Spring security5.5.7出现Encoded password does not look like BCrypt异常

已于 2024-01-25 15:28:40 修改
阅读量2.7k 收藏 9
点赞数
分类专栏: spring security 文章标签: spring spring boot spring security
于 2022-06-27 14:03:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kevingavinhu/article/details/125481425
版权

目录

背景:

解决方案:

BCryptPasswordEncoder介绍

具体代码改动:

背景:

        一个老项目,由于2022年爆发了spring bean和spring core的漏洞,将springboot从1.5.4升级到2.5.14版本,修复了spring的漏洞。同时spring security也需要同步升级,升级过程中出现了一系列错误。故做一个记录在此。

问题:登录权限系统时,出现Encoded password does not look like BCrypt异常错误;同时报出clientSecret不匹配的问题。

解决方案:

统一采用PasswordEncoderFactories.createDelegatingPasswordEncoder()去获取到密码加密器PasswordEncoder

(1)新版本的Spring Security对客户端的密钥进行了加密处理,配置中需要使用PasswordEncoderFactories.createDelegatingPasswordEncoder().encode进行加密;

(2)登录成功后的handler,则需要采用PasswordEncoderFactories.createDelegatingPasswordEncoder().matches(clientSecret,clientDetails.getClientSecret())判断密钥是否匹配,而不是采用原有旧版的未加密的密钥进行equal进行比较字符串。

BCryptPasswordEncoder介绍

Spring Security 中提供了 BCryptPasswordEncoder用于用户密码的加密和验证,这里讲解一下该 PasswordEncoder 的实现逻辑.

首先 BCryptPasswordEncoder 使用了 BCrypt 算法来对密码实现加密和验证。由于 BCrypt本身是一种 单向Hash算法,因此它和我们日常用的 MD5一样,通常情况下是无法逆向解密的。

在 BSD系统中 BCrypt 算法主要用来替代 md5 加密算法,它使用了一种可变版本的Blowfish流密码算法。通过多次加盐和随机数,因此这套加密算法被广泛用于许多系统的密码加密当中。

然而每次加密的结果是不一样的,如果采用两次加密的结果进行equal比较,那是得不到真实的true结果的。

具体代码改动:

(1)注册一个bean,覆盖原有的PasswordEncoder

	/**
	 * 加密方式,spring security5.5.7升级后,默认采用BCryptPasswordEncoder
	 * @return
	 */
	@Bean
	public PasswordEncoder passwordEncoder() {
		return PasswordEncoderFactories.createDelegatingPasswordEncoder();
	}

(1)项目启动时,加载的认证服务器配置的修改

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
    /**
     * 引入BCrypt强哈希加密和解密工具
     */
    @Autowired
    private PasswordEncoder passwordEncoder;
	
	/*
     * 客户端配置改动
     *
     * @param clients
     * @throws Exception
     */
    
     @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {

        InMemoryClientDetailsServiceBuilder builder = clients.inMemory();
        //spirng boot 1.5.* 升级到spring boot 2.0以上,当再次访问授权服务器时出现Encoded password does not look like BCrypt异常,需要passwordEncoder.encode
        if (ArrayUtils.isNotEmpty(securityProperties.getOauth2().getClients())) {
            for (OAuth2ClientProperties config : securityProperties.getOauth2().getClients()) {
                //设置clientid
                builder.withClient(config.getClientId())
                        // 设置clientsecret,需要加密配置
                        .secret(passwordEncoder.encode(config.getClientSecret()))
                        // 设置令牌过期时间,单位秒,默认7200,定义在OAuth2ClientProperties
                        .accessTokenValiditySeconds(config.getAccessTokenValidateSeconds())
                        // 允许的授权模式
                        .authorizedGrantTypes("refresh_token", "authorization_code", "password")
                        // 设置刷新令牌的过期时间,单位秒,这里设置为60天
                        .refreshTokenValiditySeconds(5184000)
                        // 配置oauth能获取的权限,是一个数组
                        .scopes("all", "write", "read");
            }
        }
}

(2)构造用户登录信息

@Component
public class MyUserDetailsService implements UserDetailsService {
    /**
	 * 注入加密器
	 */
    @Autowired
	private PasswordEncoder passwordEncoder;
	/**
	 * 搜索用户信息,构造登录用户
	 * @param username
	 * @return
	 * @throws UsernameNotFoundException
	 */
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		//其他数据库查询等逻辑省略........
		logger.info("表单登录用户名:" + username);
		
//进行权限系统登录,密码前面需要加上加密的方式,调用createDelegatingPasswordEncoder后默认会加上{bcrypt}在密码前面
		String password = passwordEncoder.encode("123456");
		user.setLastLoginTime(nowTime);
		sysPublicUserRepository.save(user);
		logger.info("保存登录时间:" + nowTime);
		User user1 = new User(userId, password,
				true, accountNonExpired, true, true,
				AuthorityUtils.commaSeparatedStringToAuthorityList(user.getRoles()));

		return user1;
	}
}

(3)登录成功后SuccessHandler的校验

@Component("authenticationSuccessHandler")
public class authenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {

	/**
	 * 注入密码器
	 */
	@Autowired
	private PasswordEncoder passwordEncoder;
	/**
	 * 此方法是用于在request中取得ClientDetails和新建tokenRequest,并用这两个参数来生成OAuth2AccessToken
	 */
	@Override
	public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) throws IOException, ServletException {
		//..............省略代码
		//..............
		
		//客户端的密钥,从header中取出
		String clientSecret = extractAndDecodeHeader(header, request);
		
		ClientDetails clientDetails = clientDetailsService.loadClientByClientId(clientId);
		PasswordEncoder passwordEncoder = PasswordEncoderFactories.createDelegatingPasswordEncoder();
		if (clientDetails == null) {
			throw new UnapprovedClientAuthenticationException("clientId对应的配置信息不存在:" + clientId);
		} else if (!passwordEncoder.matches(clientSecret,clientDetails.getClientSecret())) { //关键是这里不能用equal匹配了
			throw new UnapprovedClientAuthenticationException("clientSecret不匹配:" + clientId);
		}
		//............
		//后续token的其他处理
		//............
	}
}
kevingavinhu
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Change Encoded URL-crx插件
04-04
语言:English 对当前URL执行URL解码。 允许修改解码的URL并在一下点击。 https://github.com/barsv/change-encoded-url
Encoded password does not look like BCrypt的原因及解决办法
热门推荐
elapse_的博客
11-28 1万+
在使用spring security的时候遇到这个报错。 查看代码为 观察matches的源代码可以发现日志输出的那句话。 知道问题发生原因基本问题就解决了80%。报错的原因是因为我们数据库里面的密码是没有使用BCrypt加密的,而解决办法有两种。 第一种是在注册存入数据库时就直接存入加密后的密码。 第二种更简单但是效率也比较低的办法就是在比较的时候再加密一次,如下: 修改之后再次登陆,登陆成功并且不会再进行warn报错。 ...
网页403错误(Spring Security异常 Encoded password does not look like BCrypt
m0_59519985的博客
02-22 567
这个错误通常表现为"403 Forbidden"或"HTTP Status 403",它指的是访问资源被服务器理解但拒绝授权。换句话说,服务器可以理解你请求看到的页面,但它拒绝给你权限。也就是说很可能测试给定的参数有问题,后端报Encoded password does not look like BCrypt错误,很可能是因为由于加密方式,所给出的密码有问题。
SpringSecurity.zip
06-08
什么是安全框架? 解决系统安全问题的框架。如果没有安全框架,我们需要手动处理每个资源的访问控制,非常麻烦。使用安全框架,我们可以通过配置的方式实现对资源的访问限制。 ​ Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 Apache Shiro 是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理。
Spring Security异常 Encoded password does not look like BCrypt
06-26
控制台报错: Encoded password does not look like BCrypt 意思是前端传回去的密码格式与数据库里的密码格式不匹配,这样即使密码正确也无法校验。自然也就无法登录。 造成这种情况的原因主要有以下几点:
encoded:ENCODE项目的元数据数据库
05-12
编码元数据数据库 系统安装(OSX Catlina 10.15.2) 请参阅。 ENCODE安装了Snovault,因为它是一个依赖项。 两者的系统安装相同。 但是,您不需要自己设置一个正在运行的Snovault实例。 应用程序安装 有关问题,请首先参阅。 在您的工作目录中创建一个虚拟环境。 本示例使用python模块venv。 其他选项也可以使用,例如conda或pyenv。 请注意,更新应用程序时,较早版本的pip可能会导致问题。 在MacOS上,已知可以使用pip 21.0.1 。 $ cd your-work-dir $ python3 -m venv encoded-venv $ source encoded-venv/bin/activate $ pip install -U pip==21.0.1 克隆仓库并放入cd git clone [email protected]:
Encoded password does not look like BCrypt异常解决办法
一一哥
07-22 1万+
Spring Boot SecurityEncoded password does not look like BCrypt异常解决办法 一. 异常描述 在SpringSecurity升级到新版本(SpringBoot2.x)后,因为默认把之前的明文密码方式给去掉了,所以在对授权客户端的密码进行加密时可能就会出现Encoded password does not look like BCry...
Encoded password does not look like bcrypt
weixin_42327945的博客
01-10 1万+
记录下使用oauth2 获取token时踩的坑 1.控制台报错:There is no PasswordEncoder mapped for the id "null" 加密方式: public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } 排查过程中发现,数据库的密码填的不是...
encoded password does not look like bcrypt
weixin_43912785的博客
05-12 1755
encoded password does not look like bcrypt 在做登陆时,有时会遇到这个问题,是因为从数据查出来的password不是加密的,而前台传过来的是加密的,所以匹配不上,因此,我们需要把数据库查出来的进行加密 @Service public class CustomUserServiceImpl implements UserDetailsService { @Resource UserMapper UserMapper; @Overri
spring-security Jar包
09-21
springSecurity spring-security jar 开发所需jar包
spring-security-core-5.0.7.RELEASE-API文档-中文版.zip
06-26
赠送jar包:spring-security-core-5.0.7.RELEASE.jar; 赠送原API文档:spring-security-core-5.0.7.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.0.7.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring security 所需要jar包
10-11
spring-security-acl-2.0.4.jar spring-security-core-2.0.4.jar spring-security-core-tiger-2.0.4.jar spring-security-taglibs-2.0.4.jar spring-support-2.0.8.jar spring-web-2.0.8.jar spring-webmvc-2.0.8....
spring-security-web-5.0.7.RELEASE-API文档-中文版.zip
06-26
赠送jar包:spring-security-web-5.0.7.RELEASE.jar; 赠送原API文档:spring-security-web-5.0.7.RELEASE-javadoc.jar; 赠送源代码:spring-security-web-5.0.7.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
Spring AI 抢先体验,5 分钟玩转 Java AI 应用开发
阿里巴巴云原生的博客
04-29 990
Spring Cloud Alibaba AI 以 Spring AI 为基础,并在此基础上提供阿里云通义系列大模型全面适配,让用户在 5 分钟内开发基于通义大模型的 Java AI 应用。
基于Springboot的家具网站
趙兴晨的博客
05-03 459
本文介绍了一款基于现代Web技术构建的家具网站,旨在通过互联网技术优化家具产品的展示与销售,提高用户的购物体验,同时为家具制造商和零售商提供一个高效的在线销售平台。本研究的主要目的是设计并实现一个高效、易用的家具网站,通过系统化的产品展示流程和智能化的购物功能,提升家具产品的在线销售效率和管理水平。本研究通过设计和实现家具网站,有效地解决了传统家具销售中的展示局限性和购物效率低下的问题,提高了家具产品的在线销售效率和用户的购物体验,并为相关领域的研究和实践提供了有益的参考。
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。
最新发布
XING的博客
05-03 866
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。数据库作为系统数据储存平台,实现了基于B/S结构的Web系统。界面简洁,操作简单。采用M(model)V(view)C(controller)三层体系结构,通过。
SpringBoot中实现发送邮件
hac1322的博客
04-30 566
当你添加了spring-boot-starter-mail依赖后,Spring Boot会自动配置JavaMailSender实例,并根据application.yml文件中的属性来配置这个实例。你可以直接在需要发送邮件的地方通过@Autowired注解将JavaMailSender实例注入到你的类中,然后使用它来发送邮件。:首先,需要在你的pom.xml文件中添加Spring Boot的邮件发送器依赖。,简化了在Spring Boot应用程序中发送电子邮件的设置过程。Spring Boot的。
springsecurity5.5.7
07-27
Spring Security 5.5.7是Spring Security框架的一个版本。Spring Security是一个用于在Java应用程序中实现身份验证和授权的框架。它提供了一套强大而灵活的安全性功能,可用于保护Web应用程序、REST API和其他类型的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值