Spring PasswordEncoder实现

最新推荐文章于 2024-07-12 14:26:59 发布
最新推荐文章于 2024-07-12 14:26:59 发布
阅读量601 收藏
点赞数
文章标签: 数据库 java

Spring PasswordEncoder Implementation

Introduction

小号pring Security provides multiple PasswordEncoder implementations with BCRYPT as the recommended implementation. However, the use-case of sharing an authentication database with an external application, Dovecot, is examined in this article. Dovecot uses an MD5-CRYPT algorithm.

Complete javadoc is provided.

Reference

The actual encryption algorithm is captured in the Dovecot source file password-scheme-md5crypt.c.

Implementation

The implementation extends DelegatingPasswordEncoder to provide decryption services for the other Spring Security supported password types. Two inner classes, each subclasses of PasswordEncoder, provide MD5-CRYPŤ and PLAIN implementations.

@Service
public class MD5CryptPasswordEncoder extends DelegatingPasswordEncoder {
    ...

    private static final String MD5_CRYPT = "MD5-CRYPT";
    private static final HashMap<String,PasswordEncoder> MAP = new HashMap<>();

    static {
        MAP.put(MD5_CRYPT, MD5Crypt.INSTANCE);
        MAP.put("CLEAR", NoCrypt.INSTANCE);
        MAP.put("CLEARTEXT", NoCrypt.INSTANCE);
        MAP.put("PLAIN", NoCrypt.INSTANCE);
        MAP.put("PLAINTEXT", NoCrypt.INSTANCE);
    }

    ...

    public MD5CryptPasswordEncoder() {
        super(MD5_CRYPT, MAP);

        setDefaultPasswordEncoderForMatches(PasswordEncoderFactories.createDelegatingPasswordEncoder());
    }

    private static class NoCrypt implements PasswordEncoder {
        ...
        public static final NoCrypt INSTANCE = new NoCrypt();
        ...
    }

    private static class MD5Crypt extends NoCrypt {
        ...
        public static final MD5Crypt INSTANCE = new MD5Crypt();
        ...
    }
}

The MD5Crypt inner class implementation is straightforward:

    private static class MD5Crypt extends NoCrypt {
        private static final String MD5 = "md5";
        private static final String MAGIC = "$1$";
        private static final int SALT_LENGTH = 8;

        public static final MD5Crypt INSTANCE = new MD5Crypt();

        public MD5Crypt() { }

        @Override
        public String encode(CharSequence raw) {
            return encode(raw.toString(), salt(SALT_LENGTH));
        }

        private String encode(String raw, String salt) {
            if (salt.length() > SALT_LENGTH) {
                salt = salt.substring(0, SALT_LENGTH);
            }

            return (MAGIC + salt + "$" + encode(raw.getBytes(UTF_8), salt.getBytes(UTF_8)));
        }

        private String encode(byte[] password, byte[] salt) {
            /*
             * See source and password-scheme-md5crypt.c.
             */
        }

        @Override
        public boolean matches(CharSequence raw, String encoded) {
            String salt = null;

            if (encoded.startsWith(MAGIC)) {
                salt = encoded.substring(MAGIC.length()).split("[$]")[0];
            } else {
                throw new IllegalArgumentException("Invalid format");
            }

            return encoded.equals(encode(raw.toString(), salt));
        }
    }

The NoCrypt implementation provides the methods for calculating salt and itoa64 conversion.

Spring Boot Application Integration

The PasswordEncoder may be integrated with the following @Configuration:

package some.application;

import ball.spring.MD5CryptPasswordEncoder;
import ...

@Configuration
public class PasswordEncoderConfiguration {
    ...

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new MD5CryptPasswordEncoder();
    }
}

and must be integrated with a UserDetailsService in a WebSecurityConfigurer:

package some.application;

import ...

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfigurerImpl extends WebSecurityConfigurerAdapter {
    ...

    @Autowired private UserDetailsService userDetailsService;
    @Autowired private PasswordEncoder passwordEncoder;

    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService)
            .passwordEncoder(passwordEncoder);
    }

    ...
}

from: https://dev.to//allenball/spring-passwordencoder-implementation-3edf

cunxiedian8614
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springsecurity UsernamePasswordAuthenticationFilter PasswordEncoder
six_teen的博客
11-17 1713
最近开始学习了springsecurity框架,为写后台页面做个权限管理什么的打基础。 springsecurity是基础springboot的,所以创建一个springboot工程引入依赖就可以很轻松的整合springsecurity了。(类似的权限管理框架还有shiro) 1. 创建一个普通的springboot项目(不用勾选任何东西),我这边使用的springboot版本是2.2.1.RELEASE 依赖如下: pom.xml <dependencies> <!--sprin
springboot+ spring security实现登录认证
05-04
SpringBoot结合Spring Security实现登录认证是企业级应用开发中常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 ...
Spring Security系列之PasswordEncoder
lonelymanontheway的博客
06-07 904
加密算法种类、反查表、彩虹表、加密算法配置类实例、PasswordEncoder、BCryptPasswordEncoderPasswordEncoderFactories、DelegatingPasswordEncoder、自定义加密方案。
PasswordEncoder详解
tellmewhoisi的博客
05-10 777
PasswordEncoder是一个密码解析器Spring Security封装了如bcrypt, PBKDF2, scrypt, Argon2等主流适应性单向加密方法( adaptive one-way functions),用以进行密码存储和校验。
springSecurity之PasswordEncoder
梦想是很难很难的,所以先勇敢一点
02-05 5230
密码存储演进史 自从互联网有了用户的那一刻起,存储用户密码这件事便成为了一个健全的系统不得不面对的一件事。 远古时期,明文存储密码可能还不被认为是一个很大的系统缺陷(事实上这是一件很恐怖的事)。提及明文存储密码,我立刻联想到的是 CSDN 社区在 2011 年末发生的 600 万用户密码泄露的事件,谁也不会想到这个和程序员密切相关的网站会犯如此低级的错误。 明文存储密码使得恶意用户可以通过 sql 注入等攻击方式来获取用户名和密码,虽然安全框架和良好的编码规范可以规避很多类似的攻击,但依旧避免不了系统管理员
SpringSecurity(三)PasswordEncoder
热门推荐
qq_44969643的博客
11-05 2万+
数据安全是很重要的事情,关键数据传输时,要加密;数据库里面的重要信息也要加密。 在开始本章之前,我想先分享一个故事,上个星期我的一台服务器被勒索病毒攻击了,里面很多信息都没有了,数据库也没有了,只留下一个地址,让我给对方付0.03比特币(3000元左右),非常难受(上半年侥幸活下来了,下半年的事都有点难顶呀),平台说cpu没事,让我重装系统(甩锅,看来免费的东西都不怎么靠谱);平台给了我几条建议: 1.禁用ROOT 2.用户名和密码尽量复杂 3.修改ssh的默认22端口 4.安装De..
SpringSecurity实现认证
qq_32954567的博客
04-22 928
SpringSecurity认证
Spring Security使用自己配置的PasswordEncoder
qq_24415297的博客
05-24 477
Spring Security使用自己配置的PasswordEncoder,接入单点登录,无密码登录,绕过JWT,java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null",
Spring Security灵活的PasswordEncoder加密方式
恒宇少年De成长之路
10-22 4604
知识改变命运,撸码使我快乐,2020继续游走在开源界 点赞再看,养成习惯 给我来个Star吧,点击了解下基于SpringBoot的组件化接口服务落地解决方案 本章基于Spring Security 5.4.1版本编写,从5.x版本开始引入了很多新的特性。 为了适配老系统的安全框架升级,Spring Security也是费劲了心思,支持不同的密码加密方式,而且根据不同的用户可以使用...
SpringSecurity实现登录登出
qq_50909707的博客
07-20 2816
SpringSecurity实现登录登出
springSecurity 实现传参
11-04
在这个场景中,我们关注的是如何使用Spring Security实现登录验证以及在登录过程中传递参数,特别是记录并返回用户登录前的页面。我们将深入探讨这个过程,并结合MySQL数据库的使用。 首先,让我们了解Spring ...
Spring security实现对账户进行加密
08-24
本文主要介绍了使用 Spring Security 实现对账户进行加密的方法,通过示例代码详细讲解了加密原理、加密后的登录过程、代码实现和测试等方面的内容,对大家的学习或者工作具有一定的参考学习价值。 一、原理分析 ...
spring实现登录注册(尚未彻底完善)
05-17
Spring Security通过`@PreAuthorize`和`@PostAuthorize`注解实现基于表达式的访问控制,或者使用`AccessDecisionManager`和`AuthorizationManager`进行更复杂的策略配置。 6. **记住我功能** Spring Security支持...
SpringSecurity6
02-01
综上所述,SpringSecurity6为我们提供了强大的工具来实现用户登录认证和自定义JWT认证。通过自定义UserDetailsService和AuthenticationProvider,我们可以根据业务需求调整认证流程。同时,结合jjwt库,我们可以轻松...
JavaFx+MySql学生管理系统
2301_81253185的博客
07-11 1096
上个月学习了javafx和mysql数据库,于是写了一个学生管理系统,因为上个月在复习并且有一些事情,比较忙,所以没有更新博客了,这个项目页面虽然看着有点简陋了,但是大致内容还是比较简单的,于是现在跟大家分享一下我的学生管理系统,希望对这方面有兴趣的同学提供一些帮助。
set user & password for database 设置数据库 用户和密码
最新发布
DavidsonGong的博客
07-12 148
USE sbms;
7.10飞书一面面经
东篱君的博客
07-10 1200
B+树的⾮叶⼦节点不存放实际的记录数据,仅存放索引,所以数据量相同的情况下,相⽐存储即存索引⼜存记录的 B 树,B+树的⾮叶⼦节点可以存放更多的索引,因此 B+ 树可以⽐ B 树更「矮胖」,查询底层节点的磁盘 I/O次数会更少。主从复制:单节点Redis的并发能力是有上限的,要进一步提高Redis的并发能力,可以搭建主从集群,实现读写分离。B+ 树有⼤量的冗余节点(所有⾮叶⼦节点都是冗余索引),这些冗余索引让 B+ 树在插⼊、删除的效率都更⾼,⽐如删除根节点的时候,不会像 B 树那样会发⽣复杂的树的变化;
Spring Security自定义PasswordEncoder
08-14
Spring Security自定义PasswordEncoder可以通过实现PasswordEncoder接口来实现。可以参考引用和引用中的代码示例。 在自定义的PasswordEncoder中,需要实现encode方法和matches方法。encode方法用于对密码进行编码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值