使用Spring Security 5进行密码编码器迁移

最新推荐文章于 2024-04-18 14:09:56 发布
最新推荐文章于 2024-04-18 14:09:56 发布
阅读量202 收藏
点赞数
文章标签: java python 数据库 mysql 大数据

最近,我在一个使用自定义PasswordEncoder的项目中工作,需要将其迁移到bcrypt 。 当前的密码存储为hash ,这意味着不可能将其还原为原始的String –至少不是简单的方法。

这里的挑战是如何支持两种实现,旧的哈希解决方案以及新的bcrypt实现。 经过一些研究,我可以找到Spring Security 5的 DelegatingPasswordEncoder

认识DelegatingPasswordEncoder

DelegatingPasswordEncoder类可以支持基于前缀的多个password encoders 。 密码存储如下: 

{bcrypt}$2a$10$vCXMWCn7fDZWOcLnIEhmK.74dvK1Eh8ae2WrWlhr2ETPLoxQctN4.
{noop}plaintextpassword

Spring Security 5带来了方便的PasswordEncoderFactories类,当前该类支持以下编码器: 

public static PasswordEncoder createDelegatingPasswordEncoder() {
    String encodingId = "bcrypt";
    Map<String, PasswordEncoder> encoders = new HashMap<>();
    encoders.put(encodingId, new BCryptPasswordEncoder());
    encoders.put("ldap", new org.springframework.security.crypto.password.LdapShaPasswordEncoder());
    encoders.put("MD4", new org.springframework.security.crypto.password.Md4PasswordEncoder());
    encoders.put("MD5", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("MD5"));
    encoders.put("noop", org.springframework.security.crypto.password.NoOpPasswordEncoder.getInstance());
    encoders.put("pbkdf2", new Pbkdf2PasswordEncoder());
    encoders.put("scrypt", new SCryptPasswordEncoder());
    encoders.put("SHA-1", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-1"));
    encoders.put("SHA-256", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-256"));
    encoders.put("sha256", new org.springframework.security.crypto.password.StandardPasswordEncoder());

    return new DelegatingPasswordEncoder(encodingId, encoders);
}

现在,无需声明单个PasswordEncoder我们可以使用PasswordEncoderFactories ,例如以下代码片段: 

@Bean
public PasswordEncoder passwordEncoder() {
    return PasswordEncoderFactories.createDelegatingPasswordEncoder();
}

添加自定义编码器

现在,回到我最初的问题,由于遗留原因,有一个本地的password encoding解决方案,并且方便使用的PasswordEncoderFactories对它一无所知,以解决我已经创建了一个类似于PasswordEncoderFactories的类并添加了所有已构建的类的问题。 -in编码器和我的自定义编码器,这是一个示例实现: 

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.DelegatingPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.crypto.password.Pbkdf2PasswordEncoder;
import org.springframework.security.crypto.scrypt.SCryptPasswordEncoder;

import java.util.HashMap;
import java.util.Map;

class DefaultPasswordEncoderFactories {

    @SuppressWarnings("deprecation")
    static PasswordEncoder createDelegatingPasswordEncoder() {
        String encodingId = "bcrypt";
        Map<String, PasswordEncoder> encoders = new HashMap<>();
        encoders.put(encodingId, new BCryptPasswordEncoder());
        encoders.put("ldap", new org.springframework.security.crypto.password.LdapShaPasswordEncoder());
        encoders.put("MD4", new org.springframework.security.crypto.password.Md4PasswordEncoder());
        encoders.put("MD5", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("MD5"));
        encoders.put("noop", org.springframework.security.crypto.password.NoOpPasswordEncoder.getInstance());
        encoders.put("pbkdf2", new Pbkdf2PasswordEncoder());
        encoders.put("scrypt", new SCryptPasswordEncoder());
        encoders.put("SHA-1", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-1"));
        encoders.put("SHA-256", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-256"));
        encoders.put("sha256", new org.springframework.security.crypto.password.StandardPasswordEncoder());
        encoders.put("custom", new CustomPasswordEncoder());

        return new DelegatingPasswordEncoder(encodingId, encoders);
    }
}

然后,我使用DefaultPasswordEncoderFactories声明了@Bean

第一次运行后,我意识到另一个问题,我将必须运行一个SQL脚本来更新所有现有的密码,并添加{custom}前缀,以便框架可以正确地将前缀与正确的PasswordEncoder绑定,不要误解我的意思。很好的解决方案,但是我真的不想弄乱数据库中的现有密码,幸运的是, DelegatingPasswordEncoder类允许我们设置默认的 PasswordEncoder ,这意味着只要框架尝试在存储的密码中找不到前缀,它都会退回default以尝试对其进行解码。

然后,我将实现更改为以下内容: 

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.DelegatingPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.crypto.password.Pbkdf2PasswordEncoder;
import org.springframework.security.crypto.scrypt.SCryptPasswordEncoder;

import java.util.HashMap;
import java.util.Map;

class DefaultPasswordEncoderFactories {

    @SuppressWarnings("deprecation")
    static PasswordEncoder createDelegatingPasswordEncoder() {
        String encodingId = "bcrypt";
        Map<String, PasswordEncoder> encoders = new HashMap<>();
        encoders.put(encodingId, new BCryptPasswordEncoder());
        encoders.put("ldap", new org.springframework.security.crypto.password.LdapShaPasswordEncoder());
        encoders.put("MD4", new org.springframework.security.crypto.password.Md4PasswordEncoder());
        encoders.put("MD5", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("MD5"));
        encoders.put("noop", org.springframework.security.crypto.password.NoOpPasswordEncoder.getInstance());
        encoders.put("pbkdf2", new Pbkdf2PasswordEncoder());
        encoders.put("scrypt", new SCryptPasswordEncoder());
        encoders.put("SHA-1", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-1"));
        encoders.put("SHA-256", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-256"));

        DelegatingPasswordEncoder delegatingPasswordEncoder = new DelegatingPasswordEncoder(encodingId, encoders);
        delegatingPasswordEncoder.setDefaultPasswordEncoderForMatches(new CustomPasswordEncoder());
        return delegatingPasswordEncoder;
    }

}

@Bean声明现在是: 

@Bean
public PasswordEncoder passwordEncoder() {
    return DefaultPasswordEncoderFactories.createDelegatingPasswordEncoder();
}

结论

迁移密码编码器是一个现实生活中的问题, Spring Security 5通过一次支持多个PasswordEncoder提供了一种便捷的方式来轻松处理它。

脚注

翻译自: https://www.javacodegeeks.com/2019/03/password-encoder-migration-spring-security-5.html

dnc8371
关注
上古掌控安全的神-零:Spring Security5.x到Spring Security6.x的迁移
八尺妖剑的博客
04-20 1489
之前有写过一篇关于的文章,但那已经是相对比较旧的版本了,就目前来说,这其中出现了不少的变动和更新,很多API的使用也是有不小的变化,所以我觉得有必要再写几篇文章学习一下,是的,不是一篇,是几篇,下面是初步的写作计划。《上古掌控安全的神-壹:Spring Security6.0+版本初探》《上古掌控安全的神-贰:Spring Security6.0+版本再探》《上古掌控安全的神-叁:Spring Security6.0+版本认证实践》
Spring Security-部分官方文档翻译以及思考-密码编码器
渡鸦的博客
07-10 1395
Spring Security-部分官方文档翻译以及思考-密码编码器
Spring Security3》第十三章翻译(迁移Spring Security 3)
张卫滨的技术记录
02-13 142
  第十三章 迁移Spring Security 3          在最后一章中,我们将会了解从Spring Security2迁移Spring Security3时常见问题的相关情况。          在本章中,我们将会: l  了解Spring Security 3的重要增强; l  理解已有的Spring Security 2应用迁移Spring Secu...
Spring Security with Spring Boot 2.0:密码编码器
最佳 Java 编程
06-08 204
在上一篇文章中,我们使用了用户详细信息服务,以便提供一种基于给定用户名从函数加载数据的方法。 用户详细信息的实现可能由内存机制,sql / no-sql数据库等支持。 选项是无限的。 关于密码存储,我们必须注意的是密码哈希。 出于安全原因,我们希望以散列形式存储密码。 假设有人未经授权访问了存储我们用户数据的表。 通过存储密码明文,用户可以检索系统中每个用户的密码。 因此,...
Spring Security加密策略(转载)
pan-zy的专栏
11-08 582
Acegi 对于密码提供三种方式:明文及不采用任何加密方式、MD5加密方式、哈希算法加密方式。 只需要在DAO的认证管理器中分别加入以下对应配置: 第一种:不使用任何加密方式的配置 [html] view plaincopy bean id="daoAuthenticationProvider"       class="org.acegisecu
PasswordEncoder密码编码器
weixin_60600107的博客
11-01 2704
PasswordEncoder使用哈希算法+随机盐来对字符串加密。因为哈希是一种不可逆算法,所以密码认证时需要使用相同的算法+盐值来对待校验的明文进行加密,然后比较这两个密文来进行验证。Spring Security封装了如PBKDF2 , scrypt, Argon2,bcrypt等主流适应性单向加密方法,支持不同的密码加密方式,而且根据不同的用户可以使用不同的加密方式。可以看到,下面这个encode()方法中先得到了一个盐值加盐,并且进行hash加密,所以每次得到的密文都不一样,保证了加密后的安全性。
深入浅析Spring Security5中默认密码编码器
08-26
对于迁移现有密码,我们可以通过以下方式将现有密码更新为推荐的Spring Security 5标准:更新纯文本存储密码及其编码值,前缀散列存储的密码及其已知的编码器标识符。 在Spring Security 5中,默认密码编码器使用...
spring security 参考手册中文版
02-01
添加密码编码器 56 6.3高级Web功能 56 6.3.1记得我认证 56 6.3.2添加HTTP / HTTPS通道安全 57 6.3.3会话管理 57 检测超时 57 并发会话控制 58 会话固定攻击保护 59 6.3.4 OpenID支持 60 属性交换 61 6.3.5响应头 62 ...
SpringSecurity 中文
06-25
- **密码编码**:使用BCryptPasswordEncoder或其它安全的编码器。 - **Salt**:为每个用户提供唯一的salt值,增加破解难度。 **将Remember Me功能迁移数据库** - **配置**:将Remember Me token存储在数据库中,...
Java密码加密解密器------CustomDelegatingPasswordEncoder密码编码器
豢龙先生
09-10 644
package com.wholesmart.core.security.common; import java.util.HashMap; import java.util.Map; import org.springframework.security.crypto.argon2.Argon2PasswordEncoder; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.sprin
DelegatingPasswordEncoder
Leon_Jinhai_Sun的博客
05-09 1584
根据上面 PasswordEncoder的介绍,可能会以为 Spring security 中默认的密码加密方案应该是四种自适应单向加密函数中的一种,其实不然,在 spring Security 5.0之后,默认的密码加密方案其实是 DelegatingPasswordEncoder。从名字上来看,DelegatingPaswordEncoder 是一个代理类,而并非一种全新的密码加密方案,DeleggtinePasswordEncoder 主要用来代理上面介绍的不同的密码加密方案。为什么采Delegati
【深入浅出 Spring Security(六)】一文搞懂密码的加密和比对
qq_63691275的博客
06-05 3085
自定义加密通过源码分析可以得出两种自定义的方案:1.使用 {id} 的形式,即在密码前加上 {id},例如:{noop}123,即表示等密码比对的时候用 NoOpPasswordEncoder 中的matches方法进行比对。2.向 Spring 容器中注入 PasswordEncoder 实例,这样Spring Security 会选择注入的实例去进行密码的比对,缺点是整个项目的密码比对都只能采用这种比对方案。
DelegatingPasswordEncoder密码自动升级
Leon_Jinhai_Sun的博客
05-09 548
推荐使用DelegatingPasswordEncoder 的另外一个好处就是自动进行密码加密方案的升级,这个功能在整合一些老的系统时非常有用。 准备库表 -- 用户表 CREATE TABLE `user` ( `id` int(11) NOT NULL AUTO_INCREMENT, `username` varchar(32) DEFAULT NULL, `password`
11.PasswordEncoder详解与实战
06-01 919
这节课我们开始讲PasswordEncoder,如果大家还有印象的话,我们前面有提到过PasswordEncoder:为什么密码使用{noop}开头呢?我们也做出了相应的解释,这节课开始带大家真正的了解PasswordEncoder,
常见的密码加密方式有哪些?2分钟带你快速了解!
最新发布
qq_56999608的博客
04-18 5458
哈喽,大家好呀!这里是码农后端。本篇将带你了解一些常见的密码加密方式。毋庸置疑,密码的安全性对于用户来说是非常重要的,如何保证密码的安全性使其不被破解也是一直以来的一个非常重要的话题。1、密码加密方式1.1 明文密码最初,密码以明文形式存储在数据库中。但是恶意用户可能会通过SQL注入等手段获取到明文密码,或者也可能发生程序员将数据库数据泄露的情况。1.2 Hash算法Spring Security...
SpringSecurity(三)PasswordEncoder
热门推荐
qq_44969643的博客
11-05 2万+
数据安全是很重要的事情,关键数据传输时,要加密;数据库里面的重要信息也要加密。 在开始本章之前,我想先分享一个故事,上个星期我的一台服务器被勒索病毒攻击了,里面很多信息都没有了,数据库也没有了,只留下一个地址,让我给对方付0.03比特币(3000元左右),非常难受(上半年侥幸活下来了,下半年的事都有点难顶呀),平台说cpu没事,让我重装系统(甩锅,看来免费的东西都不怎么靠谱);平台给了我几条建议: 1.禁用ROOT 2.用户名和密码尽量复杂 3.修改ssh的默认22端口 4.安装De..
关于java密码的加密(使用PasswordEncoderFactories))
qq_35069673的博客
05-17 6930
这里使用的是Spring Security 5中 的PasswordEncoder 增加 PasswordEncoderFactories 类提供一个静态方法 createDelegatingPasswordEncoder()方法, 使用委托方式创建PasswordEncoder的实现 PasswordEncoderFactories.createDelegatingPasswordEncode...
通俗易懂的告诉你,https是如何保证数据安全的
前端下午茶
09-07 722
HTTP存在的问题窃听风险:通信使用明文(不加密),内容可能会被窃听(第三方可能获知通信内容)冒充风险:不验证通信方的身份,因此有可能遭遇伪装篡改风险:无法证明报文的完整性,所以有可能已...
Spring Security与OAuth2实战教程全解析
DelegatingPasswordEncoder是Spring Security 5中引入的密码编码器,它支持多种编码方式,并且可以实现密码格式的迁移。 21. 自定义登录页 自定义登录页允许开发者设计符合品牌或公司风格的登录界面,需要配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值