Spring Security 3.1 中功能强大的加密工具 PasswordEncoder

最新推荐文章于 2023-06-01 22:04:38 发布
最新推荐文章于 2023-06-01 22:04:38 发布
阅读量264 收藏 2
点赞数
分类专栏: security spring 文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_12411/article/details/82282229
版权

好吧,这种加密机制很复杂,还是看下图比较好了解:

 

 3.1.0版本中新的PasswordEncoder继承关系 

    

 

 

而在Spring-Security 3.1.0 版本之后,Spring-security-crypto模块中的password包提供了更给力的加密密码的支持,这个包中也有PasswordEncoder接口,接口定义如下。 

 

 

    Public interface PasswordEncoder{
      String encode(String rawPassword);
      Boolean matches(String rawPassword,String encodedPassword);
    }
 

 

 

 定义了两个方法,encode方法是对方法加密,而match方法是用来验证密码和加密后密码是否一致的,如果一致则返回true。和authentication.encoding包中的PasswordEncoder接口相比,简化了许多。 

 

   位于org.springframeword.security.crypto.password包中的 

StandardPasswordEncoder类,是PasswordEncoder接口的(唯一)一个实现类,是本文所述加密方法的核心。它采用SHA-256算法,迭代1024次,使用一个密钥(site-wide secret)以及8位随机盐对原密码进行加密。 

   随机盐确保相同的密码使用多次时,产生的哈希都不同; 密钥应该与密码区别开来存放,加密时使用一个密钥即可;对hash算法迭代执行1024次增强了安全性,使暴力破解变得更困难些。 

 

   和上一个版本的PasswordEncoder比较,好处显而易见:盐值不用用户提供,每次随机生成;多重加密————迭代SHA算法+密钥+随机盐来对密码加密,大大增加密码破解难度。 

 

 

OK,了解了原理我们可以来测试一下:

import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.crypto.password.StandardPasswordEncoder;

/**
 * @author XUYI
 * Spring Security 3.1 PasswordEncoder
 */
public class EncryptUtil {
    //从配置文件中获得
    private static final String SITE_WIDE_SECRET = "my-secret-key";
    private static final PasswordEncoder encoder = new StandardPasswordEncoder(
       SITE_WIDE_SECRET);
 
    public static String encrypt(String rawPassword) {
         return encoder.encode(rawPassword);
    }
 
    public static boolean match(String rawPassword, String password) {
         return encoder.matches(rawPassword, password);
    }
    
    public static void main(String[] args) {
		System.out.println(EncryptUtil.encrypt("每次结果都不一样伐?"));
		System.out.println(EncryptUtil.encrypt("每次结果都不一样伐?"));
        System.out.println(EncryptUtil.encrypt("每次结果都不一样伐?"));
		System.out.println(EncryptUtil.encrypt("每次结果都不一样伐?"));
        System.out.println(EncryptUtil.encrypt("每次结果都不一样伐?"));  
        //但是把每次结果拿出来进行match,你会发现可以得到true。
	}
 }
 
iteye_12411
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring security BCryptPasswordEncoder密码验证原理详解
08-24
主要介绍了Spring security BCryptPasswordEncoder密码验证原理详解,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
BCryptPasswordEncoder的使用及原理
热门推荐
码农UP2U
12-04 2万+
Spring Security 有一个加密的类 BCryptPasswordEncoder ,它的使用非常的简单而且也比较有趣。让我们来看看它的使用。 BCryptPasswordEncoder 的使用 首先创建一个 SpringBoot 的项目,在创建项目的时候添加 Spring Security 的依赖。然后我们添加一个测试类,写如下的代码: final private String password = "123456"; @Test public v......
PasswordEncoder密码编码器
weixin_60600107的博客
11-01 2378
PasswordEncoder使用哈希算法+随机盐来对字符串加密。因为哈希是一种不可逆算法,所以密码认证时需要使用相同的算法+盐值来对待校验的明文进行加密,然后比较这两个密文来进行验证。Spring Security封装了如PBKDF2 , scrypt, Argon2,bcrypt等主流适应性单向加密方法,支持不同的密码加密方式,而且根据不同的用户可以使用不同的加密方式。可以看到,下面这个encode()方法先得到了一个盐值加盐,并且进行hash加密,所以每次得到的密文都不一样,保证了加密后的安全性。
Spring Security - PasswordEncoder
风吹草动的博客
02-21 3622
SpringBoot 在认证时的密码hash的实装 Spring Security4.2.2.RELEASE的 PasswordEncoder 关系图 以前介绍过 NoOpPasswordEncoder,为了测试用的 no hash, 参照;NoOpPasswordEncoder 这次使用 BCryptPasswordEncoder BCryptPasswordEncoder 依赖关系 // A...
springSecurityPasswordEncoder
梦想是很难很难的,所以先勇敢一点
02-05 4884
密码存储演进史 自从互联网有了用户的那一刻起,存储用户密码这件事便成为了一个健全的系统不得不面对的一件事。 远古时期,明文存储密码可能还不被认为是一个很大的系统缺陷(事实上这是一件很恐怖的事)。提及明文存储密码,我立刻联想到的是 CSDN 社区在 2011 年末发生的 600 万用户密码泄露的事件,谁也不会想到这个和程序员密切相关的网站会犯如此低级的错误。 明文存储密码使得恶意用户可以通过 sql 注入等攻击方式来获取用户名和密码,虽然安全框架和良好的编码规范可以规避很多类似的攻击,但依旧避免不了系统管理员
spring_security_3.1
09-14
spring集成使用的完美权限框架,学习java一定要学会spring_security
springsecurity3.1.pdf
05-10
springsecurity3.1.pdf
spring security3.1高级详细开发指南
04-07
spring security3.1高级详细开发指南 包含一个简单例子和一个复杂例子
Spring Security3.1实践
04-09
NULL 博文链接:https://aokunsang.iteye.com/blog/1638558
Spring Security 3.1.pdf
05-24
Spring Security 3.1.pdf
PasswordEncoder详解
wh柒八九的博客
07-01 1万+
本文来讲下PasswordEncoder相关的知识与内容 文章目录概述 概述
通俗易懂的告诉你,https是如何保证数据安全的
前端下午茶
09-07 667
HTTP存在的问题窃听风险:通信使用明文(不加密),内容可能会被窃听(第三方可能获知通信内容)冒充风险:不验证通信方的身份,因此有可能遭遇伪装篡改风险:无法证明报文的完整性,所以有可能已...
Spring Security:密码编码器PasswordEncoder介绍与Debug分析
kaven
01-05 3506
博主在之前已经介绍了Spring Security的用户UserDetails与用户服务UserDetailsService,本篇博客介绍Spring Security的密码编码器PasswordEncoder,它们是相互联系的,博主会带大家一步步深入理解Spring Security的实现原理,也会带来Spring Security的实战分享。 Spring Security:用户UserDetails源码与Debug分析 Spring Security:用户服务UserDetailsService源码
四、PasswordEncoder详解
weixin_44684812的博客
09-02 377
四、PasswordEncoder详解PasswordEncoder接口BCryptPasswordEncoder实现 PasswordEncoder接口 PasswordEncoder是一个密码解析器 Spring Security封装了如bcrypt, PBKDF2, scrypt, Argon2等主流适应性单向加密方法( adaptive one-way functions),用以进行密码存储和校验。单向校验安全性高,但开销很大,单次密码校验耗时可能高达1秒,故针对高并发性能要求较强的大型信息系统
SpringSecurity------PasswordEncoder(二)
豢龙先生
06-11 1077
SpringSecurity密码存储PasswordEncoder接口
passwordEncoder must be a PasswordEncoder instance
杨博程的专栏
09-12 8483
Spring4+SpringMVC4+Hibernate4集成Spring Security问题 异常:passwordEncoder must be a PasswordEncoder instance 对与Srping Security的问题,网上能查到的不多,许多东西也是东凑西凑再加上自己查文档并实践和尝试,问题才能得到解决。 报错信息: Caused by:
11.PasswordEncoder详解与实战
最新发布
06-01 768
这节课我们开始讲PasswordEncoder,如果大家还有印象的话,我们前面有提到过PasswordEncoder:为什么密码使用{noop}开头呢?我们也做出了相应的解释,这节课开始带大家真正的了解PasswordEncoder,
Spring Security灵活的PasswordEncoder加密方式
恒宇少年De成长之路
10-22 4480
知识改变命运,撸码使我快乐,2020继续游走在开源界 点赞再看,养成习惯 给我来个Star吧,点击了解下基于SpringBoot的组件化接口服务落地解决方案 本章基于Spring Security 5.4.1版本编写,从5.x版本开始引入了很多新的特性。 为了适配老系统的安全框架升级,Spring Security也是费劲了心思,支持不同的密码加密方式,而且根据不同的用户可以使用...
Spring SecurityPasswordEncoder密码加密匹配操作
席木木的博客
01-02 3322
Spring Security:`PasswordEncoder`与`BCryptPasswordEncoder`密码加密匹配操作,包含:SpringBoot注入BCryptPasswordEncoder实例的配置方法,以及BCryptPasswordEncoder与父接口详解、测试方法。
java 不拦截指定url,Spring Security 3.1拦截url不拦截任何网址
05-27
您好,针对您的问题,您可以通过配置Spring Security的忽略列表来实现不拦截指定URL,同时拦截其他URL。具体的实现方式如下: 1. 在Spring Security的配置文件添加以下代码,将需要忽略的URL添加到忽略列表: ``` <http> <!-- 忽略的URL列表 --> <intercept-url pattern="/url1" access="permitAll" /> <intercept-url pattern="/url2" access="permitAll" /> <intercept-url pattern="/url3" access="permitAll" /> ... <!-- 其他URL的访问控制 --> <intercept-url pattern="/**" access="ROLE_USER" /> ... </http> ``` 2. 在上述代码,`/url1`、`/url2`、`/url3`是需要忽略的URL,可以根据实际情况进行修改。`ROLE_USER`是其他URL的访问控制,也可以根据实际情况进行修改。 3. 保存配置文件后,重新部署应用程序即可生效。 希望以上内容能够帮助到您。如果您有任何疑问,请随时提出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值