Spring Security BCryptPasswordEncoder 密码加盐

最新推荐文章于 2024-05-02 22:46:21 发布
最新推荐文章于 2024-05-02 22:46:21 发布
阅读量2.2k 收藏 3
点赞数
分类专栏: Java 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/biubiubiubibibi/article/details/127579426
版权

Spring Security BCryptPasswordEncoder 密码加盐

引入spring-boot-starter-security 的Jar包

  •     <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>

使用 BCryptPasswordEncoder 对密码加盐加密

  • 测试类

    •         //region Description
        BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
        for (int i = 0; i < 10; i++) {
            String admin = bCryptPasswordEncoder.encode("admin");
            System.out.println(admin);
        }
        // 从上面的输出中随便拿一个
        System.out.println(bCryptPasswordEncoder.matches("admin",    "$2a$10$U96JT2Wzq/0w1D9XBUsXQ.s7AHgruQayc3ay2oqYkGJyJb1vZyJ0i"));
        //endregion

  • 上面的运行结果

    • $2a$10$w2/bCNOlrFxx.2.JP62AC.GtCGWVHuSPqqA27tcR1DxseKRebiU2G
$2a$10$U96JT2Wzq/0w1D9XBUsXQ.s7AHgruQayc3ay2oqYkGJyJb1vZyJ0i
$2a$10$lJTuTYwNxIecuqlvrVGmQODghl1hAOQ7RiQX5n0nAzUm/GJWo8JyW
$2a$10$sQw2UP2PTajRgCcUTl/v8OdUrV7rCMHDpfEDDJnFHcZDTDbiDpHIO
$2a$10$ZxBi1IS9HFA/eu/eYI.MueNT7.6FtvYWQ2SmGgIBD/Ilunj/I/oCa
$2a$10$eIJXe5.HdLPADm5dNt2OZuHDU0Ah3pGAQJGYA5Xygzsg.TnyX0K3m
$2a$10$bc.cR8suk4F78sxlwNyYn.wxpXBxxTIEhqzmY17F6dcPT7w72Hry2
$2a$10$vSTY.wb3RXovBvm43KUUHucQiStV2CfQySh6LkgMztOPcIYjz2Whm
$2a$10$/ruK9/xObSI3ogMC6ozGDeTv3SEkVuMRcqBvx6M79fiMasdMPoqwe
$2a$10$ueyHKn/h2dyixZ2Gr7d3feXYMZvJTOXGSZFx7n/c/ROSdBf1RhfA2
true

  • 可以发现对密码加密, 每次都是不一样的密文, 但是任意的一个结果密文和原文match , 得到的都是true, 这到底是是怎么回事尼?

    • 先说结论

      • BCryptPasswordEncoder的 encode 方法对 原文加密, 是会产生随机数的 盐 salt, 所以每次加密得到的密文都是不同的

      • 那么每次不同, 如何实现可以比较出原文 和密文是否相匹配尼, 重点就是在密文里面包含了随机生成的 salt, 加密和解密都是调用的一样的方法。 所以可以比较出来

      • 就拿上面生成的密文来说吧: $2a$10$ueyHKn/h2dyixZ2Gr7d3feXYMZvJTOXGSZFx7n/c/ROSdBf1RhfA2
通过debug, 可以发现他的 salt 为$2a$10$ueyHKn/h2dyixZ2Gr7d3fe
real_salt 为 ueyHKn/h2dyixZ2Gr7d3fe
而 密文为 $2a$10$ueyHKn/h2dyixZ2Gr7d3feXYMZvJTOXGSZFx7n/c/ROSdBf1RhfA2  
可以发现密文里面其实包含了盐
我们知道 密文是由 原文 和 盐 根据算法生成的。 
那么我们现在知道了密文, 也就是说知道了盐, 也知道了原文。 用这个原文和 盐在生成一次密文, 如果这个得出的密文等于比较的密文, 那么说明这个密文就是这个原文生成的

    • 跟着源码看一下

      • 加密实现

        • 	public String encode(CharSequence rawPassword) {
		String salt;
        // 生成随机数盐
		if (random != null) {
			salt = BCrypt.gensalt(version.getVersion(), strength, random);
		} else {
			salt = BCrypt.gensalt(version.getVersion(), strength);
		}
        // 根据 随机数盐 和原文, 生成密文
		return BCrypt.hashpw(rawPassword.toString(), salt);
	}

        • 	public static String hashpw(byte passwordb[], String salt) {
......
    .......
    // 对随机数盐做一些处理, 得到真正的盐, (前面的规则不用理会, 一些特定的分隔符而已)
    
		real_salt = salt.substring(off + 3, off + 25);
		saltb = decode_base64(real_salt, BCRYPT_SALT_LEN);

		if (minor >= 'a') // add null terminator
			passwordb = Arrays.copyOf(passwordb, passwordb.length + 1);

		B = new BCrypt();
		hashed = B.crypt_raw(passwordb, saltb, rounds, minor == 'x', minor == 'a' ? 0x10000 : 0);

		rs.append("$2");
		if (minor >= 'a')
			rs.append(minor);
		rs.append("$");
		if (rounds < 10)
			rs.append("0");
		rs.append(rounds);
		rs.append("$");
		encode_base64(saltb, saltb.length, rs);
		encode_base64(hashed, bf_crypt_ciphertext.length * 4 - 1, rs);
        // 最终的密文
		return rs.toString();
	}

      • match 实现

        • 	public boolean matches(CharSequence rawPassword, String encodedPassword) {
		if (encodedPassword == null || encodedPassword.length() == 0) {
			logger.warn("Empty encoded password");
			return false;
		}

		if (!BCRYPT_PATTERN.matcher(encodedPassword).matches()) {
			logger.warn("Encoded password does not look like BCrypt");
			return false;
		}

		return BCrypt.checkpw(rawPassword.toString(), encodedPassword);
	}

        • 	public static boolean checkpw(String plaintext, String hashed) {
		return equalsNoEarlyReturn(hashed, hashpw(plaintext, hashed));
	}

	static boolean equalsNoEarlyReturn(String a, String b) {
		return MessageDigest.isEqual(a.getBytes(StandardCharsets.UTF_8), b.getBytes(StandardCharsets.UTF_8));
	}

        • 可以发现, encode , 和 match 都是通过一样的方式生成密文, 都是通过 hashpw(原文, 盐)。 match 多了一个equal 比较方法

BinBin_Bang
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BCryptPasswordEncoder进行MD5+Salt加密
lj_heaven的博客
12-26 458
【代码】BCryptPasswordEncoder进行MD5+Salt加密。
【信息安全】快速了解密码的加密加盐处理
yubao0723的专栏
03-07 1545
信息安全基础,快速了解密码的加密加盐处理
BCryptPasswordEncoder(不用配置salt)使用
最新发布
weixin_43188446的博客
05-02 327
大多数系统都需要保存用户的登录密码,但是不能进行明文保存,延伸方案就是进行“密码加密”。
BCrypt密码加密-加盐机制
beginnerNew的博客
11-30 4160
BCrypt加密方式 用户表的密码通常使用MD5等不可逆算法加密后存储,为防止彩虹表破解更会先使用一个特定的字符串(如域名)加密,然后再使用一个随机的salt(盐值)加密。 特定字符串是程序代码中固定的,salt是每个密码单独随机,一般给用户表加一个字段单独存储,比较麻烦。 BCrypt算法将salt随机并混入最终加密后的密码,验证时也无需单独提供之前的salt,从而无需单独处理salt问题。相比...
spring security中的密码加密:BCrypt算法工具类BCryptPasswordEncoder
chushiyan的博客
12-30 3305
  spring security中有多种密码加密方式,MD5算法的Md5PasswordEncoder、SHA 算法的ShaPasswordEncoder,但由于是弱加密算法,都被弃用了。推荐使用的是BCrypt算法的BCryptPasswordEncoder。 一、BCryptPasswordEncoder的使用 (一)添加依赖   在SpringBoot项目中加入spring securit...
加密算法---BCryptPasswordEncoder的使用及原理
weixin_43811057的博客
02-08 9201
spring security中的BCryptPasswordEncoder方法采用SHA-256 +随机盐+密钥对密码进行加密。SHA系列是Hash算法,不是加密算法,使用加密算法意味着可以解密(这个与编码/解码一样),但是采用Hash处理,其过程是不可逆的。1)加密(encode):注册用户时,使用SHA-256+随机盐+密钥把用户输入的密码进行hash处理,得到密码的hash值,然后将其存入数据库中。
spring-security提供的密码加密方法。
热门推荐
诗礼银杏的博客
01-17 1万+
1.引用jar包   &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-security&lt;/artifactId&gt; ...
Spring security BCryptPasswordEncoder密码验证原理详解
08-24
Spring Security BCryptPasswordEncoder 密码验证原理详解 Spring Security 中的 BCryptPasswordEncoder 是一种用于密码验证的密码加密器,它可以对密码进行加密和验证。本文将详细介绍 BCryptPasswordEncoder 的...
Spring security密码加密实现代码实例
08-19
BCryptPasswordEncoder 是 Spring Security 中的一种密码加密器,它使用 BCrypt 算法来加密密码BCryptPasswordEncoder 提供了一个简单的方式来加密和验证密码BCrypt 算法 BCrypt 算法是一种基于哈希函数的...
Spring security 自定义密码加密方式的使用范例。
09-15
Spring Security中,密码的加密是非常关键的一部分,因为这直接关系到用户数据的安全性。本示例将介绍如何在Spring Security中自定义密码加密方式,以及如何处理认证成功和失败的情况。 首先,我们需要了解Spring...
Spring Security使用数据库认证及用户密码加密和解密功能
08-24
Spring Security 使用数据库认证及用户密码加密和解密功能 Spring Security 是一个基于 Java 的安全框架,提供了强大的身份验证、授权和访问控制功能。为了提高系统安全性,Spring Security 提供了多种身份验证机制...
Spring Security保护用户密码常用方法详解
09-07
主要介绍了Spring Security保护用户密码常用方法详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
动态加密解密
weixin_46150371的博客
09-23 740
字符串加密 一、BCryptPasswordEncoder包 import org.apache.commons.logging.Log; import org.apache.commons.logging.LogFactory; import java.security.SecureRandom; import java.util.regex.Pattern; public class BCryptPasswordEncoder { private final Log logger = LogF
Spring Security 使用MD5加盐加密和BCrypt加密密码
qq_35309220的博客
01-24 3416
之前我们都是使用MD5 Md5PasswordEncoder 或者SHA ShaPasswordEncoder 的哈希算法进行密码加密,在spring security中依然使用只要指定使用自定义加密算法就行,现在推荐spring使用的BCrypt BCryptPasswordEncoder,一种基于随机生成salt的根据强大的哈希加密算法。 一、MD5加密 package com.liuyanz...
spring security 密码加盐_神奇!自己 new 出来的对象一样也可以被 Spring 容器管理
weixin_39627201的博客
11-24 211
按理说自己 new 出来的对象和容器是没有关系的,但是在 Spring Security 框架中也 new 了很多对象出来,一样也可以被容器管理,那么它是怎么做到的?今天来和大家聊一个略微冷门的话题,Spring Security 中的 ObjectPostProcessor 到底是干嘛用的?本文是 Spring Security 系列第 32 篇,阅读前面文章有助于更好的理解本文:挖一个大坑,S...
BCrypt密码加密
yandujiang1859的博客
12-25 4867
任何应用考虑到安全,绝不能明文的方式保存密码密码应该通过哈希算法进行加密。 有很多标准的算法比如SHA或者MD5,结合salt(盐)是一个不错的选择。 Spring Security 提供了BCryptPasswordEncoder类,实现SpringPasswordEncoder接口使用BCrypt强 哈希方法来加密密码BCrypt强哈希方法 每次加密的结果都不一样。 (1)工程的po...
密码加密-BCryptPasswordEncoder
liangjiayy的博客
06-13 2135
密码加密-BCryptPasswordEncoder
SpringSecurity怎么实现密码的双重加密
04-04
2. 在SpringSecurity的配置文件中,使用BCryptPasswordEncoder或者MessageDigestPasswordEncoder等密码加密器对用户输入的密码进行加密。这样可以确保用户密码在传输过程中不被窃取,同时也增加了破解密码的难度。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

BinBin_Bang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值