前言:
在实际应用中,如果我们直接把密码以明文形式存储在数据库中存在一定的安全隐患。所以最好以某中方式将密码编码后再存储下来,用户登录时将用户输入的密码也按照相同的编码方式编码后和数据库中存储的密码相比较,即可以完成验证,也保证了密码等敏感信息的安全性。
1.在spring security中主要用PasswordEncoder对密码进行编码,因为历史版本的缘故,spring security中存在两个PasswordEncoder接口,一个存放在org.springframework.security.authentication.encoding包下面,只是为了和遗留系统兼容,已经不推荐使用,另一个放在org.springframework.security.crypto.password包下面,是重新设计的一套编码实现,新开发的应用应该采用这个包下的编码类。spring 给我们提供的认证实现类DaoAuthenticationProvider这两套密码编码方式都支持。
实际应用中不要选择普通的哈希函数如MD5、SHA,即便是追加了salted的版本也不要选,因为这种普通的哈希函数计算速度很快,这样攻击者就可以在很短时间内执行成百上千次的攻击。spring提供的org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder类是一个不错的选择,因为Bcrypt故意设计的计算速度很慢,就是为了应对密码攻击。记住在生产环境里,即便我们的数据库很安全也不要考虑把密码存储成明文形式。
2.那么什么是哈希呢
对密码进行哈希处理并不是spring security特有的概念,而是安全系统的一个通用概念。哈希算法是个单向函数,对输入的数据(如密码)进行计算,输出一个固定长度的数据(哈希码
在实际应用中,如果我们直接把密码以明文形式存储在数据库中存在一定的安全隐患。所以最好以某中方式将密码编码后再存储下来,用户登录时将用户输入的密码也按照相同的编码方式编码后和数据库中存储的密码相比较,即可以完成验证,也保证了密码等敏感信息的安全性。
1.在spring security中主要用PasswordEncoder对密码进行编码,因为历史版本的缘故,spring security中存在两个PasswordEncoder接口,一个存放在org.springframework.security.authentication.encoding包下面,只是为了和遗留系统兼容,已经不推荐使用,另一个放在org.springframework.security.crypto.password包下面,是重新设计的一套编码实现,新开发的应用应该采用这个包下的编码类。spring 给我们提供的认证实现类DaoAuthenticationProvider这两套密码编码方式都支持。
实际应用中不要选择普通的哈希函数如MD5、SHA,即便是追加了salted的版本也不要选,因为这种普通的哈希函数计算速度很快,这样攻击者就可以在很短时间内执行成百上千次的攻击。spring提供的org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder类是一个不错的选择,因为Bcrypt故意设计的计算速度很慢,就是为了应对密码攻击。记住在生产环境里,即便我们的数据库很安全也不要考虑把密码存储成明文形式。
2.那么什么是哈希呢
对密码进行哈希处理并不是spring security特有的概念,而是安全系统的一个通用概念。哈希算法是个单向函数,对输入的数据(如密码)进行计算,输出一个固定长度的数据(哈希码