在spring security3中使用自定义的MD5和salt进行加密

最新推荐文章于 2022-05-05 15:22:42 发布
最新推荐文章于 2022-05-05 15:22:42 发布
阅读量248 收藏
点赞数
原文链接:http://www.cnblogs.com/jpfss/p/11022011.html
版权

首先看代码:

<authentication-manager alias="authenticationManager">
<authentication-provider user-service-ref="myUserDetailsService">
<password-encoder ref="myPasswordEncode">
<salt-source user-property="salt"/>
</password-encoder>
</authentication-provider>
</authentication-manager>
<beans:bean id="myPasswordEncode" class="pw.bany.security.MyPasswordEncode">
<beans:constructor-arg name="encode" value="md5"></beans:constructor-arg>
</beans:bean>


如果我们要自己控制密码权限的验证,可以在配置中使用<password-encoder ref="myPasswordEncode">来指定自己的密码验证类,该类继承自MessageDigestPasswordEncoder。需要我们复写了public boolean isPasswordValid(String savePass, String submitPass, Object salt)方法,如果返回true,表示验证通过。上面代码还为MyPasswordEncode传入encode属性,来设置MyPasswordEncode中encode(本文下面的代码没有用到)。这样在isPasswordValid就可以用到需要加密的算法。isPasswordValid中savePass为数据库中加密保存的密码,submitPass为用户登录时提交的明文密码。 

@Override
// 如果返回true,则验证通过。
public boolean isPasswordValid(String savePass, String submitPass,
Object salt) {
return savePass.equalsIgnoreCase(Util.MD5WithSalt(submitPass,
salt.toString()));
}

Util.MD5WithSalt(submitPass,salt.toString()),是我们的加密方法,此处没贴出源码,网上很多。这里的salt需要特别注意一下,怎么才能把数据库中的salt传过来的问题。

上面配置中使用了<salt-source user-property="salt"/>来指定salt,但是系统是怎么知道在数据库中的salt字段呢?其实这里实际上是指定了org.springframework.security.core.userdetails.User中的一个属性,但是这个类中并没有这个属性,此时,需要我们重写这个类,为该类加入salt属性。

package pw.bany.security;
import java.util.Collection;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.User;
public class SaltedUser extends User {
private String salt;
public SaltedUser(String username, String password, boolean enabled,
boolean accountNonExpired, boolean credentialsNonExpired,
boolean accountNonLocked,
Collection<? extends GrantedAuthority> authorities, String salt) {
super(username, password, enabled, accountNonExpired,
credentialsNonExpired, accountNonLocked, authorities);
this.salt = salt;
}
public String getSalt() {
return salt;
}
public void setSalt(String salt) {
this.salt = salt;
}
}

完成这里之后,还是不够的,因为重载的类只是有了这个属性,但是还是不知道如何从数据库中获取。要做到这个其实很简单,我们只需要修改myUserDetailsService中loadUserByUsername的返回值:

@Override
public UserDetails loadUserByUsername(String username)
throws UsernameNotFoundException {
Collection<GrantedAuthority> auths = new ArrayList<GrantedAuthority>();
User user = null;
try {
user = userDao.getUserByName(username);
if (user == null)
throw new UsernameNotFoundException("用户" + username + "不存在!");
List<String> rolenames = userDao.loadRolesByUserName(username);
System.err.println("用户拥有角色有:");
for (String rolename : rolenames) {
SimpleGrantedAuthority authority = new SimpleGrantedAuthority(
rolename);
auths.add(authority);
System.err.println(rolenames);
}
} catch (Exception e) {
e.printStackTrace();
}
System.err.println(auths.size());
boolean isEnabled = true;
boolean accountNonExpired = true;
boolean credentialsNonExpired = true;
boolean accountNonLocked = true;
if (!user.getStatus().equalsIgnoreCase("enabled")) {
isEnabled = false;
}
return new SaltedUser(user.getUsername(), user.getPassword(),
isEnabled, accountNonExpired, credentialsNonExpired,
accountNonLocked, auths, user.getSalt());
}

如上面红色代码部分,一看便知。
 

原文地址:https://blog.csdn.net/zavens/article/details/17165833

转载于:https://www.cnblogs.com/jpfss/p/11022011.html

WGH100817
关注
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Boot+Spring Security使用md5加密
weixin_45863786的博客
03-21 645
(1)JDK版本:1.8 (2)Spring Boot 2.0.6 (3)Spring Security 5.0.9 (4)Spring Data JPA 2.0.11.RELEASE (5)hibernate5.2.17.Final (6)MySQLDriver 5.1.47 (7)MySQL 8.0.12 需求缘起 很多时候,我们自己已经有现成的一套系统在运...
循序渐进学spring security 第八篇,如何配置密码加密?是否支持多种加密方案?
huangxuanheng的专栏
07-29 1079
文章目录回顾密码明文会带来什么问题?如何加密?PasswordEncoder 加密接口如何配置?加密的密码在登录的时候是怎么校验的?默认的加密是什么?DaoAuthenticationProvider 是怎么初始化的?怎么设置用户配置的PasswordEncoder? 回顾 前面我们介绍了spring security的登录验证,涉及到密码的都是明文存储,明文匹配的,这在企业项目开发是不允许的,要是不小心被客户知道了,会投诉企业,指不定会破产,好了,在阅读本文之前,建议先看我之前的文章,方便更好的理解!
SpringSecurity框专题(七) - 自定义加密
刘树之的博客
09-03 1051
文章目录1.MD5加密工具类2.自定义加密器3.修改 security 配置文件 虽然 spring security 已经提供了比较完善的加密机制,但是有时根据业务需求需要定制自己的加密方式。 spring security 提供了加密扩充的接口,下文主要介绍如何在 spring security 添加自定义加密器。 1.MD5加密工具类 package com.bruce.utils; import java.security.MessageDigest; /** * @program: St
SpringBoot Security 自定义登录验证逻辑+密码加盐
℡メ㏑╭ァ小凯
03-24 2741
密码加盐思路 JAVA 加盐加密方法_Teln_小凯的博客-CSDN博客 盐加密方法 @ApiOperation(value = "002-加密") @PreAuthorize("hasAuthority('sys:app:all')") @GetMapping(value = "/encodePassword") public HttpResult encodePassword(String password,String salt){ String pwd
Spring securityMD5加密和StandardPasswordEncoder的配置详解
chengzhiji7379的博客
10-13 7594
1、MD5加盐值进行加密处理 springsecurity.xml文件配置:(springsecurity.xml是spring安全的配置) <authentication-manager> <authentication-provider user-se...
Spring Security3》第四章第三部分翻译上(配置安全的密码)
张卫滨的技术记录
07-31 113
  配置安全的密码          我们回忆第一章:一个不安全应用的剖析,审计人员认为密码以明文形式进行存储是最高优先级的安全风险。实际上,在任何安全系统,密码安全都是保证已经经过认证的安全实体是真实可靠的重要方面。安全系统的设计人员必须保证密码存储时,任何恶意的用户想要进行破解都是非常困难的。          在数据库存储时,需要遵守以下的准则: l  密码不能以明文的形式进行存...
Spring security 自定义密码加密方式的使用范例。
09-15
Spring Security,默认使用的是BCryptPasswordEncoder或者PBEWithMD5AndDES等加密算法。但为了满足特定需求,我们可以自定义密码编码器。下面是如何实现的步骤: 1. **创建自定义PasswordEncoder**:你需要创建...
MD5加密 + Bcrypt加密 + Spring Security加密 笔记
qq_39234639的博客
01-08 3119
MD5加密 + Bcrypt加密 + Spring Security加密 笔记
SpringSecurity+JWT+自定义MD5加盐值校验
qq_42264638的博客
05-05 2370
SpringSecurity+JWT+自定义MD5加盐值校验
java 登陆验证的盐_使用Spring安全性的自定义密码盐
weixin_34466909的博客
02-16 290
我想用bcrypt和Spring安全性哈希和盐用户密码 .这是我的用户模型(我删除了无用的代码):public class User {private Integer id;private String email;private String hashedPassword;private String salt; //I want to use this salt.private Boolean...
Spring Security 的盐值加密
一光年
05-08 7708
Spring Security 文档有这么一句话: "盐值的原理非常简单,就是先把密码和盐值指定的内容合并在一起,再使用md5对合并后的内容进行演算,这样一来,就算密码是一个很常见的字符串,再加上用户名,最后算出来的md5值就没那么容易猜出来了。因为攻击者不知道盐值的值,也很难反算出密码原文。"      呵呵, 问题如何理解这句话: "先把密码和盐值指定的内容合并在一起,再使用md5
[spring security 那点事儿]配置方式
quzishen的专栏
09-02 1万+
这段时间一直开发的B2C的网购平台已经完成了将近一半的功能,突然觉得自己之前对于权限管理方面的hold决定将给后面带来不小的工作量,所以决定现在就加入权限判断的功能。很容易联想到spring security来做这个事情,先看看一个官方文档的翻译版本:http://www.family168.com/tutorial/springsecurity/html/springsecurity.html写的有些简略,但是足以能step by step的执行下去。这里总结一下今天通过命名空间方式的配置过程吧。既然要做
sha salt java,Spring Security salt 的最佳使用
weixin_36464343的博客
03-27 400
salt, 盐, 用来做什么? 自己搜索下吧, 不解释这个基础的问题.Spring Security使用salt 有以下方式:1.不使用 salt (强烈不推荐)配置如下使用 sha-256 加密2.使用固定的salt 值 (不推荐)配置如下此处配置的固定值: my-salt3.使用UserDetails的一个属性值, 通过反射动态...
简单的Spring Security实例(自定义登录验证)
热门推荐
萧逸才的博客
08-28 1万+
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企
Java返回体去掉指定字段
Dyeln的博客
01-11 6000
在定义的返回体结构需要忽略指定字段可以使用如下方法:例如 @Getter(onMethod = @__( @JsonIgnore)) private String salt;
spring security之密码加密和查看已登录用户
远方的少年
03-19 5354
        在实际开发,我们保存用户的密码在数据库都是经过加密的,通常都是使用md5加密,这是为了安全起见,否则别人一进入数据库就能看到所有人的密码,这样太不安全了,spring security提供了密码加密的一个配置,这样我们在登录时,它会自动的将用户输入的密码和数据库里面的密码进行匹配,而用户是毫无感知的。      很简单,只需要加上这样的一条配置即可。     &lt;passw...
SpringSecurity加密Salt
weixin_34247032的博客
03-04 326
Spring Security 加密,默认加salt的输出为:password{salt};然后再对这个加salt后的密码加密存储。 源码如下: protected String mergePasswordAndSalt(String password, Object salt, boolean strict) { if(password == null) { passwo...
Spring Security3 安全框架文教程
"Spring Security3 文学习文档,由lengyun3566翻译并整理,涵盖Spring Security3的各个方面,包括使用方法和原理,适合Spring Security的学习者。" Spring Security是一个强大的、高度可定制的安全框架,专为Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值