【Spring Security】关于BCryptPasswordEncoder的学习理解(踩坑记录)

最新推荐文章于 2024-08-15 22:37:42 发布
最新推荐文章于 2024-08-15 22:37:42 发布
阅读量7.1k 收藏 12
点赞数 5
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25353433/article/details/90643452
版权
本文介绍了在Spring Security中使用BCryptPasswordEncoder进行密码加密时遇到的问题及解决过程。作者在实现UserDetailsService时,发现matches方法始终失败,经过源码分析,发现错误在于两次加密的明文不同,原因是手动输入密码时的失误。文章详细阐述了BCryptPasswordEncoder的加密和解密逻辑,有助于读者理解其工作原理。
摘要由CSDN通过智能技术生成

背景:用Spring Security进行校验时,我们自己写了一个类,用它实现UserDetailsService接口,来做校验。

总结在前边:

在做到密码加密这一块时,使用BCryptPasswordEncoder来做,它的加密是带salt的加密,所以说我们用它就可以方便很多,而且经过踩坑发现,它的salt也是嵌在加密后的密文中的,所以我们也不用保存salt,业务逻辑就是,用户注册时我们用它进行encode,然后校验时用它的matches方法就行了。

 

那我要记录的坑是什么呢?(坑就是我手残导致的,如果你想学怎么用,参照上一段,如果想看加密的逻辑,那么请继续)

我的MyUserDetailsService中的loadUserByUsername方法是这样的:

@Autowired
private PasswordEncoder passwordEncoder;


@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		logger.info("登录用户名:"+username);
		String password = passwordEncoder.encode("123465");
		logger.info("数据库密码是:" + password);
		logger.info("decode:" + passwordEncoder.matches("123456", password));
		User user = new User(username,password, true, true, true, true, AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
		logger.info("user pas:" + user.getPassword());
		return user;
	}

PasswordeEncoder已经注册为Bean:

@Bean
public PasswordEncoder passwordEncoder() {
	return new BCryptPasswordEncoder();//passwordEncoder的实现类
}

没连数据库,我想做的逻辑是使用”123456“作为我的密码࿰

最低0.47元/天 解锁文章
fishwinwin
关注
专栏目录
Spring Security-(BCryptPasswordEncoder)加密及判断密码是否相同/编写自己的密码编码器PasswordEncoder
西京刀客
09-11 2183
文章目录一、问题背景二、 (BCryptPasswordEncoder)加密及判断密码是否相同三、BCryptPasswordEncoder源码分析 一、问题背景 任何应用考虑到安全,绝不能明文的方式保存密码。密码应该通过哈希算法进行加密。有很多标准的算法比如SHA或者MD5,结合salt()是一个不错的选择。 Spring Security 提供了BCryptPasswordEncoder类,实现SpringPasswordEncoder接口使用BCrypt强哈希方法来加密密码。 二、 (BCrypt
上古掌控安全的神-零:Spring Security5.x到Spring Security6.x的迁移
八尺妖剑的博客
04-20 1417
之前有写过一篇关于的文章,但那已经是相对比较旧的版本了,就目前来说,这其中出现了不少的变动和更新,很多API的使用也是有不小的变化,所以我觉得有必要再写几篇文章学习一下,是的,不是一篇,是几篇,下面是初步的写作计划。《上古掌控安全的神-壹:Spring Security6.0+版本初探》《上古掌控安全的神-贰:Spring Security6.0+版本再探》《上古掌控安全的神-叁:Spring Security6.0+版本认证实践》
BCryptPasswordEncoder的matches方法返回false
qq_43750656的博客
09-28 1万+
BCryptPasswordEncoder 做加密,在判断时要用该对象的matches方法,第一个参数为明文!!!,第二个参数才是密文 !!! public static void main(String[] args) { BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder(); String encode = passwordEncoder.encode("123");
BCryptPasswordEncoder加密及判断密码是否相同
qflyIT的博客
02-15 5903
今天在进行编写修改密码功能时遇到输入的是正确的旧密码但是却一直报密码错误 进行代码分析后发现 我是用的BCryptPasswordEncoder来加密 ,你输入的密码每次加密的结果都是不一样的,所以才报错 以下为我的错误源代码 if(!new BCryptPasswordEncoder().encode(oldPassword).equals(u.getPassword() ){ ...
BCryptPasswordEncoder类
最新发布
qq_34446716的博客
08-15 109
Spring Security 中,BCryptPasswordEncoder 用于将用户输入的密码转换为一个安全的散列值,这个散列值可以安全地存储在数据库中。当用户尝试登录时,输入的密码会再次使用 BCryptPasswordEncoder 进行散列,并与数据库中存储的散列值进行比较,以验证用户的身份。在上面的例子中,authenticate 方法会使用 BCryptPasswordEncoder 的 matches 方法来验证用户输入的密码是否与数据库中存储的散列值相匹配。
记一次bcrypt加密引起的性能调优过程
04-03 4029
背景 spring cloud gateway spring security oauth2 所有接口请求通过网关,网关进行权限验证、token 验证 问题 实际过程中发现,通过网关的接口响应耗时大大增加 因为测试接口没有任何的业务存在,所以验证起来也比较简单 验证的结果: 不通过网关的耗时:11ms ...
Eureka 认证性能问题
搞事情的博客
07-29 627
很久没有更新博客了,实在太忙。 最近升级Eureka 发现 CPU 经常跑满,导致很多Eureka Client 实例连接 Eureka Server 出现异常。跟了一下代码发现罪魁祸首竟然是 Spring SecurityPasswordEncoder 出现性能问题; 默认 PasswordEncoder 是BCryptPasswordEncoder 每次encode 需要几百毫秒,慢的时候甚至超过一秒。所以觉得降低安全性使用MessageDigestPasswordEncoder("MD5..
PasswordEncoder详解
tellmewhoisi的博客
05-10 1125
PasswordEncoder是一个密码解析器Spring Security封装了如bcrypt, PBKDF2, scrypt, Argon2等主流适应性单向加密方法( adaptive one-way functions),用以进行密码存储和校验。
Spring Security 4.x -> 5.x 记录
Jagger的博客
09-17 3007
1. AuthenticationManager无法自动注入 在实现AbstractAuthenticationProcessingFilter重写以用户名、密码认证时,需要显示注入AuthenticationManager,不然会报如下错误: Caused by: org.springframework.beans.factory....
Spring Boot】Spring Boot 2.x + Spring Security OAuth2 2.3.3 出现 bad client credentials 错误的记录
热门推荐
woluoyifan的博客
08-25 3万+
环境: spring boot 2.0.4.RELEASE spring security oauth 2.3.3.RELEASE OAuth2的配置 @Configuration @EnableAuthorizationServer public class OAuth2AuthorizationConfig extends AuthorizationServerConfigurerA...
Security登录页面显示:Bad credentials 或者 BCryptPasswordEncoder : Encoded password does not look like BCrypt
white_mvlog的博客
10-24 2654
Security登录页面显示:Bad credentials BCryptPasswordEncoder : Encoded password does not look like BCrypt
spring-cloud-oauth2升级版本遇到的认证报bad credentials,Encoded password does not look likebcrypt的问题
梦想起飞的地方.........
12-23 3521
spring-cloud-oauth2升级版本遇到的认证报bad credentials,Encoded password does not look likebcrypt的问题   初始版本为 springboot 1.5.9.RELEASE springcloud Dalston.SR1 升级为 springboot 2.0.3.RELEASE springcloude fin...
Empty encoded password警告原因
XuDream的博客
06-20 3413
前提:可能造成的原因:解决方法:注册加密: 实体类: 登录实体类: 登录返回实体类: 注意getUsername()和getPassword()方法
SpringSecurity中的密码加密算法:BCryptPasswordEncoder
y449739776的博客
11-27 1439
BCryptPasswordEncoder spring security中的BCryptPasswordEncoder方法采用SHA-256 +随机+密钥对密码进行加密。SHA系列是Hash算法,不是加密算法,使用加密算法意味着可以解密(这个与编码/解码一样),但是采用Hash处理,其过程是不可逆的。 1)加密(encode):注册用户时,使用SHA-256+随机+密钥把用户输入的密码进行hash处理,得到密码的hash值,然后将其存入数据库中。 (2)密码匹配(matches):用户登录时,密码
BCryptPasswordEncoder加密
可小辉的博客
08-06 440
Spring Security 提供了BCryptPasswordEncoder类,实现SpringPasswordEncoder接口使用BCrypt强哈希方法来加密密码。 BCrypt强哈希方法 每次加密的结果都不一样 String pass = new BCryptPasswordEncoder().encode("123456");
《干货转载》用户密码加密策略之BCryptPasswordEncoder
kaige8312的博客
11-21 723
http://www.cnblogs.com/hujunzheng/p/6478003.html https://www.cnblogs.com/joylee/p/9674260.html BCryptPasswordEncodespring security中的BCryptPasswordEncoder方法采用SHA-256 +随机+密钥对密码进行加密。SHA系列是Hash算法,其...
简述BCryptPasswordEncode
qq_22596931的博客
04-25 5936
Spring Security 提供了BCryptPasswordEncoder类,实现SpringPasswordEncoder接口使用BCrypt强哈希方法来加密密码。 BCrypt强哈希方法 每次加密的结果都不一样。 示例: import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; public...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值