Java开源工具库使用之密码安全策略库passay

最新推荐文章于 2024-09-25 09:47:01 发布
最新推荐文章于 2024-09-25 09:47:01 发布
阅读量2k 收藏 4
点赞数
分类专栏: github java 文章标签: java 开源 正则表达式 密码 passay
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23091073/article/details/126847782
版权
java 同时被 3 个专栏收录
98 篇文章 5 订阅
订阅专栏
github
43 篇文章 2 订阅
订阅专栏
regex
5 篇文章 0 订阅
订阅专栏
Passay是一个Java开源库,用于生成和验证密码的安全性。它提供了正匹配和负匹配规则,包括长度、字符类型、字典和历史密码检查等。文章通过示例展示了如何设置和使用这些规则进行普通和高级校验,以及如何利用PasswordGenerator生成符合特定规则的密码。此外,Passay还支持国际化,可以自定义错误消息。
摘要由CSDN通过智能技术生成

文章目录

前言

passay 是一个 Java 开源的密码安全策略库,可用于生成和验证密码。它提供了全面的规则类以验证/生成密码,并且高度可配置。

Passay API由3个核心组件组成:

  • Rule 针对密码强度规则的接口。用于定义了一个密码策略规则集,包含一个或多个规则
  • PasswordValidator 密码校验器。用于对一个候选密码评估多个密码规则的中心组件,可根据规则集验证密码
  • PasswordGenerator 密码生成器。生成满足给定规则集的密码

官网:http://www.passay.org/

github:https://github.com/vt-middleware/passay

pom 依赖:

<dependency>
    <groupId>org.passay</groupId>
    <artifactId>passay</artifactId>
    <version>1.6.2</version>
</dependency>

一、密码规则

规则是密码校验和生成的基础,规则可分为两种:

  • 正匹配,要求密码满足规则
  • 负匹配,拒绝满足规则的密码

1.1 正匹配规则

规则类含义
AllowedCharacterRule要求密码只包含在给定集合中的字符
AllowedRegexRule要求密码符合正则表达式
CharacterCharacteristicsRule要求密码包含M个N类字符;例如,以下4种字符中的3个:数字、大写字母、小写字母、符号
CharacterRule要求密码包含来自给定字符集的至少N个字符(例如,数字、大写字母、小写字母、符号)
LengthRule要求使用密码长度
LengthComplexityRule要求密码满足基于密码长度的特定规则。例如,长度为8-12个字符的密码必须同时包含一个数字和符号。密码13个字符及更长的密码只能包含字母字符

1.2 负匹配规则

规则类含义
DictionaryRule拒绝与字典中的条目相匹配的密码(精确匹配语义)
DictionarySubstringRule拒绝包含字典中的条目的密码(子字符串匹配语义)
DigestDictionaryRule拒绝与字典中摘要条目匹配的密码(哈希/摘要比较)
HistoryRule拒绝与以前的密码相匹配的密码(明文比较)
DigestHistoryRule拒绝与以前的密码摘要相匹配的密码(散列/摘要比较)
CharacterOccurrencesRule拒绝包含过多相同字符的密码
IllegalCharacterRule拒绝包含集合中任意字符的密码
IllegalRegexRule拒绝符合正则表达式的密码
IllegalSequenceRule拒绝包含N个字符序列的密码(例如,12345)
NumberRangeRule拒绝包含在定义范围内的任何数字的密码(例如,1000-9999)
SourceRule拒绝与来自其他来源的密码相匹配的密码(明文比较)
DigestSourceRule拒绝与其他来源的摘要匹配的密码(散希/摘要比较)
RepeatCharacterRegexRule拒绝包含重复的ASCII字符的密码,默认的序列长度为5个字符。
RepeatCharactersRule拒绝包含多个重复字符序列的密码
UsernameRule拒绝包含提供该密码的用户的用户名的密码
WhitespaceRule拒绝包含空白字符的密码

二、校验密码

2.1 普通校验

  1. qq 密码要求

    • 长度为8-16位
    • 必须包含字母、数字、符号中至少两位
    • 不包含空格
    List<Rule> rules = new ArrayList<>();
rules.add(new LengthRule(8, 16));
CharacterCharacteristicsRule characteristicsRule = new CharacterCharacteristicsRule(2,
        new CharacterRule(EnglishCharacterData.Alphabetical, 1),
        new CharacterRule(EnglishCharacterData.Digit, 1),
        new CharacterRule(EnglishCharacterData.Special, 1));
rules.add(characteristicsRule);
rules.add(new WhitespaceRule(new char[]{0x20}));

PasswordValidator qqValidator = new PasswordValidator(rules);

String pass = "12345678 a";
RuleResult ruleResult = qqValidator.validate(new PasswordData(pass));
assertThat(ruleResult.isValid(), is(false));

  2. gmail 密码要求

    • 长度为8-100位
    • 必须包含字母、数字、符号
    List<Rule> rules = new ArrayList<>();
rules.add(new LengthRule(8, 100));
CharacterCharacteristicsRule characteristicsRule = new CharacterCharacteristicsRule(3,
        new CharacterRule(EnglishCharacterData.Alphabetical, 1),
        new CharacterRule(EnglishCharacterData.Digit, 1),
        new CharacterRule(EnglishCharacterData.Special, 1));
rules.add(characteristicsRule);

PasswordValidator gmailValidator = new PasswordValidator(rules);

String pass = "12345678 @a";
RuleResult ruleResult = gmailValidator.validate(new PasswordData(pass));
assertThat(ruleResult.isValid(), is(true));

2.2 高级校验

  1. 密码黑名单字典

    passwordblack.txt

    12345678
1qaz2wsx
password
!password!

    DictionaryRule rule = new DictionaryRule(
        new WordListDictionary(WordLists.createFromReader(
                // Reader around the word list file
                new FileReader[] {new FileReader("src/main/resources/passwordblack.txt")},
                // True for case sensitivity, false otherwise
                false,
                // Dictionaries must be sorted
                new ArraysSort())));

PasswordValidator dValidator = new PasswordValidator(rule);

RuleResult result1 = dValidator.validate(new PasswordData("!password!"));
assertThat(result1.isValid(), is(false));
logger.info("{}", dValidator.getMessages(result1)); // [Password contains the dictionary word '!password!'.]

  2. 和历史密码比对

    密码存在数据库一般会加密,和历史密码对比,需要引入加密库

    <dependency>
    <groupId>org.cryptacular</groupId>
    <artifactId>cryptacular</artifactId>
    <version>1.2.5</version>
</dependency>

    List<PasswordData.Reference> history = Arrays.asList(
        // Password=P@ssword1
        new PasswordData.HistoricalReference(
                "SHA256",
                "j93vuQDT5ZpZ5L9FxSfeh87zznS3CM8govlLNHU8GRWG/9LjUhtbFp7Jp1Z4yS7t"),

        // Password=P@ssword2
        new PasswordData.HistoricalReference(
                "SHA256",
                "mhR+BHzcQXt2fOUWCy4f903AHA6LzNYKlSOQ7r9np02G/9LjUhtbFp7Jp1Z4yS7t"),

        // Password=P@ssword3
        new PasswordData.HistoricalReference(
                "SHA256",
                "BDr/pEo1eMmJoeP6gRKh6QMmiGAyGcddvfAHH+VJ05iG/9LjUhtbFp7Jp1Z4yS7t")
);
EncodingHashBean hasher = new EncodingHashBean(
        new CodecSpec("Base64"), // Handles base64 encoding
        new DigestSpec("SHA256"), // Digest algorithm
        1, // Number of hash rounds
        false); // Salted hash == false

List<Rule> historyRules = Arrays.asList(
        // ...
        // Insert other rules as needed
        // ...
        new DigestHistoryRule(hasher));

PasswordValidator historyValidator = new PasswordValidator(historyRules);
PasswordData data = new PasswordData("username", "P@ssword1");
data.setPasswordReferences(history);
RuleResult result2 = historyValidator.validate(data);
assertThat(result2.isValid(), is(false));
logger.info("{}", historyValidator.getMessages(result2)); // [Password matches one of 3 previous passwords.]

  3. 字符序列

    passay 还支持校验字符序列,字母序列,数字序列,键盘字符qwerty序列

    List<Rule> ruleList = Arrays.asList(
        new IllegalSequenceRule(EnglishSequenceData.Alphabetical, 5, false),
        new IllegalSequenceRule(EnglishSequenceData.Numerical, 5, false),
        new IllegalSequenceRule(EnglishSequenceData.USQwerty, 5, false));

PasswordValidator seqValidator = new PasswordValidator(ruleList);
RuleResult result3 = seqValidator.validate(new PasswordData("qwerty"));
logger.info("{}, {}", result3.isValid(), seqValidator.getMessages(result3));

2.3 自定义校验信息

从上面密码校验信息输出可以看到都是英文,passay 支持国际化,可配置为中文

message.properties,没有全部翻译

HISTORY_VIOLATION=Password matches one of %1$s previous passwords.
ILLEGAL_WORD=Password contains the dictionary word '%1$s'.
ILLEGAL_WORD_REVERSED=Password contains the reversed dictionary word '%1$s'.
ILLEGAL_DIGEST_WORD=Password contains a dictionary word.
ILLEGAL_DIGEST_WORD_REVERSED=Password contains a reversed dictionary word.
ILLEGAL_MATCH=Password matches the illegal pattern '%1$s'.
ALLOWED_MATCH=Password must match pattern '%1$s'.
ILLEGAL_CHAR=Password %2$s the illegal character '%1$s'.
ALLOWED_CHAR=Password %2$s the illegal character '%1$s'.
ILLEGAL_QWERTY_SEQUENCE=Password contains the illegal QWERTY sequence '%1$s'.
ILLEGAL_ALPHABETICAL_SEQUENCE=Password contains the illegal alphabetical sequence '%1$s'.
ILLEGAL_NUMERICAL_SEQUENCE=Password contains the illegal numerical sequence '%1$s'.
ILLEGAL_USERNAME=Password %2$s the user id '%1$s'.
ILLEGAL_USERNAME_REVERSED=Password %2$s the user id '%1$s' in reverse.
ILLEGAL_WHITESPACE=Password %2$s a whitespace character.
ILLEGAL_NUMBER_RANGE=Password %2$s the number '%1$s'.
ILLEGAL_REPEATED_CHARS=Password contains %3$s sequences of %1$s or more repeated characters, but only %2$s allowed: %4$s.
INSUFFICIENT_UPPERCASE=密码必须包含%1s个或更多大写字符.
INSUFFICIENT_LOWERCASE=密码必须包含%1s个或更多小写字符.
INSUFFICIENT_ALPHABETICAL=密码必须包含%1s个或更多字母字符.
INSUFFICIENT_DIGIT=密码必须包含%1s个或更多数字字符.
INSUFFICIENT_SPECIAL=密码必须包含%1s个或更多特殊字符.
INSUFFICIENT_CHARACTERISTICS=Password matches %1$s of %3$s character rules, but %2$s are required.
INSUFFICIENT_COMPLEXITY=Password meets %2$s complexity rules, but %3$s are required.
INSUFFICIENT_COMPLEXITY_RULES=No rules have been configured for a password of length %1$s.
SOURCE_VIOLATION=密码不能与你的%1s密码相同.
TOO_LONG=密码长度不得超过%2s个字符.
TOO_SHORT=密码的长度必须为%1$s个或更多的字符.
TOO_MANY_OCCURRENCES=密码包含%2s次出现的字符%1s,但最多允许出现%3s次

Properties props = new Properties();
InputStream url = Files.newInputStream(Paths.get("src/main/resources/message.properties"));
props.load(new InputStreamReader(url, StandardCharsets.UTF_8));
MessageResolver resolver = new PropertiesMessageResolver(props);
PasswordValidator validator = new PasswordValidator(resolver,
        // length between 8 and 16 characters
        new LengthRule(8, 16),

        // at least one upper-case character
        new CharacterRule(EnglishCharacterData.UpperCase, 1),

        // at least one lower-case character
        new CharacterRule(EnglishCharacterData.LowerCase, 1),

        // at least one digit character
        new CharacterRule(EnglishCharacterData.Digit, 1),

        // at least one symbol (special character)
        new CharacterRule(EnglishCharacterData.Special, 1),

        // define some illegal sequences that will fail when >= 5 chars long
        // alphabetical is of the form 'abcde', numerical is '34567', qwery is 'asdfg'
        // the false parameter indicates that wrapped sequences are allowed; e.g. 'xyzabc'
        new IllegalSequenceRule(EnglishSequenceData.Alphabetical, 5, false),
        new IllegalSequenceRule(EnglishSequenceData.Numerical, 5, false),
        new IllegalSequenceRule(EnglishSequenceData.USQwerty, 5, false),

        // no whitespace
        new WhitespaceRule());

RuleResult result = validator.validate(new PasswordData("aaaaa"));

if (result.isValid()) {
    logger.info("合法密码");
} else {
    logger.info("不合法密码");
    for (String s: validator.getMessages(result)) {
        logger.info("{}", s);
        // 密码的长度必须为8个或更多的字符.
		// 密码必须包含1个或更多大写字符.
		// 密码必须包含1个或更多数字字符.
		// 密码必须包含1个或更多特殊字符.
    }
}

三、生成密码

PasswordGenerator 能够通过特定的字符集和字符规则,来实现构造密码

3.1 英文相关字符密码

List<CharacterRule> characterRuleList = Arrays.asList(
        new CharacterRule(EnglishCharacterData.UpperCase, 1),
        new CharacterRule(EnglishCharacterData.Digit, 2)
);

PasswordGenerator generator = new PasswordGenerator();
String s = generator.generatePassword(10, characterRuleList);
logger.info("{}", s); // O4BUKJ620G

3.2 自定义字符集密码

支持提供自定义字符集

List<CharacterRule> characterRuleList = Arrays.asList(
    	// 至少1个自定义中文字符集合字符
        new CharacterRule(new CharacterData() {
            @Override
            public String getErrorCode() {
                return "中文error";
            }

            @Override
            public String getCharacters() {
                return "中文字符测试集合";
            }
        }, 1),
    	// 至少2个数字
        new CharacterRule(EnglishCharacterData.Digit, 2)
);

PasswordGenerator generator = new PasswordGenerator();
String s = generator.generatePassword(10, characterRuleList);
logger.info("{}", s);// 65集0002中91

参考

  1. http://www.passay.org/reference/
aabond
关注
专栏目录
【C++动态】DLL动态加载失败导致程序启动报错以及DLL加载失败的常见原因分析与总结
dvlinker的技术专栏
10-05 1万+
本文讲述dll动态加载失败导致程序启动报错问题,以及dll加载失败的常见原因分析与总结。
passay:Java密码策略实施
05-25
帕萨伊 该项目获得了LGPL和Apache 2的双重许可。 建造 git clone git@github.com:vt-middleware/passay.git cd passay mvn package 文献资料 参见网站: :
jcrypto:Java 密码
07-07
#Java 加密框架 #Summary 这是一个实现了一些加密算法的小 Java 模块。 该项目的目的纯粹是学术性的,仅用于加深对密码科学的数学和算法特性的理解。 ##算法实现 ###哈希函数 SHA1 SHA256 SHA512 MD5 ###其他 HMAC ###对称密钥算法 AES 山茶花(进行中) RC4 RC5(进行中) ###编码 Base64 ###校验和 CRC #参考书目
LibTomCrypt:全面开源密码深入解析
最新发布
weixin_36288992的博客
09-25 1060
本文还有配套的精品资源,点击获取 简介:LibTomCrypt是一个流行的开源密码,提供了包括DES、AES和RSA在内的众多加密算法实现。开发者可以利用这些算法在不同应用中集成强大的加密功能。该不仅包括历史加密标准DES和主流的AES,也支持非对称加密算法RSA,以及其他广泛使用的算法如Blowfish、Twofish、MD5和SHA系列。LibTomCrypt的设计...
Java密码验证之passay
热门推荐
学习即修行
01-29 6万+
写这篇文章主要基于2点: 我在百度上没有搜索到关于passay的文章,因此我希望能通过此文章来弥补这一块的空缺。 “不要重复造轮子”是十分重要的。 现在开始领略passay的魅力吧! 在passay对应的maven仓中,一句话形容了passay的作用:Library for checking that a password complies with a custom set of rul...
Java密码生成和验证Passay − 快速指南
allway2的博客
11-09 1374
规则是密码验证和生成的基础块。规则分为两大类:正匹配要求密码满足规则。负匹配拒绝满足规则的密码
Java密码Password4j
allway2的博客
09-06 991
即使在使用后读取,也不能保证何时发生垃圾回收:这意味着密码可能会无限期地存储在内存中,并且其值无法擦除。检查散列时,您可以使用散列中的参数而不是 Password4j 配置的默认值。,您可以定义所有支持的 CHF 的参数,或者只定义您需要的 CHF。但请确保您的 JVM 支持它并且它指向一个非阻塞的熵源,否则您可能会遇到巨大的性能下降,请参阅。这是一个基本配置(请不要在生产中使用它,而是在您的目标环境中启动基准会话,请参阅。s 是不可变的对象,一旦存储在内存中,在垃圾收集之前您无法擦除它们。
Java密码
在水一方
08-05 4057
1. 密码学简介 – 加密与解密      加密是一个将欲加密的资料用一些数学运算转成一团令人看不懂的东西的过程 ; 解密则是将加密文转换回原始文字
Java实现JPBC密码的实验
Lebron_yan的博客
08-09 1万+
前言 由于自己的密码学实验需要,决定先到CSDN上找一些关于使用JAVA语言在Eclipse上通过JPBC密码对实验中相关的密码运算进行模拟。但是找了很久发现写JPBC的博客少之又少,如果是使用Java语言实现的就几乎没有。于是自己决定在完成试验之后写一篇自己配置实验环境的心得。   注意 1.首先建立一个Java项目,如TestScheme 2.在项目下创建一个jars文件夹,把...
又一款超好用开源知识管理工具
jakpopc的博客
08-20 3625
收集整理每周优质开发者内容,包括、、等方面。每周五定期发布,同步更新到。欢迎大家投稿,,推荐或者自荐开源项目/资源/工具/文章~
Netty集成国密开源基础密码Tongsuo
x1075339587的博客
05-05 1万+
本次完成了Tongsuo TLCP协议的四种国密套件;X86架构的编译。TLSv1.3的TLS_SM4_GCM_SM3套件的支持。ARM架构、PPC架构、Windows的编译。mac系统一般服务器环境没有应用场景,有能力的小伙伴可以帮忙测试一下。时代的车轮在加速的运转,在有限的视野里也要不断地追赶。铜锁开源密码 · 语雀铜锁/Tongsuo(原BabaSSL)是一个提供现代...https://www.yuque.com/tsdoc。
加密解密java开发
08-18
java 轻量级密码术包
Password Generator Java Library:密码生成器 Java -开源
07-08
密码生成器 Java
jce_policy安装【java密码扩展无限制权限策略文件安装】.zip
04-17
java密码扩展无限制权限策略文件 下载解压后,把jar文件上传到需要安装jce机器上JDK或JRE的security目录下,覆盖源文件即可。 JDK:将两个jar文件放到%JDK_HOME%\jre\lib\security下 JRE:将两个jar文件放到%JRE_HOME%\lib\security下 覆盖之前,记得备份源文件,以防万一。
java自带crypto使用示例
03-18
http://blog.csdn.net/watch_ch/article/details/50923754
Java 密码规则验证Passay
allway2的博客
11-09 1347
但是我们应该记住,Passay 本身并不能使我们的密码安全。如今,大多数Web应用程序都有其密码策略 - 简单地说,创建密码策略是为了迫使用户创建难以破解的密码。该示例向我们展示了所描述的规则是如何工作的。与正匹配规则类似,它们为我们提供了有关验证的完整反馈。当我们有一个最常见或最容易破解的密码列表时,这是有益的。我们可以使用 origin 字段来保存有关密码是否由用户生成或定义的信息。我们可以避免在不同系统或应用程序中使用相同的密码的风险。更重要的是,我们必须设置密码必须匹配多少个。
JAVA开发必须掌握的5中加密策略
huang_yx的博客
03-30 1293
本文是阅读Hollis的文章之后的总结。加密策略主要分为:1.数字摘要;2.对称加密;3.非对称加密;4.数字签名;5.数字证书,这5种策略一、数字摘要数字摘要也称为消息摘要,它是一个唯一对应一个消息或文本的固定长度的值,它由一个单向Hash函数对消息进行计算而产生。如果消息在传递的途中改变了,接收者通过对收到消息采用相同的Hash重新计算,新产生的摘要与原摘要进行比较,就可知道消息是否被篡改了。...
9.java程序员必知必会类之加密
wlyang666的博客
04-23 5666
密码学在计算机领域源远流长,应用广泛。当前每时每刻,每一个连接到互联网的终端,手机,电脑,iPad都会和互联网有无数次的数据交互,如果这些数据都是明文传输那将是难以想象的。为了保护用户隐私,防止重要数据被窃取,篡改,我们需要对我们的数据进行加密验签
JAVA密码算法
Leon~博客
10-26 3175
一、JAVA密码算法 1、标准: (1) JCA/JCE: 提供了密码算法接口/最基本的密码算法实现 JCA:interface (2)JSSE: SSL/TLS协议在JAVA内的实现 (3)JAAS:JAVA的授权和认证服务 2、专用的JAVA语言密码学算法 Brouncy Castle 二、安装JAVA JDK:Java Development
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

aabond

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值