7.springsecurity密码加密问题

最新推荐文章于 2024-05-14 21:17:36 发布
最新推荐文章于 2024-05-14 21:17:36 发布
阅读量841 收藏 2
点赞数
分类专栏: springsecurity 文章标签: springsecurity 新星计划
原文链接:https://blog.csdn.net/u012702547/article/details/106248622
版权

springsecurity密码加密问题

密码加密我们一般会用到散列函数,又称散列算法、哈希函数,这是一种从任何数据中创建数字“指纹”的方法。

散列函数把消息或数据压缩成摘要,使得数据量变小,将数据的格式固定下来,然后将数据打乱混合,重新创建一个散列值。散列值通常用一个短的随机字母和数字组成的字符串来代表。好的散列函数在输入域中很少出现散列冲突。在散列表和数据处理中,不抑制冲突来区别数据,会使得数据库记录更难找到。

我们常用的散列函数有 MD5 消息摘要算法、安全散列算法(Secure Hash Algorithm)。

但是仅仅使用散列函数还不够,单纯的只使用散列函数,如果两个用户密码明文相同,生成的密文也会相同,这样就增加的密码泄漏的风险。

为了增加密码的安全性,一般在密码加密过程中还需要加盐,所谓的盐可以是一个随机数也可以是用户名,加盐之后,即使密码明文相同的用户生成的密码密文也不相同,这可以极大的提高密码的安全性。

传统的加盐方式需要在数据库中有专门的字段来记录盐值,这个字段可能是用户名字段(因为用户名唯一),也可能是一个专门记录盐值的字段,这样的配置比较繁琐。

Spring Security 提供了多种密码加密方案,官方推荐使用 BCryptPasswordEncoder,BCryptPasswordEncoder 使用 BCrypt 强哈希函数,开发者在使用时可以选择提供 strength 和 SecureRandom 实例。strength 越大,密钥的迭代次数越多,密钥迭代次数为 2^strength。strength 取值在 4~31 之间,默认为 10。

不同于 Shiro 中需要自己处理密码加盐,在 Spring Security 中,BCryptPasswordEncoder 就自带了盐,处理起来非常方便。

实践

1. codec 加密

commons-codec 是一个 Apache 上的开源项目,用它可以方便的实现密码加密。在 Spring Security 还未推出 BCryptPasswordEncoder 的时候,commons-codec 还是一个比较常见的解决方案。

所以,这里我先来给大家介绍下 commons-codec 的用法。

首先我们需要引入 commons-codec 的依赖:

<dependency>
 <groupId>commons-codec</groupId>
 <artifactId>commons-codec</artifactId>
 <version>1.11</version>
</dependency>

然后自定义一个 PasswordEncoder:

@Component
public class MyPasswordEncoder implements PasswordEncoder {
    @Override
    public String encode(CharSequence rawPassword) {
        return DigestUtils.md5DigestAsHex(rawPassword.toString().getBytes());
    }

    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        return encodedPassword.equals(DigestUtils.md5DigestAsHex(rawPassword.toString().getBytes()));
    }
}

在 Spring Security 中,PasswordEncoder 专门用来处理密码的加密与比对工作,我们自定义 MyPasswordEncoder 并实现 PasswordEncoder 接口,还需要实现该接口中的两个方法:

  1. encode 方法表示对密码进行加密,参数 rawPassword 就是你传入的明文密码,返回的则是加密之后的密文,这里的加密方案采用了 MD5。
  2. matches 方法表示对密码进行比对,参数 rawPassword 相当于是用户登录时传入的密码,encodedPassword 则相当于是加密后的密码(从数据库中查询而来)。

最后记得将 MyPasswordEncoder 通过 @Component 注解标记为 Spring 容器中的一个组件。

这样用户在登录时,就会自动调用 matches 方法进行密码比对。

当然,使用了 MyPasswordEncoder 之后,在用户注册时,就需要将密码加密之后存入数据库中,方式如下:

public int reg(User user) {
    ...
    //插入用户,插入之前先对密码进行加密
    user.setPassword(passwordEncoder.encode(user.getPassword()));
    result = userMapper.reg(user);
    ...
}

其实很简单,就是调用 encode 方法对密码进行加密。

2. BCryptPasswordEncoder 加密

但是自己定义 PasswordEncoder 还是有些麻烦,特别是处理密码加盐问题的时候。

所以在 Spring Security 中提供了 BCryptPasswordEncoder,使得密码加密加盐变得非常容易。只需要提供 BCryptPasswordEncoder 这个 Bean 的实例即可,如下:

@Bean
PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder(10);
}

创建 BCryptPasswordEncoder 时传入的参数 10 就是 strength,即密钥的迭代次数(也可以不配置,默认为 10)。同时,配置的内存用户的密码也不再是 123 了,如下:

auth.inMemoryAuthentication()
.withUser("admin")
.password("$2a$10$RMuFXGQ5AtH4wOvkUqyvuecpqUSeoxZYqilXzbz50dceRsga.WYiq")
.roles("ADMIN", "USER")
.and()
.withUser("sang")
.password("$2a$10$eUHbAOMq4bpxTvOVz33LIehLe3fu6NwqC9tdOcxJXEhyZ4simqXTC")
.roles("USER");

这里的密码就是使用 BCryptPasswordEncoder 加密后的密码,虽然 admin 和 sang 加密后的密码不一样,但是明文都是 123。配置完成后,使用 admin/123 或者 sang/123 就可以实现登录。

本案例使用了配置在内存中的用户,一般情况下,用户信息是存储在数据库中的,因此需要在用户注册时对密码进行加密处理,如下:

@Service
public class RegService {
    public int reg(String username, String password) {
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder(10);
        String encodePasswod = encoder.encode(password);
        return saveToDb(username, encodePasswod);
    }
}

用户将密码从前端传来之后,通过调用 BCryptPasswordEncoder 实例中的 encode 方法对密码进行加密处理,加密完成后将密文存入数据库。

源码浅析

最后我们再来稍微看一下 PasswordEncoder。

PasswordEncoder 是一个接口,里边只有三个方法:

public interface PasswordEncoder {
 String encode(CharSequence rawPassword);
 boolean matches(CharSequence rawPassword, String encodedPassword);
 default boolean upgradeEncoding(String encodedPassword) {
  return false;
 }
}
  • encode 方法用来对密码进行加密。
  • matches 方法用来对密码进行比对。
  • upgradeEncoding 表示是否需要对密码进行再次加密以使得密码更加安全,默认为 false。

Spring Security 为 PasswordEncoder 提供了很多实现:

图片

但是老实说,自从有了 BCryptPasswordEncoder,我们很少关注其他实现类了。

PasswordEncoder 中的 encode 方法,是我们在用户注册的时候手动调用。

matches 方法,则是由系统调用,默认是在 DaoAuthenticationProvider#additionalAuthenticationChecks 方法中调用的。

protected void additionalAuthenticationChecks(UserDetails userDetails,
  UsernamePasswordAuthenticationToken authentication)
  throws AuthenticationException {
 if (authentication.getCredentials() == null) {
  logger.debug("Authentication failed: no credentials provided");
  throw new BadCredentialsException(messages.getMessage(
    "AbstractUserDetailsAuthenticationProvider.badCredentials",
    "Bad credentials"));
 }
 String presentedPassword = authentication.getCredentials().toString();
 if (!passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
  logger.debug("Authentication failed: password does not match stored value");
  throw new BadCredentialsException(messages.getMessage(
    "AbstractUserDetailsAuthenticationProvider.badCredentials",
    "Bad credentials"));
 }
}

可以看到,密码比对就是通过 passwordEncoder.matches 方法来进行的。

结构化思维wz
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity框架跳过加密步骤直接验证用户密码
快敲代码去
06-29 4484
程序内获取到用户的username和password,构造User对象,框架自动对密码进行加密然后和数据库中的密码作比较,得出结果。如果这里的密码是密文(直接从数据库中获得),那么你在构造User对象的时候,框架会再加密一遍,这样和库中密码匹配的时候肯定是错误的。在password字段前添加即可,这样后面会直接使用你传入的密码(不会再次加密)进行操作。......
Spring security密码加密实现代码实例
08-19
Spring Security 密码加密实现代码实例 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,它提供了一种灵活的方式来管理应用程序的安全性。密码加密Spring Security 中的一个关键组件,本文将...
Spring Security】解答Spring Boot 中密码加密的正确方式?
讯开技术孵化器博客
05-24 817
Spring Boot 项目中密码如何加密 先说一句:密码是采用非对称加密是无法解密的。密码无法解密,还是为了确保系统安全。今天就来和大家聊一聊,密码要如何处理,才能在最大程度上确保我们的系统安全。密码加密我们一般会用到散列函数,又称散列算法、哈希函数,这是一种从任何数据中创建数字“指纹”的方法。 散列函数把消息或数据压缩成摘要,使得数据量变小,将数据的格式固定下来,然后将数据打乱混合,重新创建一个散列值。散列值通常用一个短的随机字母和数字组成的字符串来代表。好的散列函数在输入域中很少出现散列冲突。在散列表
Spring security 密码加密问题
珍惜
05-08 9679
Spring security 密码加密问题1、问题描述2、问题分析3、问题解决4、总结 1、问题描述 主要就是这句异常:There is no PasswordEncoder mapped for the id "null" 2020-05-08 20:57:05.522 ERROR 10712 --- [nio-8006-exec-7] o.a.c.c.C.[.[.[/].[dispatcherServlet] : Servlet.service() for servlet [dispatcher
爆破专栏丨Spring Security系列教程之SpringSecurity中的密码加密_spring(2)
最新发布
2401_84102759的博客
05-14 929
提前多熟悉阿里往年的面试题肯定是对面试有很大的帮助的,但是作为技术性职业,手里有实打实的技术才是你面对面试官最有用的利器,这是从内在散发出来的自信。备战阿里时我花的最多的时间就是在学习技术上,占了我所有学习计划中的百分之70,这是一些我学习期间觉得还是很不错的一些学习笔记我为什么要写这篇文章呢,其实我觉得学习是不能停下脚步的,在网络上和大家一起分享,一起讨论,不单单可以遇到更多一样的人,还可以扩大自己的眼界,学习到更多的技术,我还会在csdn、博客、掘金等网站上分享技术,这也是一种学习的方法。今天就分享到这
Spring Security密码加密(AES)
酷酷的馫博客
07-09 3808
Spring Security密码加密(AES)
SpringSecurity5.0.8入门:密码加密,自定义登录页面
cassiel-卡希尔.cn
09-28 2160
一、什么是SpringSecurity Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用...
Spring Security使用数据库认证及用户密码加密和解密功能
08-24
Spring Security 使用数据库认证及用户密码加密和解密功能 Spring Security 是一个基于 Java 的安全框架,提供了强大的身份验证、授权和访问控制功能。为了提高系统安全性,Spring Security 提供了多种身份验证机制...
spring security 5.x实现兼容多种密码加密方式
08-28
Spring Security 5.x 版本中,它提供了对多种密码加密方式的兼容性,以适应不同场景下的安全性需求。本文将深入探讨如何在 Spring Security 中实现这种兼容性,并通过实例进行演示。 首先,Spring Security 提供...
12 Spring Security 密码加密.mp4
05-15
12 Spring Security 密码加密.mp4
Spring security 自定义密码加密方式的使用范例。
09-15
本示例将介绍如何在Spring Security中自定义密码加密方式,以及如何处理认证成功和失败的情况。 首先,我们需要了解Spring Security的基本架构。它主要包括以下组件: 1. **Filter Security Chain**:这是Spring ...
SpringBoot集成Spring Security(2)——密码校验
风清云淡
11-23 2599
一、前言 在上一篇《SpringBoot集成Spring Security(1)——登录认证》中已经做了Spring Security的基本入门,可以登录和做角色校验,这其中有一点比较好奇的就是密码校对这块。 二、简要分析 下面通过源码简单的来了解下Spring Security密码校对这块,在上一篇博客中代码示例里的SecurityConfig里面,我们自己配置了一个密码编码器,然后在检验过程中就会获取改密码编码器,拿到数据库中该用户的密码和你前端传进来的密码,调用matches方法进行校验。
SpringBootSecurity(用户密码加密&加密后用户的校验)
weixin_46588020的博客
07-10 1902
SpringBootSecurity(用户密码加密&加密后用户的校验)
spring security 5.0 密码加密报错
08-14 361
使用springsecurity5.0后,配置文件中直接写普通的密码如:123456,会报错: java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null" 这是因为spring security5.0以后默认需要选择密码加密方式,如果还像之前版本直接配置未加密密码,...
Spring Security加密策略
热门推荐
12-24 1万+
Acegi 对于密码提供三种方式:明文及不采用任何加密方式、MD5加密方式、哈希算法加密方式。 只需要在DAO的认证管理器中分别加入以下对应配置: 第一种:不使用任何加密方式的配置 <bean id="daoAuthenticationProvider" class="org.acegisecurity.providers.dao.DaoAuthenticationProvid
spring security 加密问题
dlfseeit
03-16 106
[size=medium] 问题1. 之前user表中有一条数据,后来配置文件中加了md5加密之后,就无法登陆了,因为数据库中 的数据是未经过加密的,所以产生不符合。 新增一条数据又可以恢复正常 [/size]...
Spring Security之解决密码加密后登录问题(六)
sygg12345666的博客
11-01 1264
Spring Security之解决密码加密后登录问题(六) 在之前我们写过的Spring Security之使用数据库完成用户登录和注销(二)案例中增加一些操作 在Spring-Security.xml配置文件中配置加密方式 <!-- 切换成数据库中的用户名和密码 --> <security:authentication-manager> <security:authentication-provider user-service-re
spring security单点登录跳过密码验证
weixin_43082983的博客
10-27 8526
spring security单点登录跳过密码验证
spring security密码加密
07-25
Spring Security中,可以使用多种...除了`BCryptPasswordEncoder`,Spring Security还提供了其他一些密码加密方式,如`StandardPasswordEncoder`和`NoOpPasswordEncoder`。你可以根据具体需求选择适合的加密方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值