使用Spring Security 5进行密码编码器迁移

最新推荐文章于 2022-11-25 00:30:10 发布
最新推荐文章于 2022-11-25 00:30:10 发布
阅读量280 收藏
点赞数
文章标签: java python 数据库 mysql 大数据

最近,我在一个使用自定义PasswordEncoder的项目中工作,需要将其迁移到bcrypt 。 当前的密码存储为hash ,这意味着不可能将其还原为原始的String –至少不是简单的方法。

这里的挑战是如何支持两种实现,旧的哈希解决方案以及新的bcrypt实现。 经过一些研究,我可以找到Spring Security 5的 DelegatingPasswordEncoder

认识DelegatingPasswordEncoder

DelegatingPasswordEncoder类可以支持基于前缀的多个password encoders 。 密码存储如下: 

{bcrypt}$2a$10$vCXMWCn7fDZWOcLnIEhmK.74dvK1Eh8ae2WrWlhr2ETPLoxQctN4.
{noop}plaintextpassword

Spring Security 5带来了方便的PasswordEncoderFactories类,当前该类支持以下编码器: 

public static PasswordEncoder createDelegatingPasswordEncoder() {
    String encodingId = "bcrypt";
    Map<String, PasswordEncoder> encoders = new HashMap<>();
    encoders.put(encodingId, new BCryptPasswordEncoder());
    encoders.put("ldap", new org.springframework.security.crypto.password.LdapShaPasswordEncoder());
    encoders.put("MD4", new org.springframework.security.crypto.password.Md4PasswordEncoder());
    encoders.put("MD5", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("MD5"));
    encoders.put("noop", org.springframework.security.crypto.password.NoOpPasswordEncoder.getInstance());
    encoders.put("pbkdf2", new Pbkdf2PasswordEncoder());
    encoders.put("scrypt", new SCryptPasswordEncoder());
    encoders.put("SHA-1", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-1"));
    encoders.put("SHA-256", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-256"));
    encoders.put("sha256", new org.springframework.security.crypto.password.StandardPasswordEncoder());

    return new DelegatingPasswordEncoder(encodingId, encoders);
}

现在,无需声明单个PasswordEncoder我们可以使用PasswordEncoderFactories ,例如以下代码片段: 

@Bean
public PasswordEncoder passwordEncoder() {
    return PasswordEncoderFactories.createDelegatingPasswordEncoder();
}

添加自定义编码器

现在,回到我最初的问题,由于遗留原因,有一个自家的password encoding解决方案,而且方便使用的PasswordEncoderFactories对此一无所知,以解决我已经创建了一个类似于PasswordEncoderFactories的类并添加了所有-in编码器和我的自定义编码器,这是一个示例实现: 

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.DelegatingPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.crypto.password.Pbkdf2PasswordEncoder;
import org.springframework.security.crypto.scrypt.SCryptPasswordEncoder;

import java.util.HashMap;
import java.util.Map;

class DefaultPasswordEncoderFactories {

    @SuppressWarnings("deprecation")
    static PasswordEncoder createDelegatingPasswordEncoder() {
        String encodingId = "bcrypt";
        Map<String, PasswordEncoder> encoders = new HashMap<>();
        encoders.put(encodingId, new BCryptPasswordEncoder());
        encoders.put("ldap", new org.springframework.security.crypto.password.LdapShaPasswordEncoder());
        encoders.put("MD4", new org.springframework.security.crypto.password.Md4PasswordEncoder());
        encoders.put("MD5", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("MD5"));
        encoders.put("noop", org.springframework.security.crypto.password.NoOpPasswordEncoder.getInstance());
        encoders.put("pbkdf2", new Pbkdf2PasswordEncoder());
        encoders.put("scrypt", new SCryptPasswordEncoder());
        encoders.put("SHA-1", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-1"));
        encoders.put("SHA-256", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-256"));
        encoders.put("sha256", new org.springframework.security.crypto.password.StandardPasswordEncoder());
        encoders.put("custom", new CustomPasswordEncoder());

        return new DelegatingPasswordEncoder(encodingId, encoders);
    }
}

然后,我使用DefaultPasswordEncoderFactories声明了@Bean

第一次运行后,我意识到另一个问题,我将必须运行一个SQL脚本来更新所有现有的密码,并添加{custom}前缀,以便框架可以正确地将前缀与正确的PasswordEncoder绑定,不要误解我的意思。很好的解决方案,但我真的不想弄乱数据库中的现有密码,幸运的是, DelegatingPasswordEncoder类允许我们设置默认的 PasswordEncoder ,这意味着每当框架尝试在存储的密码中找不到前缀时,它将退回default以尝试对其进行解码。

然后,我将实现更改为以下内容: 

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.DelegatingPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.crypto.password.Pbkdf2PasswordEncoder;
import org.springframework.security.crypto.scrypt.SCryptPasswordEncoder;

import java.util.HashMap;
import java.util.Map;

class DefaultPasswordEncoderFactories {

    @SuppressWarnings("deprecation")
    static PasswordEncoder createDelegatingPasswordEncoder() {
        String encodingId = "bcrypt";
        Map<String, PasswordEncoder> encoders = new HashMap<>();
        encoders.put(encodingId, new BCryptPasswordEncoder());
        encoders.put("ldap", new org.springframework.security.crypto.password.LdapShaPasswordEncoder());
        encoders.put("MD4", new org.springframework.security.crypto.password.Md4PasswordEncoder());
        encoders.put("MD5", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("MD5"));
        encoders.put("noop", org.springframework.security.crypto.password.NoOpPasswordEncoder.getInstance());
        encoders.put("pbkdf2", new Pbkdf2PasswordEncoder());
        encoders.put("scrypt", new SCryptPasswordEncoder());
        encoders.put("SHA-1", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-1"));
        encoders.put("SHA-256", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-256"));

        DelegatingPasswordEncoder delegatingPasswordEncoder = new DelegatingPasswordEncoder(encodingId, encoders);
        delegatingPasswordEncoder.setDefaultPasswordEncoderForMatches(new CustomPasswordEncoder());
        return delegatingPasswordEncoder;
    }

}

@Bean声明现在是: 

@Bean
public PasswordEncoder passwordEncoder() {
    return DefaultPasswordEncoderFactories.createDelegatingPasswordEncoder();
}

结论

迁移密码编码器是一个现实生活中的问题, Spring Security 5通过一次支持多个PasswordEncoder提供了一种便捷的方式来轻松处理它。

脚注

翻译自: https://www.javacodegeeks.com/2019/03/password-encoder-migration-spring-security-5.html

dnc8371
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
入门到精通:SpringBoot2和SpringSecurity5视频教程
11-12
<img src="https://img-bss.csdn.net/202003040840325012.jpg" alt="" />
SpringSecurity------PasswordEncoder(二)
豢龙先生
06-11 1067
SpringSecurity密码存储PasswordEncoder接口
Spring Security 5.0的DelegatingPasswordEncoder详解
weixin_34301307的博客
11-13 1008
本文参考自Spring Security 5.0.4.RELEASE 的官方文档,结合源码介绍了 DelegatingPasswordEncoder,对其工作过程进行分析并解决其中遇到的问题。包括 There is no PasswordEncoder mapped for the id “null” 非法参数异常的正确处理方法。 PasswordEncoder首先要理解 DelegatingPa...
springsecurity初体验(5.3.5官方文档)-1
tianyadaoke2020的博客
08-27 1702
5.1.2 密码存储 PasswordEncoder,5.0之前默认的NoOpPasswordEncoder ,框架用了DelegatingPasswordEncoder模式,方便将来更新存储方式的时候不用变动框架。 创建委托: PasswordEncoder passwordEncoder = PasswordEncoderFactories.createDelegatingPasswordEncoder(); 创建自定义的委托: String idForEncode = "bcrypt"; M
深入浅析Spring Security5中默认密码编码器
08-26
主要介绍了Spring Security5中默认密码编码器,非常不错,具有一定的参考借鉴价值 ,需要的朋友可以参考下
spring security 5.x实现兼容多种密码的加密方式
08-28
spring security针对该功能有两种实现方式,一种是简单的使用加密来保证基于 cookie 的 token 的安全,另一种...这篇文章主要给大家介绍了关于spring security 5.x实现兼容多种密码的加密方式,需要的朋友可以参考下。
Spring Security保护用户密码常用方法详解
09-07
主要介绍了Spring Security保护用户密码常用方法详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
JavaSpringSecurity密码错误5次锁定用户的实现方法
08-31
主要介绍了JavaSpringSecurity密码错误5次锁定用户的实现方法,非常不错,具有参考借鉴价值,需要的朋友可以参考下
详解使用Spring Security进行自动登录验证
08-29
本篇文章主要介绍了详解使用Spring Security进行自动登录验证,非常具有实用价值,需要的朋友可以参考下
Spring Security密码加密
大后生大大大的博客
11-25 2861
PasswordEncoder、DelegatingPasswordEncoder、PasswordEncoderFactories
SpringSecurity提供的加密算法BCryptPasswordEncoder
const_
03-31 2668
BCryptPasswordEncoder BCryptPasswordEncoder方法采用SHA-256 +随机盐+密钥对密码进行加密。密码是不可逆的。 SHA系列是Hash算法,不是加密算法,使用加密算法意味着可以解密(这个与编码/解码一样),但是采用Hash处理,其过程是不可逆的。 1、加密(encode):注册用户时,使用SHA-256+随机盐+密钥把用户输入的密码进行hash处理,得到密码的hash值,然后将其存入数据库中。 2、密码匹配(matches):用户登录时,密码匹配阶段并没有进行密码
DelegatingPasswordEncoder
Leon_Jinhai_Sun的博客
05-09 1532
根据上面 PasswordEncoder的介绍,可能会以为 Spring security 中默认的密码加密方案应该是四种自适应单向加密函数中的一种,其实不然,在 spring Security 5.0之后,默认的密码加密方案其实是 DelegatingPasswordEncoder。从名字上来看,DelegatingPaswordEncoder 是一个代理类,而并非一种全新的密码加密方案,DeleggtinePasswordEncoder 主要用来代理上面介绍的不同的密码加密方案。为什么采Delegati
spring security 原理自定义用户验证逻辑passwordEncoder验证
weixin_42546729的博客
06-20 3139
过滤器链 流程 filtersecurityInterceptor UserDetails自定义验证流程 自定义插件 package com.imoke.web.Config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configur...
【转载】该如何设计你的 PasswordEncoder?
woluoyifan的博客
08-26 2115
缘起 前端时间将一个集成了 spring-security-oauth2 的旧项目改造了一番,将 springboot 升级成了 springboot 2.0,众所周知 springboot 2.0 依赖的是 spring5,并且许多相关的依赖都发生了较大的改动,与本文相关的改动罗列如下,有兴趣的同学可以看看:Spring Security 5.0 New Features ,增强了 oauth...
升级到spring security5遇到的坑-密码存储格式
热门推荐
smollsnail的博客
12-29 1万+
spring security oauth2(包括spring security)升级到最新,代码没有改动,运行项目没有报错,但是页面登陆时报错:There is no PasswordEncoder mapped for the id “null”
Spring Security5+ 用户认证、授权及注销
静水流深,沧笙踏歌
04-16 2796
Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring Security的真正强大之处在于它可以很容易地扩展以满足定制需求。虽然拦截器、过滤器也可以在一定程度上起到安全认证的作用,但是对码农来说,大量原生的代码及代码冗余,十分的不友好。本文以Spring Security5.6.2版本来对用户认证、授权、注销及权限控制做个说明。 一、Spring Security简单介绍 1、到博主写博客的时间为止,Spring Secur
Spring Security PasswordEncoder 密码校验和密码加密流程
hdfg159的专栏
05-29 1万+
Spring Security PasswordEncoder 密码校验和密码加密流程 本文使用的源码是 Spring Security 5.1.2 http://central.maven.org/maven2/org/springframework/security/spring-security-core/5.1.2.RELEASE/spring-security-core-5.1.2.R...
Spring Security 默认的 PasswordEncoder 不满足实际需要引发的源码阅读之旅
给自己一个前行的动力
08-08 8387
当我们在使用 Spring Security 时,大多数时可能直接使用了系统默认的实现: @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } 或者最多按自己的逻辑实现 PasswordEncoder 接口: public class MyPasswordE...
Spring Security 5开始,自定义用户认证必须设置密码编码器用于保护密码
最新发布
06-13
是的,从Spring Security 5开始,密码编码器被添加到了安全框架中,以提高密码的安全性。它强制要求应用程序在进行用户认证时使用密码编码器来加密密码,并在验证用户时使用相同的编码器来解密用户提供的密码并将其...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值