spring security BCryptPasswordEncoder加密解密,不错的随机盐,不错的加密解密方法

最新推荐文章于 2022-10-28 21:31:34 发布
最新推荐文章于 2022-10-28 21:31:34 发布
阅读量780 收藏 3
点赞数
原文链接:http://www.cnblogs.com/jpfss/p/11023906.html
版权

项目中用这个加密感觉不错啊,推荐:

1.先大体看看,了解一下

浅谈使用springsecurity中的BCryptPasswordEncoder方法对密码进行加密(encode)与密码匹配(matches)

spring security中的BCryptPasswordEncoder方法采用SHA-256 +随机盐+密钥对密码进行加密。SHA系列是Hash算法,不是加密算法,使用加密算法意味着可以解密(这个与编码/解码一样),但是采用Hash处理,其过程是不可逆的。

(1)加密(encode):注册用户时,使用SHA-256+随机盐+密钥把用户输入的密码进行hash处理,得到密码的hash值,然后将其存入数据库中。

(2)密码匹配(matches):用户登录时,密码匹配阶段并没有进行密码解密(因为密码经过Hash处理,是不可逆的),而是使用相同的算法把用户输入的密码进行hash处理,得到密码的hash值,然后将其与从数据库中查询到的密码hash值进行比较。如果两者相同,说明用户输入的密码正确。

这正是为什么处理密码时要用hash算法,而不用加密算法。因为这样处理即使数据库泄漏,黑客也很难破解密码(破解密码只能用彩虹表)。

 

任何应用考虑到安全,绝不能明文的方式保存密码。密码应该通过哈希算法进行加密。有很多标准的算法比如SHA或者MD5,结合salt(盐)是一个不错的选择。 Spring Security 提供了BCryptPasswordEncoder类,实现Spring的PasswordEncoder接口使用BCrypt强哈希方法来加密密码。

BCrypt强哈希方法 每次加密的结果都不一样。

---------------------------------------------------------------------------------------------------------------

2.这里BCryptPasswordEncoder看看他怎么用:

作者:知乎用户
链接:https://www.zhihu.com/question/54720851/answer/288322108
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
 

学习到这一块,查看了一些源码。以BCryptPasswordEncoder为例

public class BCryptPasswordEncoderTest {
    public static void main(String[] args) {
        String pass = "admin";
        BCryptPasswordEncoder bcryptPasswordEncoder = new BCryptPasswordEncoder();
        String hashPass = bcryptPasswordEncoder.encode(pass);
        System.out.println(hashPass);

        boolean f = bcryptPasswordEncoder.matches("admin",hashPass);
        System.out.println(f);

    }
}

可以看到,每次输出的hashPass 都不一样,
但是最终的f都为 true,即匹配成功。

查看代码,可以看到,其实每次的随机盐,都保存在hashPass中。

在进行matchs进行比较时,调用BCrypt 的String hashpw(String password, String salt)

方法。两个参数即”admin“和 hashPass

//******BCrypt.java******salt即取出要比较的DB中的密码*******
real_salt = salt.substring(off + 3, off + 25);
try {
// ***************************************************
    passwordb = (password + (minor >= 'a' ? "\000" : "")).getBytes("UTF-8");
}
catch (UnsupportedEncodingException uee) {}
saltb = decode_base64(real_salt, BCRYPT_SALT_LEN);
B = new BCrypt();
hashed = B.crypt_raw(passwordb, saltb, rounds);

假定一次hashPass为:$2a$10$AxafsyVqK51p.s9WAEYWYeIY9TKEoG83LTEOSB3KUkoLtGsBKhCwe

随机盐即为 AxafsyVqK51p.s9WAEYWYe

(salt = BCrypt.gensalt();中有描述)

可见,随机盐(AxafsyVqK51p.s9WAEYWYe),会在比较的时候,重新被取出。

即,加密的hashPass中,前部分已经包含了盐信息。

--------------------------------------------------------------------------------------------------------------------

3.在springcloud中整合,下面说的也不清楚。。。。。

好了废话不多说,就看怎么整合吧。。

1. 修改 WebSecurityConfig

    @Autowired
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(customUserService).passwordEncoder(new BCryptPasswordEncoder());
    }
  •  

这样配置就好了。但是关于怎么初始化密码呢,和注册用户的时候怎么给密码加密呢?

  public SysUser create(User u user){
        //进行加密
        BCryptPasswordEncoder encoder =new BCryptPasswordEncoder();
        sysUser.setPassword(encoder.encode(user.getRawPassword().trim()));
        userDao.create(user);
    return sysUser;
  •  

虽然每次 BCryptPasswordEncoder 的 encoder 结果都不一样,但是存贮其中一次加密结果 也能够验证成功

2019/06/14更新

这个在新版本中是的结果不是上面知乎演示的结果,新版中是按照一列类规则进行验证的,加密结果前面并不包含盐

原文地址:https://blog.csdn.net/lidew521/article/details/82463736

转载于:https://www.cnblogs.com/jpfss/p/11023906.html

WGH100817
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
理解SpringSecurity中的PasswordEncoder接口
冲出仁川,走出马德里,故事还会再继续
02-14 2178
理解SpringSecurity中的PasswordEncoder接口1、理解PasswordEncoder接口1.1 PasswordEncoder接口的定义1.2 实现PasswordEncoder接口1.2.1 明文管理密码NoOpPasswordEncoder1.2.2实现使用SHA-512的PasswordEncoder1.3 从PasswordEncoder提供的实现中选择2、身份验证流程中的主要接口总结 1、理解PasswordEncoder接口 下图回顾了PasswordEncoder在身份
加密解密工具支持随机(带源码)
02-12
一个多功能加密解密工具,支持QQtools、MD5、DES、AES、SHA256、Base64 等多种加密解密方式,并支持随机,附有源码,可直接编译使用。
Spring Security BCryptPasswordEncoder 密码加
biubiubiubibibi的博客
10-28 2108
Spring Security BCryptPasswordEncoder 密码加
BCryptPasswordEncoder 加密
qq_40794266的博客
03-19 7054
Spring Security中的BCryptPasswordEncoder方法采用SHA-256 +随机+密钥对密码进行加密。SHA系列是Hash算法,不是加密算法,使用加密算法意味着可以解密(这个与编码/解码一样),但是采用Hash处理,其过程是不可逆的。 传统的MD5加密 传统的md5 ,虽然是不可逆算法,但是还是有很大的方法获取原密码 虽然方法并不可靠(超大容量,存储md5密文...
springsecurity 中的 BCrypt 加密算法
ChineseSoftware的博客
02-21 3221
一、简介 1️⃣BCrypt 加密:一种加的单向 Hash,不可逆的加密算法,同一种明文,每次加密后的密文都不一样,而且不可反向破解生成明文,破解难度很大。每次加密的时候首先会生成一个随机数就是,之后将这个值与明文密码进行 hash,得到 一个hash值存到数据库中。其中生成的 hash 值中包含了之前生成的值(22个字符),用于后续 hash 值验证。 2️⃣MD5 加密:是不加的单向 Hash,不可逆的加密算法,同一个密码经过 hash 的时候生成的是同一个 hash 值,在大多数的情况下,有
BCryptPasswordEncoder的使用及原理
热门推荐
码农UP2U
12-04 2万+
Spring Security 中有一个加密的类 BCryptPasswordEncoder ,它的使用非常的简单而且也比较有趣。让我们来看看它的使用。 BCryptPasswordEncoder 的使用 首先创建一个 SpringBoot 的项目,在创建项目的时候添加 Spring Security 的依赖。然后我们添加一个测试类,写如下的代码: final private String password = "123456"; @Test public v......
Spring Security 框架详解
m0_71202849的博客
08-25 1392
默认情况下,Spring Security有默认的登录页,输入用户名、密码后,是由Spring Security自动接收登录请求,然后进行处理的,如果登录成功,会自动跳转到此前访问的页面,如果登录失败,会将错误信息提示到默认的登录页上。这不是前后端分离的做法(服务器端处理了登录后,不响应JSON结果)不便于处理细节,例如使用Validation框架验证请求参数的格式。
Spring Security 登录注册时使用Bcrypt加进行加密
程序和我有一个能跑就行了
12-24 4077
对于加密来说,MD5和SHA都比较流行。所谓加,无非是生成一个随机的salt在数据存储时提高数据的安全性,防止不法分子盗取用户个人信息。虽然MD5进行加密是不可逆的,但还是有弊端的。 举个简单的例子来说:如果数据库当中不同用户存储了相同的密码值,那么当知道其中一个用户的密码后就可以窥探出相同密码的用户,这样是很不安全的,因此如果使用MD5加密,我们都会选择对数据进行加密存储——MD5 ha...
Eureka 认证性能问题
搞事情的博客
07-29 556
很久没有更新博客了,实在太忙。 最近升级Eureka 发现 CPU 经常跑满,导致很多Eureka Client 实例连接 Eureka Server 出现异常。跟了一下代码发现罪魁祸首竟然是 Spring Security 的 PasswordEncoder 出现性能问题; 默认 PasswordEncoder 是BCryptPasswordEncoder 每次encode 需要几百毫秒,慢的时候甚至超过一秒。所以觉得降低安全性使用MessageDigestPasswordEncoder("MD5..
记一次使用BCryptPasswordEncoder,设置了不合理参数导致耗时严重的坑
通往未来的路
03-04 1527
导读 在项目开发中,越来越重视安全相关的功能。在使用Spring Boot进行项目开发的时候,使用Spring Security框架是一个不错的选择。 开发登录认证功能的时候,一般情况都不会将原始密码明文存储到数据库中,那么就需要对密码进行加密Spring Security推荐使用的是BCryptPasswordEncoder,说明它有可取之处。 问题 问题:在登录认证的时候,每次均需耗费5S以上的时间,这是用户无法忍受的事情。 排查过程:通过visualVM 的线程Dump的信息发现,在自定义的认证过滤
Spring Security使用数据库认证及用户密码加密解密功能
08-24
主要介绍了Spring Security使用数据库认证及用户密码加密解密,本文通过代码与截图的形式给大家介绍的非常详细,对大家的工作或学习具有一定的参考借鉴价值,需要的朋友可以参考下
基于Spring Security的虚拟实验安全机制的研究与实现
04-16
在授权访问层面,通过整合Spring Security安全框架与J2EE构架来保证得到授权的用户访问Web资源时的安全性;在信息传送安全性层面,对XML加/解密算法改进设计,提高信息传送的安全性和快捷性。从以上3个层面确立的...
Spring cloud config 配置文件加密方式
08-27
给大家介绍了Spring cloud config 配置文件加密方式,非常不错,具有一定的参考借鉴价值,感兴趣的朋友跟随脚步之家小编一起学习吧
客户端加密传输 后端解密
08-04
NULL 博文链接:https://hudeyong926.iteye.com/blog/1594892
jasypt-1.9.3.jar
09-22
Jasypt 这个Java类包为开发人员...>Jasypt也可以与Acegi Security整合也即Spring Security。Jasypt亦拥有加密应用配置的集成功能,而且提供一个开放的API从而任何一个Java Cryptography Extension都可以使用Jasypt。
安卓适配Spring框架的ShaPasswordEncoder加密详解
sky2016_w的博客
04-17 400
最近项目要做一个离线登录,账号密码与在线一样; 实现方法是下载服务器的所以用户名和密码,但是服务的密码是经过框架加密的,通过阅读源码,知道spring框的ShaPasswordEncoder加密是通过密码拼接salt,然后经过加密得到的,代码如下: public static String mergePasswordAndSalt(String password, Object salt,...
java 密码加密(SHA MD5)
qq_37790902的博客
10-23 358
import org.springframework.security.authentication.encoding.Md5PasswordEncoder; import org.springframework.security.authentication.encoding.PasswordEncoder; import org.springframework.security.aut...
springSecurity之PasswordEncoder
梦想是很难很难的,所以先勇敢一点
02-05 4970
密码存储演进史 自从互联网有了用户的那一刻起,存储用户密码这件事便成为了一个健全的系统不得不面对的一件事。 远古时期,明文存储密码可能还不被认为是一个很大的系统缺陷(事实上这是一件很恐怖的事)。提及明文存储密码,我立刻联想到的是 CSDN 社区在 2011 年末发生的 600 万用户密码泄露的事件,谁也不会想到这个和程序员密切相关的网站会犯如此低级的错误。 明文存储密码使得恶意用户可以通过 sql 注入等攻击方式来获取用户名和密码,虽然安全框架和良好的编码规范可以规避很多类似的攻击,但依旧避免不了系统管理员
spring security使用哈希加密的密码
Cowboy
10-30 709
spring技术学习,更多知识请访问https://www.itkc8.com 之前我们都是使用MD5 Md5PasswordEncoder 或者SHA ShaPasswordEncoder 的哈希算法进行密码加密,在spring security中依然使用只要指定使用自定义加密算法就行,现在推荐spring使用的BCrypt BCryptPasswordEncoder,一种基于随机生成salt...
springsecurity加密解密
最新发布
06-08
Spring Security提供了多种加密解密的方式,下面是其中一些常用的方式: 1. BCryptPasswordEncoder:使用BCrypt强哈希函数加密密码,是一种非对称加密算法,常用于密码加密。 2. StandardPasswordEncoder:使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值