BCryptPasswordEncoder的使用及原理

已于 2023-08-20 10:02:01 修改
阅读量2.1w 收藏 91
点赞数 29
分类专栏: 后端功能 Java Language 文章标签: spring boot java spring
于 2021-12-04 18:58:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/easysec/article/details/121719949
版权

       在 Spring Security 中有一个加密的类 BCryptPasswordEncoder ,它的使用非常的简单而且也比较有趣。让我们来看看它的使用。

BCryptPasswordEncoder 的使用

        首先创建一个 SpringBoot 的项目,在创建项目的时候添加 Spring Security 的依赖。然后我们添加一个测试类,写如下的代码:

final private String password = "123456";

@Test
public void TestCrypt()
{
    BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();

    String encode1 = bCryptPasswordEncoder.encode(password);
    System.out.println("encode1:" + encode1);
    
    String encode2 = bCryptPasswordEncoder.encode(password);
    System.out.println("encode2:" + encode2);
}

        上面的代码中,首先实例化了一个 BCryptPasswordEncoder 类,然后使用该类的 encode 方法对同一个明文字符串进行了加密,并输出。运行上面的代码,查看输出。

encode1:$2a$10$SqbQb0pD3KYrH7ZVTWdRZOhPAelQqa..lUnysXoWag6RvMkyC5SE6
encode2:$2a$10$0sjBLlwrrch2EjgYls197e9dGRCMbQ7KUIt/ODPTSU0W.mEPaGkfG

        从上面的输出可以看出,同一个明文加密两次,却输出了不同的结果。是不是很神奇?但是这样有一个问题,如果使用 BCryptPasswordEncoder 去加密登录密码的话,还能进行验证么?当然是可以验证的。验证的话,使用的是 BCryptPasswordEncoder 的 matches 方法,代码如下。

final private String password = "123456";

@Test
public void TestCrypt()
{
    BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();

    String encode1 = bCryptPasswordEncoder.encode(password);
    System.out.println("encode1:" + encode1);

    boolean matches1 = bCryptPasswordEncoder.matches(password, encode1);
    System.out.println("matches1:" + matches1);

    String encode2 = bCryptPasswordEncoder.encode(password);
    System.out.println("encode2:" + encode2);

    boolean matches2 = bCryptPasswordEncoder.matches(password, encode2);
    System.out.println("matches2:" + matches2);
}

       使用 matches 方法可以对加密前和加密后是否匹配进行验证。输出如下:

encode1:$2a$10$qxU.rFLeTmZg47FyqJlZwu.QNX9RpEvqBUJiwUvUE0p4ENR.EndfS
matches1:true
encode2:$2a$10$NyGEOsQ1Hxv2gvYRmaEENueORlVDtSqoB/fHN76KkvQDeg7fbTy22
matches2:true

       可以看到两次加密后的字符串虽然不同,但是通过 matches 方法都可以匹配出它们是 “123456” 这个明文加密的结果。同样很神奇,这是为什么呢?

encode 和 matches 方法的原理

       我们通过源码来看看它们的原理吧。

       首先我们将依赖的源码下载到本地,方便我们进行调试。开始我使用 IDEA 进行调试时是没有源码的,后来下载了源码,发现没有源码时调试的是 Class 文件,IDEA 提供了 Class 文件与源码等价的反编译代码。而源码逻辑性更好一些。

       首先在 encode 代码处下断点,然后我们单步步入,去查看 encode 的实现,代码如下:

@Override
public String encode(CharSequence rawPassword) {
  if (rawPassword == null) {
    throw new IllegalArgumentException("rawPassword cannot be null");
  }
  String salt = getSalt();
  return BCrypt.hashpw(rawPassword.toString(), salt);
}

       直接运行到 return 语句处,查看一下 salt 的值,该值如下:

$2a$10$H73jYFFLWWf.VV/mwonqru

        然后继续单步步入到 BCrypt.hashpw 方法内,该方法代码如下:

public static String hashpw(String password, String salt) {
  byte passwordb[];

  passwordb = password.getBytes(StandardCharsets.UTF_8);

  return hashpw(passwordb, salt);
}

        该方法的重点同样是 hashpw 方法,没有做什么处理,继续进入 hashpw 方法中。代码如下:

public static String hashpw(byte passwordb[], String salt) {
  BCrypt B;
  String real_salt;
  byte saltb[], hashed[];
  char minor = (char) 0;
  int rounds, off;
  StringBuilder rs = new StringBuilder();

  if (salt == null) {
    throw new IllegalArgumentException("salt cannot be null");
  }

  int saltLength = salt.length();

  if (saltLength < 28) {
    throw new IllegalArgumentException("Invalid salt");
  }

  if (salt.charAt(0) != '$' || salt.charAt(1) != '2') {
    throw new IllegalArgumentException("Invalid salt version");
  }
  if (salt.charAt(2) == '$') {
    off = 3;
  }
  else {
    minor = salt.charAt(2);
    if ((minor != 'a' && minor != 'x' && minor != 'y' && minor != 'b') || salt.charAt(3) != '$') {
      throw new IllegalArgumentException("Invalid salt revision");
    }
    off = 4;
  }

  // Extract number of rounds
  if (salt.charAt(off + 2) > '$') {
    throw new IllegalArgumentException("Missing salt rounds");
  }

  if (off == 4 && saltLength < 29) {
    throw new IllegalArgumentException("Invalid salt");
  }
  rounds = Integer.parseInt(salt.substring(off, off + 2));

  real_salt = salt.substring(off + 3, off + 25);
  saltb = decode_base64(real_salt, BCRYPT_SALT_LEN);

  if (minor >= 'a') {
    passwordb = Arrays.copyOf(passwordb, passwordb.length + 1);
  }

  B = new BCrypt();
  hashed = B.crypt_raw(passwordb, saltb, rounds, minor == 'x', minor == 'a' ? 0x10000 : 0);

  rs.append("$2");
  if (minor >= 'a') {
    rs.append(minor);
  }
  rs.append("$");
  if (rounds < 10) {
    rs.append("0");
  }
  rs.append(rounds);
  rs.append("$");
  encode_base64(saltb, saltb.length, rs);
  encode_base64(hashed, bf_crypt_ciphertext.length * 4 - 1, rs);
  return rs.toString();
}

       代码很长,但是真正关键的代码在上面第 43 、44 和 51 行的位置处,43 行处获取真正的 salt ,44 行是使用 base64 进行解码,然后 51 行用 密码、salt 进行处理。在来看看返回值是 rs,在第 63 行和 64 行,对 salt 进行 base64 编码后放入了 rs 中,然后对 hashed 进行 base64 编码后也放入了 rs 中,最后 rs.toString() 返回。

        虽然上面代码很长,其实真正关键的就只有上面我提到的几句,其余的部分不用看。我们接着看 matches 的源码,同样单步进入,代码如下:

@Override
public boolean matches(CharSequence rawPassword, String encodedPassword) {
  if (rawPassword == null) {
    throw new IllegalArgumentException("rawPassword cannot be null");
  }
  if (encodedPassword == null || encodedPassword.length() == 0) {
    this.logger.warn("Empty encoded password");
    return false;
  }
  if (!this.BCRYPT_PATTERN.matcher(encodedPassword).matches()) {
    this.logger.warn("Encoded password does not look like BCrypt");
    return false;
  }
  return BCrypt.checkpw(rawPassword.toString(), encodedPassword);
}

        单步到第 14 行的 return 处,这里调用 BCrypt.checkpw 的方法,rawPassword.toString() 是我们的密码,即 ”123456“, 后面的 encodePassword 是我们加密后的密码,单步步入进去,代码如下:

public static boolean checkpw(String plaintext, String hashed) {
  return equalsNoEarlyReturn(hashed, hashpw(plaintext, hashed));
}

        这里只有一行代码,但是代码中同样调用了前面的 hashpw 这个方法,传入的参数是 plaintext 和 hashed,plaintext 是我们的密码,即 “123456”, hashed 是加密后的密码。到这里基本就明白了。hashed 在进入 hashpw 函数后,会通过前面说到第 43 行代码取出真正的 salt,然后对通过 salt 和 我们的密码进行加密,这样流程就串联起来了。

总结

       当时看到使用 BCryptPasswordEncoder 时,同样的密码可以生成不同的 密文 而且还可以通过 matches 方法进行匹配验证,觉得很神奇。后来经过调试发现,密文中本身包含了很多信息,包括 salt 和 使用 salt 加密后的 hash。因为每次的 salt 不同,因此每次的 hash 也不同。这样就可以使得相同的 明文 生成不同的 密文,而密文中包含 salt 和 hash,因此验证过程和生成过程也是相同的。

        附一张大致的调用关系流程图,供大家参考。

图片

图片

码农UP2U
关注
  • 29
    点赞
  • 91
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 7
    评论
专栏目录
SpringWebRecap
07-01
#Spring安全: ##第一个解决方案: Encodage password dans le services en locurrence UserService avant la sauvgarde en BD public User save( User u) { BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder (); String hashedPassword = passwordEncoder . encode(u . getPassword()); u . setPassword(hashedPassword); return dao . save(u); } 配置 de spring-security.xml 连接 avec mpd 编码器: < authenti
浅谈SpringSecurity的BCryptPasswordEncoder
Mr_XiMu的博客
06-22 1891
浅谈SpringSecurity的BCryptPasswordEncoder
BCryptPasswordEncoder 注册以及忘记密码
m0_53611007的博客
08-11 1526
注册: @ResponseBody @PostMapping("/register") public ResultJson saveOrUpdate( String username,String password,String aginPassword){ if(!password.equals(aginPassword)){ //后端验证两次密码输入是否正确 return ResultJson.failu
PasswordEncoder原理
0
01-30 547
Hash算法特别的地方在于它是一种单向算法,用户可以通过hash算法对某个数据生成一段特定长度的唯一hash值,却不能通过这个hash值逆向获取原始数据。因此Hash算法常用在不可还原的密码存储、数据完整性校验等领域。BCryptPasswordEncoder 是Spring Security推荐使用PasswordEncoder接口实现类。(盐的作用就是每次做出来的菜味道都不一样)。PasswordEncoder 是Spring Scurity框架内处理密码加密与校验的接口。
springsecurityJAR包
06-13
springsecurity中使用MD5编码所需要的JAR包,包括org.springframework.security.authentication.encoding.Md5PasswordEncoder
SpringHibernateUsingMySql-OpenShift:网页管理系统
05-16
作者 用户名:[email protected] 密码:-1234 项目功能 SpringMVC Spring安全 冬眠 玛文 JSP 邮件API 文件上传 文件压缩器 带有文件上传功能的Ajax呼叫 JSTL JSP HTML CSS jQuery的 JS 引导带 Sweet Alert JS 基本仪表板 基本资料 使用Hibernatec3p0进行连接拉 邮件API配置 ViewResolver配置 生成您自己的密码org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder 导入org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; public static void main(String[] args) {
Spring security BCryptPasswordEncoder密码验证原理详解
08-24
主要介绍了Spring security BCryptPasswordEncoder密码验证原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
BCryptPasswordEncoder加密
热门推荐
superxmh的博客
07-05 2万+
一. BCryptPasswordEncoder介绍 BCryptPasswordEncoder是Spring Security中的一个加密方法。BCryptPasswordEncoder方法采用了SHA-256+随机盐+密钥对密码进行加密。 SHA:安全Hash函数(SHA)是使用最广泛的Hash函数 加密算法与hash算法的区别: 加密算法是可逆的,加密算法的基本过程是对原来为明文的数据按某种算法进行处理,使其成为不可读的一段代码为“密文”,但在用相应的密钥进行操作之后就可以得到原来的内容。..
加密算法---BCryptPasswordEncoder的使用原理
weixin_43811057的博客
02-08 8500
spring security中的BCryptPasswordEncoder方法采用SHA-256 +随机盐+密钥对密码进行加密。SHA系列是Hash算法,不是加密算法,使用加密算法意味着可以解密(这个与编码/解码一样),但是采用Hash处理,其过程是不可逆的。1)加密(encode):注册用户时,使用SHA-256+随机盐+密钥把用户输入的密码进行hash处理,得到密码的hash值,然后将其存入数据库中。
SpringSecurity】BCrypt密码加密和解密 一文学会使用BCryptPasswordEncoder
一只文森特
01-02 1万+
BCryptPasswordEncoder 是 Spring Security 官方推荐的密码解析器。它内部自己实现了随机加盐处理,每次加密后的密文其实都是一样的,这样就方便了MD5通过大数据的方式进行破解。
重置密码功能
qq_43026206的博客
11-16 1177
修改用户密码
bcrypt.net:BCrypt.Net-为原始bcrypt程序包带来更新
02-04
bcrypt.net-下一个 具有增强的安全性,缺少的修补程序,功能和更好的.net支持的bcrypt.codeplex.com移植。 努吉特 使用nuget或Paket下载( ) 包裹: : 签名包-https: 如何使用 最简单的用法如下... 散列密码: string passwordHash = BCrypt . HashPassword ( " my password " ); 注意:尽管此库允许您提供自己的盐,但是强烈建议您允许该库为您生成盐。 提供这些方法是为了保持兼容性,以及可能需要使用它们的更高级的跨平台要求。 要针对哈希验证密码(假设您已经存储了哈希
Bcrypt加密相关jar包
09-08
Bcrypt加密类相关jar包
SpringPasswordEncoder:使用spring BCryptPasswordEncoder生成并验证哈希
05-13
SpringPasswordEncoder 一个简单的工具可以生成spring 哈希值,并且还可以验证现有哈希值。...建造$ mvn软件包用法$ java -jar target/spring-password-0.1.0.jar -e : Encode password into hash (default: false) -v ...
springboot_springsecurity_jwt_demo:源码主要用于学习SpringBoot + Spring Security JWT基于数据库的自定义用户详细信息服务实现Spring安全认证,内容包括自定义JWT拦截器,在请求到达目标之前对令牌进行校验,在请求超过的时候,解析请求头中的令牌,重新解析令牌以获得用户信息,再存入SecurityContextHolder中,以及使用BCryptPasswordEncoder方法对密码进行加密与密码匹配,以及AuthenticationEntr
03-23
springboot_springsecurity_jwt_demo
Spring boot Actuator监控管理的快速入门和实战
2301_78646673的博客
04-09 1077
Spring Boot Actuator是Spring Boot提供的一个用于Spring Boot应用程序的功能模块。你可以选择通过使用HTTP端点或使用JMX来管理和监控你的应用程序。审计、健康和指标收集也可以自动应用于你的应用程序。Actuator的定义:actuator(执行器) 是一个制造术语,指的是用于移动或控制某物的机械装置。actuator 可以从一个小的变化中产生大量的运动。
(源码+部署+讲解)基于Spring Boot + Vue的车位租赁系统设计与实现
qq_53582593的博客
04-09 738
通过采用先进的开发技术和合理的架构设计,实现了系统的高效性和易用性。本文基于Spring Boot和Vue技术栈,设计并实现了一款车位租赁系统,旨在提高车位租赁管理的效率和用户体验。通过采用B/S架构和Java技术进行开发,结合Spring Boot框架和Vue前端框架,实现了一个功能完备、操作简便的车位租赁系统。同时,对系统进行了充分的测试和优化,确保系统的稳定性和性能。根据功能模块的需求,设计了相应的数据表,包括用户表、车位信息表、租赁订单表、还车记录表等。通过优化,提高了系统的响应速度和吞吐量。
Spring Boot 统一功能处理(二)
最新发布
qq_66292058的博客
04-13 590
在我们的接口在处理请求时,返回的结果可以说是参差不齐,既可以是一个String类型的数据,又可以是一个Integer类型的数据,这样未免会显得我们的代码很不规范,并且这种不规范的代码还会增加前后端之间的交流成本。因此,我们可以设计一个统一的类来作为所有接口的返回结果。code:由我们自己定义的一个状态码msg:响应结果的描述data:响应的数据下面我们通过代码来具体来实现一下这个类 :这里可以使用泛型来作为data的参数,毕竟返回的数据类型是多种多样的。
SpringSpring Boot的区别:从框架设计到应用开发
ZWH的博客
04-09 1124
SpringSpring Boot都是优秀的Java框架,它们在框架设计、功能特性、应用开发等方面有着显著的区别。Spring致力于解决企业级应用开发中的各种复杂问题,而Spring Boot则着重于简化Spring应用的搭建和配置,提供更便捷的开发体验。根据项目的需求和实际情况,开发者可以灵活选择使用Spring或者Spring Boot来构建应用,以达到最佳的开发效率和性能表现。
bcryptpasswordencoder使用
05-16
BCryptPasswordEncoder 是 Spring Security 提供的加密工具类,可以将密码进行哈希加密,加密过程是不可逆的,可以保护用户的密码安全。 使用 BCryptPasswordEncoder 进行密码加密的步骤如下: 1. 在项目中引入 Spring Security 的依赖。 2. 在 Spring 配置文件中配置 BCryptPasswordEncoder。 ``` <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/> ``` 3. 在代码中使用 BCryptPasswordEncoder 进行密码加密。 ``` @Autowired private PasswordEncoder passwordEncoder; public void createUser(User user){ String encodedPassword = passwordEncoder.encode(user.getPassword()); user.setPassword(encodedPassword); userDao.createUser(user); } ``` 在上述代码中,首先通过 @Autowired 注解注入了 BCryptPasswordEncoder 对象。然后,在创建用户时,调用 encode() 方法对密码进行加密,并将加密后的密码设置到 User 对象中,最后调用 userDao.createUser() 方法保存用户信息。 需要注意的是,每次使用 BCryptPasswordEncoder 进行加密时,生成的哈希值都是不同的。这是因为 BCryptPasswordEncoder 会对密码进行加盐处理,增强密码的安全性。因此,每次对同一个密码进行加密时,得到的哈希值也是不同的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码农UP2U

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值