Spring Security密码哈希示例

最新推荐文章于 2023-03-27 11:17:05 发布
最新推荐文章于 2023-03-27 11:17:05 发布
阅读量475 收藏 1
点赞数
文章标签: 数据结构与算法 数据库 嵌入式

在本教程中,我们将向您展示如何使用BCryptPasswordEncoder在Spring Security中哈希密码并执行登录身份验证。

通常,在过去,我们通常使用MD5 Md5PasswordEncoder或SHA ShaPasswordEncoder哈希算法来编码密码……您仍然可以使用所需的任何编码器,但是Spring建议使用BCrypt BCryptPasswordEncoder ,这是一种更强大的哈希算法,具有随机生成的盐。

使用的技术:

  1. 春天3.2.8。发布
  2. Spring Security 3.2.3发布
  3. Spring JDBC 3.2.3.RELEASE
  4. MySQL服务器5.6

1.查看PasswordEncoder

不再使用熟悉的旧认证PasswordEncoder接口… 

package org.springframework.security.authentication.encoding;

//Implementation : Md5PasswordEncoder and ShaPasswordEncoder
@Deprecated
public interface PasswordEncoder {

相反,您应该使用此新的加密PasswordEncoder接口。 

package org.springframework.security.crypto.password;

//Implementation : BCryptPasswordEncoder
public interface PasswordEncoder {

2.生成BCrypt密码

首先,对密码进行哈希处理,然后将其放入数据库中,以便以后进行登录身份验证。 本示例使用BCryptPasswordEncoder哈希密码“ 123456”。

PasswordEncoderGenerator.java 
package com.mkyong.web.controller;

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

public class PasswordEncoderGenerator {

  public static void main(String[] args) {

	int i = 0;
	while (i < 10) {
		String password = "123456";
		BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
		String hashedPassword = passwordEncoder.encode(password);

		System.out.println(hashedPassword);
		i++;
	}

  }
}

在BCrypt哈希算法中,每次生成长度为60的不同哈希值。 

$2a$10$EblZqNptyYvcLm/VwDCVAuBjzZOI7khzdyGPBr08PpIi0na624b8.
$2a$10$trT3.R/Nfey62eczbKEnueTcIbJXW.u1ffAo/XfyLpofwNDbEB86O
$2a$10$teJrCEnsxNT49ZpXU7n22O27aCGbVYYe/RG6/XxdWPJbOLZubLIi2
$2a$10$BHG59UT6p7bgT6U2fQ/9wOyTIdejh4Rk1vWilvl4b6ysNPdhnViUS
$2a$10$W9oRWeFmOT0bByL5fmAceucetmEYFg2yzq3e50mcu.CO7rUDb/poG
$2a$10$HApapHvDStTEwjjneMCvxuqUKVyycXZRfXMwjU0rRmaWMsjWQp/Zu
$2a$10$GYCkBzp2NlpGS/qjp5f6NOWHeF56ENAlHNuSssSJpE1MMYJevHBWO
$2a$10$gwbTCaIR/qE1uYhvEY6GG.bNDQcZuYQX9tkVwaK/aD7ZLPptC.7QC
$2a$10$5uKS72xK2ArGDgb2CwjYnOzQcOmB7CPxK6fz2MGcDBM9vJ4rUql36
$2a$10$6TajU85/gVrGUm5fv5Z8beVF37rlENohyLk3BEpZJFi6Av9JNkw9O

每次使用BCrypt散列值时,获得一个不同的值是正常的,因为盐是随机生成的。 在本教程中,我们获得第一个输出并将其插入数据库。

3.数据库

创建表并插入用户“ mkyong”进行测试。 

CREATE  TABLE users (
  username VARCHAR(45) NOT NULL ,
  password VARCHAR(60) NOT NULL ,
  enabled TINYINT NOT NULL DEFAULT 1 ,
  PRIMARY KEY (username));

CREATE TABLE user_roles (
  user_role_id int(11) NOT NULL AUTO_INCREMENT,
  username varchar(45) NOT NULL,
  role varchar(45) NOT NULL,
  PRIMARY KEY (user_role_id),
  UNIQUE KEY uni_username_role (role,username),
  KEY fk_username_idx (username),
  CONSTRAINT fk_username FOREIGN KEY (username) REFERENCES users (username));

INSERT INTO users(username,password,enabled)
VALUES ('mkyong','$2a$10$EblZqNptyYvcLm/VwDCVAuBjzZOI7khzdyGPBr08PpIi0na624b8.', true);

INSERT INTO user_roles (username, role)
VALUES ('mkyong', 'ROLE_USER');
INSERT INTO user_roles (username, role)
VALUES ('mkyong', 'ROLE_ADMIN');

4.启用密码编码器

在XML配置中启用密码编码器的几种方法。

4.1使用默认的BCryptPasswordEncoder

spring-security.xml 
<authentication-manager>
	<authentication-provider>
	    <password-encoder hash="bcrypt" />
	</authentication-provider>
  </authentication-manager>

4.2将“强度”参数传递给BCryptPasswordEncoder

spring-security.xml 
<authentication-manager>
	<authentication-provider>
	    <password-encoder ref="encoder" />
	</authentication-provider>
  </authentication-manager>
	
  <beans:bean id="encoder" 
	class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder">
	<beans:constructor-arg name="strength" value="11" />
  </beans:bean>

4.3将编码器传递给DaoAuthenticationProvider

spring-security.xml 
<bean id="authProvider" 
	class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
	<property name="userDetailsService" ref="customUserService" />
	<property name="passwordEncoder" ref="encoder" />
  </bean>

  <bean id="encoder" 
	class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

4.4注释示例。 

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	@Autowired
	DataSource dataSource;
	
	@Autowired
	public void configAuthentication(AuthenticationManagerBuilder auth) 
		throws Exception {
		
		auth.jdbcAuthentication().dataSource(dataSource)
			.passwordEncoder(passwordEncoder())
			.usersByUsernameQuery("sql...")
			.authoritiesByUsernameQuery("sql...");
	}	
	
	@Bean
	public PasswordEncoder passwordEncoder(){
		PasswordEncoder encoder = new BCryptPasswordEncoder();
		return encoder;
	}

5.项目演示

访问受密码保护的页面: localhost:8080 / spring-security-password-hashing / admin ,显示登录页面。 输入密码“ 123456”,Spring Security将对密码进行哈希处理并将其与数据库中的哈希密码进行比较。

弹簧安全密码编码器

数据库中的用户名和密码。

弹簧安全密码编码器数据库

下载源代码

下载– spring-security-password-hashing.zip (18 KB)

下载– spring-security-password-hashing-annotation.zip (22 KB)

参考文献

  1. 维基百科:Bcrypt
  2. BCryptPasswordEncoder JavaDoc
  3. Spring Security参考:密码编码器
标签:

翻译自: https://mkyong.com/spring-security/spring-security-password-hashing-example/

cyan20115
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring-security(十五) Password编码
高枫的博客
02-19 429
前言: 在实际应用中,如果我们直接把密码以明文形式存储在数据库中存在一定的安全隐患。所以最好以某中方式将密码编码后再存储下来,用户登录时将用户输入的密码也按照相同的编码方式编码后和数据库中存储的密码相比较,即可以完成验证,也保证了密码等敏感信息的安全性。 1.在spring security中主要用PasswordEncoder对密码进行编码,因为历史版本的缘故,spring securi...
Spring SecuritySpring安全框架)入门理解
马超不会铁骑
07-14 831
Security 使用场景:不同用户不同操作
spring security使用哈希加密的密码
Cowboy
10-30 730
spring技术学习,更多知识请访问https://www.itkc8.com 之前我们都是使用MD5 Md5PasswordEncoder 或者SHA ShaPasswordEncoder 的哈希算法进行密码加密,在spring security中依然使用只要指定使用自定义加密算法就行,现在推荐spring使用的BCrypt BCryptPasswordEncoder,一种基于随机生成salt...
Spring Secuirty 密码加密认证讲解
weixin_52834606的博客
08-27 3420
spring Securiy 密码加密 深度讲解
SpringSecurity重写DaoAuthenticationProvider,自定义密码对比类
化名三爷
03-27 2641
b、这里说明一下,我是为了图方便,系统原有密码登录情况下,要加入验证码登录,由于验证码时4-5位纯数字,而密码是6位以上的数字+字母,因此不想Filter这些全部来搞,因此想了这个办法简洁一点,也很快能够完成功能。需求,默认的SpringSecurity密码校验,无法满足需求,需要自定义来进行密码比对。SecurityConfig.java代码如下:一定要注意看说明,不然肯定最后还会有问题。a、网上找了一些教程,没法一步到位,很多代码,连import都没有贴出来,烦死了。2.可能存在问题问题。
Spring security密码加密实现代码实例
08-19
Spring Security 密码加密实现代码实例 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,它提供了一种灵活的方式来管理应用程序的安全性。密码加密是 Spring Security 中的一个关键组件,本文将...
Spring Security示例
09-29
- 实施强密码策略并使用加盐哈希存储用户密码。 - 对敏感数据进行加密,如存储在数据库中的用户密码。 总结来说,Spring Security是一个强大且灵活的安全框架,通过精心配置可以满足各种复杂的访问控制需求。理解并...
狂神Spring Security静态资源
05-15
- 避免使用硬编码密码,而是使用密码哈希和盐值。 - 实现CSRF(跨站请求伪造)防护,Spring Security提供了内置的CSRF保护机制。 - 定期更新依赖库,以防止因已知漏洞导致的安全问题。 7. **Spring Security与...
Spring Security3
07-02
- **密码编码**:采用加密算法对密码进行哈希处理。 - **Salt机制**:为每个用户生成随机salt值,进一步增加破解难度。 **Remember-Me功能的数据库存储** - **Token管理**:将Remember-Me所需的token存储在数据库中...
spring security 参考手册中文版
02-01
Spring Security 参考 1 第一部分前言 15 1.入门 16 2.介绍 17 2.1什么是Spring Security? 17 2.2历史 19 2.3版本编号 20 2.4获得Spring安全 21 2.4.1使用Maven 21 Maven仓库 21 Spring框架 22 2.4.2 Gradle 23 ...
密码转换器可用于生成密码(16位32位)
07-09
将你的一段话打进去或者将你记忆深刻的东西或者你原来的密码打进去,生成16位或者32位的MD5密文,拿这个作为你现在用的密码,安全性一下子提高 这样你再也不用担心用生日或者名字或者各种常用的东西做密码会不安全,只要别人不知道你经过加密的,他们永远穷举不出你的密码,而且这个加密很容易得到,只要你自己记得加密了多少次或者怎么加密,你的密码永远不会忘记
spring security3.x学习(18)_salt以及Bcrypt加密
杜雷的技术博客
09-20 3041
其实,对于基本的权限基础操作我们已经学的差不多了,接下来应该都是一堆复杂或深入的知识了,。呵呵。不过越学越有点意思了。这3天假期也没有浪费啊。  这次看一下登录的加密: 这里在authentication-provider中配置了一个password-encoder标签,其中有个属性叫做hash,就是要加密密码所用的加密方法。看看都
5分钟快速了解区块链中的哈希Hash(用户密码存储举例说明)?
热门推荐
大表哥的博客
09-14 1万+
在区块链中,下一个区块和上一个区块通过哈希来链接。 我建议,像类似非人名命名,而是用某个东西来命名的算法(不管中英文),最好的学习方式就是从名字本身入手,因为算法被命名的时候,设计者肯定是有某种联想的! 从字面意思入手(我是谁?) 首先,来看Hash这个单词的意思。 意思很明显,就是杂乱无章的东西,动词即把XXX弄乱。 so,到这里,我们大概就明白了,哈希值就是一堆杂乱无章的乱码。 ...
spring actuator未授权之heapdump自动化利用【JDumpSpider】
anan的博客
08-16 1万+
一款自动化分析heapdumo的工具
Spring Security安全框架中BCrypt哈希加密算法使用
weixin_44257023的博客
11-15 983
任何应用考虑到安全,绝不能明文的方式保存密码密码应该通过某种方式进行加密。 如今已有很多标准的算法比如SHA或者MD5再结合salt(盐)使用是一个不错的选择。 废话不多说!直接开始 SpringBoot 中提供了Spring SecurityBCryptPasswordEncoder类,实现Spring的PasswordEncoder接口使用BCrypt哈希方法来加密密码。 第一步:p...
004springSecurity之配置类中配置用户名密码
lcgskycby的博客
03-03 525
在配置类中配置用户名密码如下: @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Bean PasswordEncoder passwordEncoder(){ //不加密方式返回 return NoOpPasswordEncoder.getInstance(); } @Override protected void
Security 自定义DaoAuthenticationProvider 实现手动验证
爱情的错的博客
12-19 5852
首先在WebSecurityConfiguration 加上 protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.authenticationProvider(new LoginAuthenticationProvider(loginService)); ...
spring security密码加密
最新发布
07-25
Spring Security中,可以使用多种方式对密码进行加密。以下是其中一种常见的方式: 1. 使用BCryptPasswordEncoder: ```java import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; String...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值