Spring Security 3.1 中功能强大的加密工具 PasswordEncoder

最新推荐文章于 2024-06-07 21:13:34 发布
最新推荐文章于 2024-06-07 21:13:34 发布
阅读量2.8k 收藏
点赞数
分类专栏: PasswordEncoder spring ShaPasswordEncoder security

3.1.0版本中新的PasswordEncoder继承关系

而在Spring-Security 3.1.0 版本之后,Spring-security-crypto模块中的password包提供了更给力的加密密码的支持,这个包中也有PasswordEncoder接口,接口定义如下。

    Public interface PasswordEncoder{
      String encode(String rawPassword);
      Boolean matches(String rawPassword,String encodedPassword);
    }
   

 定义了两个方法,encode方法是对方法加密,而match方法是用来验证密码和加密后密码是否一致的,如果一致则返回true。和authentication.encoding包中的PasswordEncoder接口相比,简化了许多。 

 

   位于org.springframeword.security.crypto.password包中的 

StandardPasswordEncoder类,是PasswordEncoder接口的(唯一)一个实现类,是本文所述加密方法的核心。它采用SHA-256算法,迭代1024次,使用一个密钥(site-wide secret)以及8位随机盐对原密码进行加密。 

   随机盐确保相同的密码使用多次时,产生的哈希都不同; 密钥应该与密码区别开来存放,加密时使用一个密钥即可;对hash算法迭代执行1024次增强了安全性,使暴力破解变得更困难些。 

 

   和上一个版本的PasswordEncoder比较,好处显而易见:盐值不用用户提供,每次随机生成;多重加密————迭代SHA算法+密钥+随机盐来对密码加密,大大增加密码破解难度。 

OK,了解了原理我们可以来测试一下:

  1. import org.springframework.security.crypto.password.PasswordEncoder;  
  2. import org.springframework.security.crypto.password.StandardPasswordEncoder;  
  3.   
  4. /** 
  5.  * @author XUYI 
  6.  * Spring Security 3.1 PasswordEncoder 
  7.  */  
  8. public class EncryptUtil {  
  9.     //从配置文件中获得  
  10.     private static final String SITE_WIDE_SECRET = "my-secret-key";  
  11.     private static final PasswordEncoder encoder = new StandardPasswordEncoder(  
  12.        SITE_WIDE_SECRET);  
  13.    
  14.     public static String encrypt(String rawPassword) {  
  15.          return encoder.encode(rawPassword);  
  16.     }  
  17.    
  18.     public static boolean match(String rawPassword, String password) {  
  19.          return encoder.matches(rawPassword, password);  
  20.     }  
  21.       
  22.     public static void main(String[] args) {  
  23.         System.out.println(EncryptUtil.encrypt("每次结果都不一样伐?"));  
  24.         System.out.println(EncryptUtil.encrypt("每次结果都不一样伐?"));  
  25.         System.out.println(EncryptUtil.encrypt("每次结果都不一样伐?"));  
  26.         System.out.println(EncryptUtil.encrypt("每次结果都不一样伐?"));  
  27.         System.out.println(EncryptUtil.encrypt("每次结果都不一样伐?"));    
  28.         //但是把每次结果拿出来进行match,你会发现可以得到true。  
  29.     }  

   
 
  1. 



   public static void main(String[] args) {
          System.out.println(EncryptUtil.encrypt("test"));
          System.out.println(EncryptUtil.encrypt("test"));
          System.out.println(EncryptUtil.encrypt("test"));
    }
  
        b84e62f1d332154e1db9da86c1ec30ee86c43f0307fd1c4b06873167eb08ca674bbf72cfe2a99b5d 
        05b78338cb2c275e471533b05eff31979f5e4df9695ab72eb55cfe3abd92a7d581f250fc9d37d801 
        aba3493a7cd4e646a1ea33b2a1b074b03899b5e76618bfea70542fa337e286cb2ac27bde4f4be903 




	
	private boolean checkPassword(Bdf2User bdf2User,String password) {
		ShaPasswordEncoder passwordEncoder = new ShaPasswordEncoder() ;
		boolean ret = passwordEncoder.isPasswordValid(bdf2User.getPassword(), password, bdf2User.getSalt());
		if(ret)
			return true;
		return false;
	}



加了盐的咖啡0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security系列教程之SpringSecurity密码加密和解密
weixin_50965314的博客
05-09 4418
创建一个springboot工程导入相应坐标 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-crypto</artifactId> </dependency> ` ```java @Autowired private P
spring_security_3.1
09-14
在本文,我们将深入探讨Spring Security 3.1的主要特性和用法。 1. **身份验证**:Spring Security 提供了多种身份验证机制,包括基于内存的、JDBC的、LDAP的和自定义的。在3.1版本,你可以配置`...
Java Spring的三个密码加密库包
m0_69860228的博客
05-14 1103
每当您需要在应用程序实现密码哈希或散列时,您应该牢记一些最佳实践。 永远不要自己实现密码哈希算法——改用经过严格审查的开发人员库!密码学是一个复杂的领域,如果你尝试自己实现一个流行的算法,就会出现很多问题。 随着计算机每年变得越来越强大,密码哈希算法(及其参数)需要调整!现代密码哈希算法依赖于您(作为开发人员)来指定他们在计算哈希时应该使用多少资源,并且随着时间的推移,您将需要更新这些参数。掌握此类情况的唯一方法是紧跟最新的安全新闻和趋势。 在决定如何存储敏感密码时,你应该考虑的第一件事是你是否想自己
Spring Security系列之PasswordEncoder
最新发布
lonelymanontheway的博客
06-07 891
加密算法种类、反查表、彩虹表、加密算法配置类实例、PasswordEncoder、BCryptPasswordEncoder、PasswordEncoderFactories、DelegatingPasswordEncoder、自定义加密方案。
springboot 密码加密
lizsy的博客
03-23 1431
密码进行加密存储能够一定程度保护密码泄露,一般能做到一下两点,就能够满足大部分应用的密码保护要求。spring-security-crypto模块提供了对密码的加密支持,引入spring-security即可spring-security-crypto提供了以下几个类用于密码加密。以上类都实现了PasswordEncoder接口,功能大同小异,只是加密算法不一样,选其一即可,代码如下。
spring-security-crypto-5.6.1-API文档-文版.zip
05-04
赠送jar包:spring-security-crypto-5.6.1.jar; 赠送原API文档:spring-security-crypto-5.6.1-javadoc.jar; 赠送源代码:spring-security-crypto-5.6.1-sources.jar; 赠送Maven依赖信息文件:spring-security-crypto-5.6.1.pom; 包含翻译后的API文档:spring-security-crypto-5.6.1-javadoc-API文档-文(简体)版.zip; Maven坐标:org.springframework.security:spring-security-crypto:5.6.1; 标签:springsecurityspringframework、crypto、jar包、java、文文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档的代码和结构保持不变,注释和说明精准翻译,请放心使用。
Spring Security:密码编码器PasswordEncoder介绍与Debug分析
kaven
01-05 3712
博主在之前已经介绍了Spring Security的用户UserDetails与用户服务UserDetailsService,本篇博客介绍Spring Security的密码编码器PasswordEncoder,它们是相互联系的,博主会带大家一步步深入理解Spring Security的实现原理,也会带来Spring Security的实战分享。 Spring Security:用户UserDetails源码与Debug分析 Spring Security:用户服务UserDetailsService源码
Grails 修改密码原密码校验
斗战圣佛91的博客
09-01 192
!springSecurityService.passwordEncoder.isPasswordValid(springSecurityService?.currentUser?.password, params.oldpassword, null)
Spring Security3.1实践
04-09
Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,广泛应用于Java企业级应用。在Spring Security 3.1版本,它提供了一套全面的安全解决方案,涵盖了从用户认证到权限控制等多个层面。本文将...
spring security3.1高级详细开发指南
04-07
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理。在Spring Security 3.1版本,它提供了多种方式来管理用户认证和授权。本指南将深入讲解如何利用这个框架进行高级开发,通过一个简单的示例和...
spring security3.1 实现验证码自定义登录
03-29
在现代Web应用程序的安全管理Spring Security是一个不可或缺的框架,它提供了强大的访问控制和身份验证功能。在本文,我们将深入探讨如何在Spring Security 3.1版本实现验证码的自定义登录,以增强系统安全...
spring-security-crypto-3.1.3.RELEASE.jar
09-13
spring 加密技术所需的JAR包. http://grepcode.com/snapshot/repo1.maven.org/maven2/org.springframework.security/spring-security-crypto/3.1.3.RELEASE
Spring Security 3.1 配置实例,有URL 方法拦截,都存数据库 maven
04-05
Spring Security,用户信息通常存储在数据库,而不是硬编码在配置文件里。这可以通过自定义`UserDetailsService`实现。例如: ```java @Service("userDetailsService") public class ...
spring cloud oauth2 密码认证
weixin_43931625的博客
02-01 1337
springcloudoauth2密码认证 ***************************** 认证服务器:authorization-server ********************* 配置文件 spring: application: name: authorization-server server: port: 80...
【深入浅出 Spring Security(六)】一文搞懂密码的加密和比对
qq_63691275的博客
06-05 2443
自定义加密通过源码分析可以得出两种自定义的方案:1.使用 {id} 的形式,即在密码前加上 {id},例如:{noop}123,即表示等密码比对的时候用 NoOpPasswordEncoder 的matches方法进行比对。2.向 Spring 容器注入 PasswordEncoder 实例,这样Spring Security 会选择注入的实例去进行密码的比对,缺点是整个项目的密码比对都只能采用这种比对方案。
BCryptPasswordEncoder —— 简单的密码加密和校验
steven
11-30 2315
BCryptPasswordEncoder —— 简单的密码加密和校验简单的密码加密和校验
安卓适配Spring框架的ShaPasswordEncoder加密详解
sky2016_w的博客
04-17 410
最近项目要做一个离线登录,账号密码与在线一样; 实现方法是下载服务器的所以用户名和密码,但是服务的密码是经过框架加密的,通过阅读源码,知道spring框的ShaPasswordEncoder加密是通过密码拼接salt,然后经过加密得到的,代码如下: public static String mergePasswordAndSalt(String password, Object salt,...
【转载】该如何设计你的 PasswordEncoder?
woluoyifan的博客
08-26 2122
缘起 前端时间将一个集成了 spring-security-oauth2 的旧项目改造了一番,将 springboot 升级成了 springboot 2.0,众所周知 springboot 2.0 依赖的是 spring5,并且许多相关的依赖都发生了较大的改动,与本文相关的改动罗列如下,有兴趣的同学可以看看:Spring Security 5.0 New Features ,增强了 oauth...
加密工具SecurityUtil
hit、run
04-23 6814
实际用到的加密工具类 import java.util.UUID; class SecurityUtil { /** 邀请注册邀请码 加密的盐值 **/ public static final String EXTENSIONSALT = "YXBPassKey"; /** * 生成随机 UUID * @return */ p...
SpringSecurity保护Web的安全
05-06
吐血奉献 重要说明,由于本人用的是SpringSecurity3.1版本,3.1版本与3.0版本在配置上发生了一些变化,在配置时,本人都已经全部注明区别和使用方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值