据库声明和对应的SQL,并且会添加一点Java代码在初始化加载后执行来加密数据库中的所有密码。为了使得密码加密能够正常工作,两个过程必须同步的使用密码加密以确保密码能够被一致的处理和校验。



 在Spring Security中,密码加密已经进行了封装,通过o.s.s.authentication.encoding.PasswordEncoder接口的实现类来定义。通过使用<authentication-provider>元素里的<password-encoder>声明我们能够很容易地配置密码编码:

 

Xml代码   收藏代码
  1. <authentication-manager alias="authenticationManager">  
  2.   <authentication-provider user-service-ref="jdbcUserService">  
  3.     <password-encoder hash="sha"/>  
  4.   </authentication-provider>  
  5. </authentication-manager>  

 你可能会很高兴的了解到Spring Security已经提供了一系列PasswordEncoder的实现,它们可以用于不同的需求和安全需要。要使用哪个实现可以通过<password-encoder>元素的hash属性来指定。

         以下的列表列出了内置的实现类以及它们的优点。这些实现类都在o.s.s.authentication.

Encoding包下。

实现类

描述

hash值

PlaintextPasswordEncoder

以明文的形式编码。DaoAuthenticationProvider默认的密码编码器。

plaintext

Md4PasswordEncoder

PasswordEncoder使用MD4 hash算法。MD4并不是一个安全的算法——不推荐使用这个编码器

md4

Md5PasswordEncoder

PasswordEncoder使用MD5的单向编码算法。

md5

ShaPasswordEncoder

PasswordEncoder使用SHA单向加密算法。这个编码器支持配置密码的强度级别。

sha

sha-256

LdapShaPasswordEncoder

在集成LDAP认证存储时使用,实现了LDAP SHA和LDAP SSHA算法。我们将会在第九章:LDAP目录服务讲述LDAP时,学习更多关于这个算法的知识。

{sha}

{ssha}

         与Spring Security其他领域一样,可以引用一个PasswordEncoder的实现类以提供更精确的配置,并允许PasswordEncoder通过依赖注入织入到其它的bean中。对于JBCP Pets来说,我们需要使用这个bean引用的方法来编码用户的初始数据。

         让我们了解一下为JBCP Pet应用配置基本密码编码的过程。

配置密码编码

         配置基本的密码编码涉及到两个地方——在我们的SQL脚本执行后,加密载入数据库中数据的密码,并确保DaoAuthenticationProvider被配置成使用PasswordEncoder。

配置PasswordEncoder

首先,作为通常的Spring bean,声明一个PasswordEncoder的实例

 

Xml代码   收藏代码
  1. <bean class="org.springframework.security.authentication.   
  2.              encoding.ShaPasswordEncoder" id="passwordEncoder"/>  

 你会发现我们使用了SHA-1的PasswordEncoder实现。这是一个高效的单向加密算法,在密码存储中经常用到。

配置AuthenticationProvider

         我们需要配置DaoAuthenticationProvider来持有一个对PasswordEncoder的引用,这样它就可以在用户登录时,编码并比较用户提供的密码。添加<password-encoder>声明并指向我们在前面定义的bean的ID:

 

Xml代码   收藏代码
  1. <authentication-manager alias="authenticationManager">  
  2.   <authentication-provider user-service-ref="jdbcUserService">  
  3.     <password-encoder ref="passwordEncoder"/>  
  4.   </authentication-provider>  
  5. </authentication-manager>  

 如果在此时重启应用,并尝试登录,你会发现前面合法的登录凭证现在都会被拒绝。这是因为数据库中存储的密码(在启动时通过test-users-groups-data.sql脚本加载的)并没有以加密的形式存储。我们需要用一些java代码对启动数据进行后置的处理。

编写数据库启动的密码编码器

         我们对SQL加载的数据进行编码的方式是使用了Spring bean的初始化方法,它将在embedded-database bean实例化完成后执行。这个bean, com.packtpub.springsecurity.security.DatabasePasswordSecurerBean很简单:

 

Java代码   收藏代码
  1. public class DatabasePasswordSecurerBean extends JdbcDaoSupport {  
  2.   @Autowired  
  3.   private PasswordEncoder passwordEncoder;  
  4.     
  5.   public void secureDatabase() {  
  6.     getJdbcTemplate().query("select username, password from users",   
  7.                              new RowCallbackHandler(){  
  8.       @Override  
  9.       public void processRow(ResultSet rs) throws SQLException {  
  10.         String username = rs.getString(1);  
  11.         String password = rs.getString(2);  
  12.         String encodedPassword =   
  13.                passwordEncoder.encodePassword(password, null);  
  14.         getJdbcTemplate().update("update users set password = ?   
  15.            where username = ?", encodedPassword,username);  
  16.         logger.debug("Updating password for username:   
  17.                      "+username+" to: "+encodedPassword);  
  18.       }  
  19.     });  
  20.   }  
  21. }  
 

 

 

代码使用了JdbcTemplate功能来遍历所有的数据库中所有的用户并使用注入的PasswordEncoder引用对密码进行编码。每一个密码都进行了更新。

配置启动的密码编码

我们需要配置这个Spring bean的声明以使其在web应用启动时及<embedded-database>初始化后再进行该类的初始化。Spring bean的依赖跟踪机制保证DatabasePasswordSecurerBean能够在合适的时机执行:

 

Xml代码   收藏代码
  1. <bean class="com.packtpub.springsecurity.security.   
  2.              DatabasePasswordSecurerBean"   
  3.              init-method="secureDatabase" depends-on="dataSource">  
  4.   <property name="dataSource" ref="dataSource"/>  
  5. </bean>  

 如果你此时重启JBCP Pets应用,你会发现数据库中的密码已经进行了编码,登录功能可以正常使用了。

 

ggmmsoo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security3》第四章第四部分翻译(Remember me后台存储和SSL)附前四章doc文件
03-26
NULL 博文链接:https://lengyun3566.iteye.com/blog/1141347
IDEA springboot 自动注解@Autowired依赖包内的类时,报Could not autowire. No beans of ‘PasswordEncoder‘ type found.
qingduwuwo的博客
08-13 1756
报错显示找不到bean注入,查询网上的一种解决方案是:可以把Autowired for bean class 的严重程度改为warning。 我试了下,还是报错无法运行,还是报: Consider defining a bean of type 'org.springframework.security.crypto.password.PasswordEncoder' in your configuration. 但此时可以通过在springboot启动类下,通过@bean 配置...
Spring Security包通过@Autowried PasswordEncoder导入不成功 解决办法
孤风枣枣的博客
04-26 1万+
Spring Security包通过@Autowried PasswordEncoder导入不成功 解决办法 包引入没有问题,另外一个项目同样配置不报错。 Could not autowire. No beans of ‘PasswordEncoder’ type found. 编译也不通过: *************************** APPLICATION FAILED TO S...
解决Could not autowire.No beans of ‘ ‘ type found
luoluo95的博客
06-13 9万+
解决Could not autowire.No beans of ‘ ‘ type found
Idea解决Could not autowire. No beans of ‘xxxx‘ type found的错误提示
WYP123456L的博客
01-13 2万+
1.问题描述   在Idea的spring工程里,经常会遇到Could not autowire. No beans of 'xxxx' type found的错误提示。(但程序的编译和运行都是没有问题的,有时候也有可能会报错,无法运行程序),这个错误提示并不会产生影响。但红色的错误提示看起来很不舒服。 2. 原因 原因可能有两个,第一个是IntellijIDEA本身工具的问题。第二个便是我们导入@Service包的时候导入包错误造成的   第一种原因,spring auto sca...
springboot2.6.x版本的springsecurity注入PasswordEncoder导致循环依赖问题
weixin_42260782的博客
03-14 2174
按照以前项目搭建框架,启动报错 The dependencies of some of the beans in the application context form a cycle: 目测是循环依赖什么的问题, 在userSecurityConfig注入了UserService 在UserService中使用了PasswordEncoder 在userSecurityConfig继承的SecurityConfig中声明了一个Bean,PasswordEncoder 我理解的是:这就造成了,在创建
Spring-Security-Third-Edition:Spring Security第三版,由Packt发行
05-28
在整本书中一直用作视图模板引擎章节LDAP目录服务记住我的服务使用TLS的客户端证书身份验证打开OAuth2 使用中央身份...安全性迁移到Spring Security 4.2生成并运行代码示例代码软件要求JDK 8 Gradle4.x IntelliJ 2017+...
security:Spring Security 开发安全的REST服务 —— JoJozhai
05-13
本来是 fork 了 老师的源码的() 跟着学了两章后,发现还是少了点感觉,干脆自己重新码一遍吧 :beaming_face_with_smiling_eyes: 小目标 ...第4章 使用Spring Security开发基于表单的登录 4-1 简介 4-2
springSecurity3中文文档
08-19
第四章:凭证安全存储 第五章:精确的访问控制 第六章:高级配置和扩展 第七章:访问控制列表(ACL) 第八章:对OpenID开放 第九章:LDAP目录服务 第十章:使用中心认证服务 第十一章:客户端证书认证 第十二章:...
spring security 登录、权限管理配置
08-13
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表) ... 执行第6步,否则执行第7步。 6)登录 7)验证并授权(MyUserDetailServiceImpl:loadUserByUsername) 内附完整数据库
Idea 解决 Could not autowire. No beans of 'xxxx' type found 的错误提示
08-26
主要介绍了Idea 解决 Could not autowire. No beans of 'xxxx' type found 的错误提示,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security中 导入PasswordEncoder报错
Leol_emon的博客
07-11 2279
Spring Security导入PasswordEncoder报错
解决IDEA的Could not autowire. No beans of ‘***‘ type found.
zc373737的博客
12-05 2066
解决IDEA的Could not autowire. No beans of '***' type found.问题
【已解决】IDEA中报Could not autowire. No beans of 'xx' type found异常小结
宜春
09-15 3153
最近用idea开发ssm项目,已经不是一次两次遇到Could not autowire. No beans of ‘xx’ type found的错误提示了,刚开始遇到这种问题很正常,说明自己对框架的了解还不够深入,再者则是不细心,在配置的时候忘记给实现类加注解或者导错包之类的,当然之前用eclipse的时候一样遇到过这种问题,工具差别不是很大,但有种情况还真是idea本身工具的问题,报红但程序的...
Springboot 2.6.x以后循环依赖的问题的解决
weixin_45454859的博客
03-04 722
Springboot 2.6.x以后循环依赖的问题的解决
IntelliJ Idea错误提示 Could not autowire. No beans of ‘‘ type found
大JAVA解决方案
01-21 1773
现象:如下图所示,出现Could not autowire. No beans of '' type found的错误提示; 解决方法:降低Autowired检测的级别,改为warning 设置路径:file -> settings -> editor -> Inspections ->Spring -> Spring Core -> Code -> Autowiring for Been Class; 其他解决方案及本文参考文档地址...
PasswordEncoder密码编码器
weixin_60600107的博客
11-01 2359
PasswordEncoder使用哈希算法+随机盐来对字符串加密。因为哈希是一种不可逆算法,所以密码认证时需要使用相同的算法+盐值来对待校验的明文进行加密,然后比较这两个密文来进行验证。Spring Security封装了如PBKDF2 , scrypt, Argon2,bcrypt等主流适应性单向加密方法,支持不同的密码加密方式,而且根据不同的用户可以使用不同的加密方式。可以看到,下面这个encode()方法中先得到了一个盐值加盐,并且进行hash加密,所以每次得到的密文都不一样,保证了加密后的安全性。
IntelliJ Idea解决Could not autowire. No beans of 'xxxx' type found的错误提示
热门推荐
u012453843的专栏
02-07 68万+
1.问题描述   在Idea的spring工程里,经常会遇到Could not autowire. No beans of 'xxxx' type found的错误提示。但程序的编译和运行都是没有问题的,这个错误提示并不会产生影响。但红色的错误提示在有些有强迫症的程序员眼里,多多少少有些不太舒服。   2. 原因   spring auto scan配置,在编辑情况下,无法找不到对应的
SpringSecurity框专题(七) - 自定义加密
刘树之的博客
09-03 998
文章目录1.MD5加密工具类2.自定义加密器3.修改 security 配置文件 虽然 spring security 已经提供了比较完善的加密机制,但是有时根据业务需求需要定制自己的加密方式。 spring security 提供了加密扩充的接口,下文主要介绍如何在 spring security 中添加自定义的加密器。 1.MD5加密工具类 package com.bruce.utils; import java.security.MessageDigest; /** * @program: St
springsecurity第三方认证
最新发布
11-01
Java Spring Security是一个基于Spring框架的安全框架,它提供了一系列的安全服务和认证机制,可以帮助我们实现应用程序的安全控制。第三方认证是指使用第三方身份验证服务来验证用户身份,而不是使用自己的身份验证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值