SpringSecurity 用户密码加密方式升级的源码分析

已于 2022-05-18 15:11:09 修改
阅读量1.7k 收藏 5
点赞数
分类专栏: SpringSecurity 文章标签: java
于 2022-03-29 18:07:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/clonetx/article/details/123823361
版权

        用户密码加密方式升级这种需求,一般在老项目翻版重做或者是迁移了其他第三方的用户时可能会用到。

        以老项目密码采用MD5,需要转换为SM3加密方式为例,实现的效果是用户在登录时,如果加密方式是MD5而不是SM3,且密码对比成功就升级为SM3。

        SpringSecurity 的认证部分是通过 AuthenticationManager 实现的,不考虑我们自定义直接实现AuthenticationManager 进行认证,那么在框架中实际的认证工作就是AuthenticationProvider 的实现类来完成的。(这里没看过源码的朋友可能不理解,但是并不影响我们通过源码学习加密方式升级的思路)

1、DaoAuthenticationProvider

我们首先来看下 DaoAuthenticationProvider 的源码,它包含以下几个主要方法

        方法 retrieveUser() 的作用是根据用户输入的账号或其他唯一可以标识身份的信息从数据库中查询出整个用户对象的信息,一般通过userDetailService实现,这里不是我们关注的重点。

        在获取到数据库中的用户信息后,接下来就是使用用户输入的密码与查询到的密码做对比了。通过源码可以发现对比的工作是通过 passwordEncoder.matches()方法实现的。我们知道从数据库中查询到的密码的加密方式有两种可能,MD5和SM3,显然matches()方法必须同时满足这两种加密方式的校验。

   @Override
   protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        if (authentication.getCredentials() == null) {
            this.logger.debug("Authentication failed: no credentials provided");
            throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
        } else {
            String presentedPassword = authentication.getCredentials().toString();
            //前台传的密码进行加密和数据库存的密码做对比
            if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
                this.logger.debug("Authentication failed: password does not match stored value");
                throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
            }
        }
    }

        我们可以通过setPasswordEncoder(PasswordEncoder passwordEncoder)方法来设置需要的子类实现,但是子类实现必须同时满足这MD5和SM3两种方式的校验。

         实际上,security框架在DaoAuthenticationProvider构造器中已经默认为我们设置了一个PasswordEncoder对象,而这个对象就满足多种加密方式的校验。

public DaoAuthenticationProvider() {
        this.setPasswordEncoder(PasswordEncoderFactories.createDelegatingPasswordEncoder());
    }

 2、PasswordEncoderFactories

        通过PasswordEncoderFactories的实现我们可以看到,它是以bcrypt作为默认的加密方式,然后将其他加密方式的实现放到了一个map中,尽管这并不满足我们默认SM3 的需求,但从这里基本可以推测出,最终肯定是从DelegatingPasswordEncoder对象管理的众多加密实现中选择和数据库加密方式匹配的进行验证了。如果我们能将默认的bcrypt修改为SM3,也就完成了新注册账号的采用SM3加密的工作。

public static PasswordEncoder createDelegatingPasswordEncoder() {
        String encodingId = "bcrypt";
        Map<String, PasswordEncoder> encoders = new HashMap<>();
        encoders.put(encodingId, new BCryptPasswordEncoder());
        encoders.put("ldap", new org.springframework.security.crypto.password.LdapShaPasswordEncoder());
        encoders.put("MD4", new org.springframework.security.crypto.password.Md4PasswordEncoder());
        encoders.put("MD5", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("MD5"));
        encoders.put("noop", org.springframework.security.crypto.password.NoOpPasswordEncoder.getInstance());
        encoders.put("pbkdf2", new Pbkdf2PasswordEncoder());
        encoders.put("scrypt", new SCryptPasswordEncoder());
        encoders.put("SHA-1", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-1"));
        encoders.put("SHA-256", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-256"));
        encoders.put("sha256", new org.springframework.security.crypto.password.StandardPasswordEncoder());

        return new DelegatingPasswordEncoder(encodingId, encoders);
    }

 3、DelegatingPasswordEncoder

        我们回到matches()方法,去看DelegatingPasswordEncoder对象的实现,第一个参数是明文密码,第二个参数是数据库中查询到的密码,可以看到这段代码先是从数据库中查询到的密码中提取了一个id,然后有使用这个id从DelegatingPasswordEncoder对象的管理的map中提取了对应的加密实现,用这个具体的实现去做密码匹配校验,这是典型的代理模式应用。

        不难知道,这个id就是map的key值。跟踪extractId()的实现就可以知道数据库中的密码前面应该拼接了一个{MD5}或{SM3},这就需要我们迁移原始数据时做一下加密标识 。eg:{MD5}e10adc3949ba59abbe56e057f20f883e

@Override
    public boolean matches(CharSequence rawPassword, String prefixEncodedPassword) {
        if (rawPassword == null && prefixEncodedPassword == null) {
            return true;
        }
        //从数据库中查询到的密码中提取id
        String id = extractId(prefixEncodedPassword);
        //N. 这里获取真正用来验证密码的加密实现,注意是根据前缀从列表中获取的,不是默认方式
        PasswordEncoder delegate = this.idToPasswordEncoder.get(id);
        if (delegate == null) {
            return this.defaultPasswordEncoderForMatches
                    .matches(rawPassword, prefixEncodedPassword);
        }
        String encodedPassword = extractEncodedPassword(prefixEncodedPassword);//去掉前缀
        return delegate.matches(rawPassword, encodedPassword);
    }

        通过分析上面的代码,我们只需要自己new一个DelegatingPasswordEncoder对象,按照需求自定义 new DelegatingPasswordEncoder(encodingId, encoders)的两个参数,也就是设置默认的id和加密方式是SM3,在encoders中加入SM3加密方式实现。(这里需要我们新增PasswordEncoder接口的SM3加密实现)

        在初始化DaoAuthenticationProvider对象时,需要通过setPasswordEncoder()设置自定义的DelegatingPasswordEncoder对象。到这里我们已经可以实现对数据库中密码存在多种加密方式的兼容,接下来回到DaoAuthenticationProvider中。

4、DaoAuthenticationProvider

        分析下面的代码,只要 upgradeEncoding 为 true,就会触发密码加密方式的升级。这里的encode()方法返回值newPassword就是使用的默认加密方式SM3的加密结果。

@Override
    protected Authentication createSuccessAuthentication(Object principal, Authentication authentication, UserDetails user) {
        //令upgradeEncoding 为true就可以直接更新密码了
        boolean upgradeEncoding = this.userDetailsPasswordService != null && this.passwordEncoder.upgradeEncoding(user.getPassword());
        if (upgradeEncoding) {
            //客户端传的密码-(这里是明文)
            String presentedPassword = authentication.getCredentials().toString();
            //加密的密码
            String newPassword = this.passwordEncoder.encode(presentedPassword);
            //更新密码
            user = this.userDetailsPasswordService.updatePassword(user, newPassword);
        }

        return super.createSuccessAuthentication(principal, authentication, user);
    }

        最后我们只要实现UserDetailsPasswordService接口,逻辑就是操作数据库修改密码。同时不用忘记在初始化 DaoAuthenticationProvider对象时,调用setUserDetailsPasswordService()方法。

public interface UserDetailsPasswordService {

	UserDetails updatePassword(UserDetails user, String newPassword);
}

        最后总结一下密码升级的思路,最核心的就是在数据库密码的前面加上一个前缀,例如{MD5},{SM3}...,做密码校验时,先从数据库中查询出密码,根据密码的前缀对用户输入的密码采用对应的加密方式进行加密,然后对比两个密码是否相同。如果相同,且前缀又不是{SM3},就把用户输入的密码再用SM3再加密一次,替换掉数据库里的密码字段。

clonetx
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SpringSecurity笔记
weixin_42437610的博客
11-07 981
1. Spring Security学习 1.1 简介 安全框架就是解决系统安全的框架。如果没有安全框架,我们需要手动的处理每个资源的访问控制,这是非常麻烦的。使用了安全框架,我们可以通过配置的方式实现对资源的访问限制。 1.2 核心功能 认证 (你是谁) 认证:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。通俗点说就是系统认为用户是否能登录 授权 (你能干什么) 授权指的是验证某个用户是否有权限执行
PasswordEncoder密码编码器
weixin_60600107的博客
11-01 2586
PasswordEncoder使用哈希算法+随机盐来对字符串加密。因为哈希是一种不可逆算法,所以密码认证时需要使用相同的算法+盐值来对待校验的明文进行加密,然后比较这两个密文来进行验证。Spring Security封装了如PBKDF2 , scrypt, Argon2,bcrypt等主流适应性单向加密方法,支持不同的密码加密方式,而且根据不同的用户可以使用不同的加密方式。可以看到,下面这个encode()方法中先得到了一个盐值加盐,并且进行hash加密,所以每次得到的密文都不一样,保证了加密后的安全性。
Spring Security系列之PasswordEncoder
最新发布
lonelymanontheway的博客
06-07 965
加密算法种类、反查表、彩虹表、加密算法配置类实例、PasswordEncoder、BCryptPasswordEncoder、PasswordEncoderFactories、DelegatingPasswordEncoder、自定义加密方案。
Spring Boot 密码加密的 2 种姿势!
勇往直前的专栏
06-01 747
先说一句:密码是无法解密的。 密码无法解密,还是为了确保系统安全。今天松就来和大家聊一聊,密码要如何处理,才能在最大程度上确保我们的系统安全。 1.为什么要加密 2011 年 12 月 21 日,有人在网络上公开了一个包含 600 万个某网站用户资料的数据库,数据全部为明文储存,包含用户名、密码以及注册邮箱。事件发生后该网站在微博、官方网站等渠道发出了声明,解释说此数据库系 2009 年备份所用,因不明原因泄露,已经向警方报案,后又在官网发出了公开道歉信。 在接下来的十多天里,金山、网易、京东、当当
SpringSecurity-12-PasswordEncoder密码加密简介
zhoubangbang1的博客
04-01 1999
SpringSecurity-12-PasswordEncoder密码加密简介为什么密码加密? 国内的每一个开发社区在2011年发生过被黑客攻击,盗取用户信息,600多万的明文密码信息被盗取,大量用户面临着数据隐私泄露和数据安全的威胁。这警告了我们,一旦被黑客攻击用户账号信息被盗,我们该如何减少用户的损失,在我们开发者角度来看就是如何使得用户的账号密码变得安全。怎么让用户密码变得安全呢?那就是要对用户密码存储进行加密。MD5加密 MD5信息摘要算法,是一种密码散列函数,可以生成一个128(16字节)的散
【编程不良人】SpringSecurity实战学习笔记03---密码加密
Mr.Cui的Java学习之路
08-25 1210
【编程不良人】SpringSecurity实战学习笔记03---密码加密
基于SSM心理咨询测试网设计可升级SpringBoot源码案例设计.zip
04-19
标题中的“基于SSM心理咨询测试网设计可升级SpringBoot源码案例设计”表明这是一个结合了SSM(Spring、Struts2、MyBatis)架构和SpringBoot技术的项目,主要目的是构建一个心理咨询测试网站,并且该网站具备可升级性...
毕业设计论文-IT计算机-javapms-1.2-beta-源码.zip
04-02
同时,密码加密存储、SQL注入防护等也是保证系统安全的重要手段。 最后,测试是确保软件质量的关键步骤。JavaPMS的源码中可能包含了单元测试和集成测试,使用JUnit、Mockito等工具进行自动化测试,以验证代码的功能...
网络聊天系统(BS)java源码
09-19
可以使用HTTPS协议加密通信,Spring Security框架实现用户身份验证和授权。 8. **前端技术** 对于用户界面,可能使用HTML、CSS和JavaScript进行构建,使用Ajax技术实现异步通信,提高用户体验。现代Web框架如Vue....
基于springboot网页时装购物系统源码数据库.doc
03-09
- **系统安全设计**:包括用户密码加密存储、登录验证码、SQL 注入防护等措施,保障系统的安全性。 ##### 3.2 详细设计 - **数据库访问实现**:使用 MyBatis 框架进行数据持久化操作,编写相应的 DAO 接口和 ...
Financial:基于Spring Boot 1.5.x构建的金融借贷项目,包含有用户系统与后台信息管理系统
03-11
- 认证与授权:通常使用Spring Security进行用户认证,实现登录、权限控制等功能。 - 用户注册与管理:包括用户信息存储、密码加密、账户激活等。 - 用户接口设计:可能包含RESTful API,支持JSON格式,便于前后...
Spring Security实战(五)—— 密码加密
weixin_49561506的博客
04-17 2423
spring security 密码加密实战
Spring Security —09—密码加密
weixin_48994585的博客
08-25 571
整个事件中最触目惊心的莫过于 CSDN 把用户密码明文存储,由于很多用户是多个网站共用一个密码,因此一个网站密码泄漏就会造成很大的安全隐患。用户注册成功后,保存在数据库中不再是用户的明文密码,而是经过 SHA-256 加密计算的一个字符串,当用户进行登录时,用户输入的明文密码用 SHA-256 进行加密加密完成之后,再和存储在数据库中的密码进行比对,进而确定用户登录信息是否有效。在前面的案例中,凡是涉及密码的地方,我们都采用明文存储,在实际项目中这肯定是不可取的,因为这会带来极高的安全风险。
Spring security 同时支持多种加密方式
heasy's blog
02-07 1045
参考文章:http://www.javaboy.org/2020/0618/passwordencoder.html spring security一系列都是从这里学的 非常感谢作者 在security框架中 如果没有创建任何一个PasswordEncoder 则会使用默认的 ,如果在容器中有PasswordEncoder 则会使用容器中的,源码如下: @Order(InitializeUserDetailsBeanManagerConfigurer.DEFAULT_ORDER) class In.
springsecurity密码验证原理概括
issac的博客
11-22 8203
密码验证过程 1.UsernamePasswordAuthenticationFilter 从UsernamePasswordAuthenticationFilter断点进入,此处的返回值是一个方法**getAuthenticationManager().authenticate(authRequest)**的返回值,而传入的参数正是在表单中输入的账户密码进行封装之后的结果,主要进入authentication(authRequest)中进行探索。 2.ProviderManager 进入getAuthe
Spring security 自定义密码验证(一)
料峭春风吹酒醒,微冷, 山头斜照却相迎。 回首向来萧瑟处,归去, 也无风雨也无晴!
04-25 8252
搞了好几天,大概总结下。我找到的自定义密码验证有两种方式,按照网上的去写,确实能做到密码验证,但是密码对不上,抛出BadCredentialsException,并不能阻止用户进入权限页面,感觉好像Spring Security对抛出的BadCredentialsException没处理还是咋的,就是没反应,最后改为抛出DisabledException,Spring Security才反应正常,...
14-SpringSecurity:前后端分离项目中用户名与密码通过RSA加密传输
Heartsuit的博客
09-02 3049
背景 登录认证几乎是所有互联网应用的必备功能,传统的用户名-密码认证方式依然流行,如何避免用户名、密码这类敏感信息在认证过程中被嗅探、破解? 这里将传统的用户名、密码明文传输方式改为采用 RSA 的非对称加密算法密文传输,即使认证请求被网络抓包,只要私钥安全,则认证流程中的用户信息相对安全; 一般是生成RSA的密钥对之后,公钥存储在前端或后端(登录时每次请求后端返回公钥)进行加密,私钥存储在后端用于解密; 曾在实际的应用中看到过动态生成密钥对的做法,即公钥-私钥都是动态生成,每次请求都不一样,这与固定公
Spring Security密码加密
大后生大大大的博客
11-25 2901
PasswordEncoder、DelegatingPasswordEncoder、PasswordEncoderFactories
SpringSecurity(七)【密码加密
Vinjcent
11-10 1614
bcrypt 方式加密在测试类中,对我们输入的明文密码进行加密并输出// 参数是用户输入的明文 String encode = bCryptPasswordEncoder . encode("123");
spring security密码加密
07-25
Spring Security中,可以使用多种方式密码进行加密。以下是其中一种常见的方式: 1. 使用BCryptPasswordEncoder: ```java import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; String password = "123456"; BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder(); String encodedPassword = passwordEncoder.encode(password); System.out.println("原始密码:" + password); System.out.println("加密后的密码:" + encodedPassword); ``` 输出结果: ``` 原始密码:123456 加密后的密码:$2a$10$0WvZOoGK0MkJqBKz9XcZo.jzPb7t8wZr4xwQemjqn0hJb7.7eWk4. ``` 在上述示例中,我们使用了`BCryptPasswordEncoder`来进行密码加密。`BCryptPasswordEncoder`使用了bcrypt算法,它是一种基于哈希的密码加密算法,具有很高的安全性。 你可以将加密后的密码存储到数据库中,然后在验证密码时使用`BCryptPasswordEncoder`进行解密和比较。 除了`BCryptPasswordEncoder`,Spring Security还提供了其他一些密码加密方式,如`StandardPasswordEncoder`和`NoOpPasswordEncoder`。你可以根据具体需求选择适合的加密方式
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值