Spring Security使用argon2加密

已于 2022-07-13 09:47:50 修改
阅读量988 收藏
点赞数
分类专栏: Java学习 文章标签: 安全 spring
于 2022-03-11 15:25:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Alex_xlin/article/details/123424733
版权

Spring Security默认使用bCryptPasswordEncoder进行加密,因项目需要

,使用内置的argon2PasswordEncoder进行加密,经测试比bcrypt算法要慢。

需要引入Bouncy Castle Provider依赖,否则会找不到

org.bouncycastle.crypto

这个包;

<!-- https://mvnrepository.com/artifact/org.bouncycastle/bcprov-jdk15on -->
<dependency>
    <groupId>org.bouncycastle</groupId>
    <artifactId>bcprov-jdk15on</artifactId>
    <version>1.70</version>
</dependency>

//加密  
  Argon2PasswordEncoder argon2PasswordEncoder = new Argon2PasswordEncoder();
  String pw = argon2PasswordEncoder.encode("123456");
 
//校验
  boolean b = argon2PasswordEncoder.matches("123456","$argon2id$v=19$m=4096,t=3,p=1$jUuSVpSYTWWVg3gaqdmZIw$dj5+Xh24Ifc2uUI2AVtGvLnQhMRW60DCQ4Dk8mdUaBY");
Linux 服务器安全策略技巧:使用 Bcrypt 或 Argon2 进行密码哈希
wjianwei666的专栏
01-05 781
在Linux服务器上使用Bcrypt或Argon2进行密码哈希是保护服务器和用户数据安全的重要策略。Bcrypt和Argon2都是强大的密码哈希算法,具有高度的安全性和抗攻击能力。选择合适的算法取决于服务器的硬件条件和安全需求。无论选择哪种算法,都应该遵循最佳实践来确保密码的安全性。
深入了解后端 Spring Security 的密码加密方式
后端开发笔记博客记录
04-14 948
本技术手册旨在为开发人员提供 Spring Security 密码加密机制的完整解决方案,覆盖算法原理、实现细节、安全配置和性能优化等核心领域。适用版本为 Spring Security 6.x+ 和 Spring Boot 3.x+。文档采用理论结合实践的渐进式结构,首先建立密码学基础认知,继而深入算法内核,最后通过完整项目演示生产级实现方案。工作因子(Work Factor):加密算法迭代次数的控制参数彩虹表攻击(Rainbow Table Attack):使用预计算哈希值破解密码的攻击方式。
argon2-playground:使用Spring Security Crypto和BouncyCastle在JVM上进行Argon2哈希处理,而无需本机库
04-07
Argon2游乐场 使用Spring Security Crypto和BouncyCastle在JVM上进行Argon2散列,而无需本机库。 执照
全面的 .NET Core Argon2 加密实现教程
最新发布
gitblog_00150的博客
04-15 841
全面的 .NET Core Argon2 加密实现教程 Isopoh.Cryptography.Argon2 Fully managed .Net Core implementation of Argon2 项目地址: https...
使用Argon2进行加解密
weixin_42932323的博客
11-23 2598
所需架包 <dependency> <groupId>de.mkammerer</groupId> <artifactId>argon2-jvm</artifactId> <version>2.4</version> </dependency> 代码工具类 import org.springframework.security.crypto.password.PasswordEncoder; imp
使用 Argon2 的 Java 密码散列
allway2的博客
09-06 2624
的获胜者,这是一种有意占用资源(CPU、内存等)的单向哈希函数。在 Argon2 中,我们可以配置盐的长度、生成的哈希长度、迭代次数、内存成本和 CPU 成本,以控制哈希密码所需的资源。Argon2dArgon2iArgon2id阅读此。现代硬件(CPU 和 GPU)越来越好,越来越便宜。消费级 CPU,如 AMD Ryzen Threadripper,每年都在增加内核,例如 AMD 3990X 有 64 个内核,128 个线程。此外,由于加密货币挖矿的兴起GPU 不断发展,或专用可以每秒执行。
密码学系列之:Argon2加密算法详解
热门推荐
程序那些事
09-20 2万+
文章目录简介密钥推导函数key derivation functionPassword Hashing CompetitionArgon2算法Argon2的输入参数处理流程 简介 Argon2是一个密钥推导函数,在2015年7月被选为密码哈希大赛的冠军,它由卢森堡大学的Alex Biryukov、Daniel Dinu和Dmitry Khovratovich设计,Argon2的实现通常是以Creative Commons CC0许可(即公共领域)或Apache License 2.0发布,并提供了三个相关版
Argon2PasswordEncoder使用
远道的博客
11-24 972
Argon2PasswordEncoder官方详解 加密 //unencryptedPassword 未加密的密码 //encryptionPwd 加密后的密码 PasswordEncoder pwdEncoder = new Argon2PasswordEncoder(); String encryptionPwd = passwordEncoder.encode(unencryptedPassword) 比较密码 // encryptionPwd-->数据库存储的加密后的密码 //unenc
Spring Security使用
CASER_HDMI的博客
10-30 966
上面登录认证流程实现了用户会话访问接口,但是SessionId存储在cookie中,这样会导致csrf攻击,所以前端还需要把SessionId存储到其他位置,比如localStorage,在请求时,把它放到Header中,避免csrf攻击,或者直接生成一个新的csrf token,在每次请求时把它放到header或parameter中,在后端服务进行验证。一般来说,filterChain是我们需要重写的,我们的应用是无法直接使用默认filter的配置。数据库查询到的用户对应的密码。请求中的用户名/密码。
Spring Security系列之PasswordEncoder
lonelymanontheway的博客
06-07 2229
加密算法种类、反查表、彩虹表、加密算法配置类实例、PasswordEncoder、BCryptPasswordEncoder、PasswordEncoderFactories、DelegatingPasswordEncoder、自定义加密方案。
Spring Security PasswordEncoder接口(密码编码)
疯一样的码农
11-20 1351
Spring Security 配置中使用是保护用户凭据的基础。通过理解密码编码的重要性并利用 Spring Security 对各种编码机制的支持,开发人员可以显著增强应用的安全性。记住,在安全领域,防御的强度往往取决于最薄弱的环节。确保密码被安全编码和存储不仅保护了用户,还增强了应用对潜在威胁的防御能力。
SpringSecurity密码加密-咸密码-用户授权验证
weixin_44502237的博客
11-16 723
SpringSecurity的PasswordEncoder官网介绍,密码加密验证方式,盐密码概念,与用户授权
Argon2
sjrGCkym的博客
10-10 4700
Argon2是一个密钥导出函数
忘记MD5 Sha1吧 从现在开始使用 Bcrypt 和 Argon2i 吧
qq_36431213的博客
05-06 2498
昨天突然发现身边还有人在使用md5进行加密,明明连php官网都不建议使用md5了 所以建议大家尽快抛弃 md5 和 sha1 这些不安全的算法 php在5.5版本以后已经为我们提供了非常安全加密函数 bcrypt 了 使用函数 password_hash 生成基于Bcrypt算法的hash值 使用的具体如下 $password = filter_input(INPUT_POST, '...
密钥派生算法介绍 及 PBKDF2(过时)<Bcrypt(开始淘汰)<Scrypt< Argon2(含Argon2d、Argon2i、Argon2id)简介
carcarrot的博客
04-19 2941
密钥派生函数(Key Derivation Function)就是从一个密码产生出一个或多个密钥,具体就是从一个master key,password或者passphrase派生出一个或多个密钥,派生的过程使用PRF(Pseudo Random Function)。是一种实现key stretching(密钥延长算法,即一种更慢的哈希算法,用于将初始密钥转换成增强密钥,在计算过程中刻意延长时间或者消耗空间,这样有利于保护弱密码)的方法。●最简单的KDF可以直接使用某种密码学散列算法,如:SHA256。
Spring Security 密码编码
allway2的博客
09-06 1200
要实例化,我们可以选择传递盐的长度、生成的哈希长度、CPU 成本参数、内存成本参数和并行化参数。要实例化,我们可以选择传递要包含在密码哈希、迭代次数和哈希大小中的秘密值。在我们的 Spring Security Java 配置中,要启用特定的密码编码器,只需为该密码编码器创建一个 bean。在 Spring Security Java 配置中使用,只需创建它的 bean。在 XML 配置中,要使用密码编码器,请为密码编码器创建一个 bean,并使用。在 XML 配置中找到要创建的 bean,并使用
11.PasswordEncoder详解与实战
06-01 969
这节课我们开始讲PasswordEncoder,如果大家还有印象的话,我们前面有提到过PasswordEncoder:为什么密码使用{noop}开头呢?我们也做出了相应的解释,这节课开始带大家真正的了解PasswordEncoder,
常见的密码加密方式有哪些?2分钟带你快速了解!
qq_56999608的博客
04-18 6939
哈喽,大家好呀!这里是码农后端。本篇将带你了解一些常见的密码加密方式。毋庸置疑,密码的安全性对于用户来说是非常重要的,如何保证密码的安全性使其不被破解也是一直以来的一个非常重要的话题。
Spring Security特性(密码)
₍˄·͈༝·͈˄*₎◞ ̑̑的博客
11-07 1294
Spring Security提供了对 认证(authentication) 的全面支持。认证是指我们如何验证试图访问特定资源的人的身份。一个常见的验证用户的方法是要求用户输入用户名和密码。一旦进行了认证,我们就知道了身份并可以执行授权。Spring Security提供了对用户认证的内置支持。本节专门介绍通用的认证支持,适用于Servlet和WebFlux环境。请参阅 Servlet 和WebFlux的认证部分,了解每个技术栈所支持的细节。
springsecurity的认证授权加密
03-31
### Spring Security 认证、授权和加密的实现机制 #### 一、认证(Authentication) Spring Security 的认证过程主要围绕 `UsernamePasswordAuthenticationToken` 和一系列过滤器展开。核心逻辑通常发生在默认的安全过滤器链中,特别是 `DefaultSecurityFilterChain` 中的关键组件如 `UsernamePasswordAuthenticationFilter` 负责处理表单登录请求[^3]。 以下是认证的主要流程: 1. 用户提交用户名和密码至 `/login` 端点。 2. 请求被拦截并传递给 `UsernamePasswordAuthenticationFilter` 进行初步验证。 3. 如果验证成功,则创建一个已认证的身份令牌 (`Authentication`) 并存储在安全上下文中。 4. 验证失败则返回错误响应。 ```java @Override protected void configure(HttpSecurity http) throws Exception { http.formLogin() .loginPage("/login") // 自定义登录页面 .permitAll(); // 登录页面无需身份验证即可访问 } ``` 上述代码片段展示了如何自定义登录页以及允许未认证用户访问登录界面[^4]。 --- #### 二、授权(Authorization) Spring Security 提供了多层次的授权支持,涵盖了 URL 基础权限管理到方法级别的细粒度控制[^2]。其核心概念如下: - **基于角色的访问控制 (RBAC)** 使用 `@PreAuthorize`, `@PostAuthorize` 注解或者 XML/Java Config 定义特定路径只允许某些角色访问。 ```java @RestController public class SecureController { @PreAuthorize("hasRole('ADMIN')") public String adminEndpoint() { return "Admin Content"; } } ``` 此示例说明了一个仅限管理员角色调用的方法。 - **表达式驱动的安全性** 支持复杂的 SpEL 表达式来决定谁有资格执行某项操作。 --- #### 三、加密(Encryption and Encoding) 为了保护数据传输中的隐私性和完整性,Spring Security 利用了多种编码技术,比如 BCrypt 或者 Argon2 来散列用户的密码[^1]。 下面是一个典型的密码编码配置实例: ```java @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } // 在服务层保存新用户时应用编码 @Service public class UserServiceImpl implements UserDetailsService { private final UserRepository userRepository; private final PasswordEncoder encoder; public UserServiceImpl(UserRepository userRepository, PasswordEncoder encoder) { this.userRepository = userRepository; this.encoder = encoder; } @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { var user = userRepository.findByUsername(username); if(user == null){ throw new UsernameNotFoundException("User not found"); } return new org.springframework.security.core.userdetails.User( user.getUsername(), user.getPassword(), true, true, true, true, AuthorityUtils.createAuthorityList("USER")); } public void saveNewUser(User newUser) { String hashedPassword = encoder.encode(newUser.getPassword()); newUser.setPassword(hashedPassword); // 存储前先哈希化原始密码 userRepository.save(newUser); } } ``` 这里演示了如何利用 `BCryptPasswordEncoder` 对明文密码进行不可逆转换后再存入数据库。 --- #### 四、最佳实践总结 1. 尽量采用 HTTPS 协议保障通信层面的数据安全性; 2. 不要硬编码任何敏感信息于源码之中; 3. 定期更新所使用的算法版本以抵御新型攻击手段; 4. 测试阶段务必启用完整的日志记录以便排查潜在漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Alex_xlinx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值