spring security的BCryptPasswordEncoder加密和对密码验证的原理

最新推荐文章于 2024-05-10 11:46:29 发布
最新推荐文章于 2024-05-10 11:46:29 发布
阅读量1.9k 收藏 9
点赞数 1
分类专栏: 用户登录鉴权 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34297563/article/details/105183121
版权

一、加密算法和hash算法,很多项目中有些机密的信息需要进行加密来保护用户或者公司的信息安全,这时这些信息会采用加密以密文的形式暴露在外面。加密算法是一种可逆的算法,是通过一定的规则对明文进行各种计算的到的密文从而实现加密的效果。hash算法是不可逆的,常见的MD5加密采用的就是hash的算法进行加密。加密算法是可逆的,所以很多情况下加密规则是很重要的,一旦暴露就可以根据规则进行逆推得到明文,所以加密算法通常会加盐,对称加密和非对称加密就是加盐的一种。hash算法虽然不可逆,但通过大数据进行匹配很多数据可以被找到,所以hash算法也是需要加盐来保证一定的机密性。

二、BCryptPasswordEncoder 加密和解密的原理

      BCryptPasswordEncoder对同样的数据比如“11111”进行加密,每次加密的结果是不相同的,此时就要思考一个问题,同样的数据每次加密不同,那么它是如何进行解密的呢,下面来分析一下此方式的加密源码,参考了网上的一些资料:

  二、源码解析

BCryptPasswordEncoder类实现了PasswordEncoder接口,这个接口中定义了两个方法

public interface PasswordEncoder {
    String encode(CharSequence rawPassword);
    boolean matches(CharSequence rawPassword, String encodedPassword);
}

其中encode(...)是对字符串进行加密的方法,matches使用来校验传入的明文密码rawPassword是否和加密密码encodedPassword相匹配的方法。即对密码进行加密时调用encode,登录认证时调用matches

下面我们来看下BCryptPasswordEncoder类中这两个方法的具体实现

1. encode方法

public String encode(CharSequence rawPassword) {
    String salt;
    if (strength > 0) {
        if (random != null) {
            salt = BCrypt.gensalt(strength, random);
        }
        else {
            salt = BCrypt.gensalt(strength);
        }
    }
    else {
        salt = BCrypt.gensalt();
    }
    return BCrypt.hashpw(rawPassword.toString(), salt);
}

可以看到,这个方法中先基于某种规则得到了一个盐值,然后在调用BCrypt.hashpw方法,传入明文密码和盐值salt。所以我们再看下BCrypt.hashpw方法中做了什么

2. BCrypt.hashpw方法

public static String hashpw(String password, String salt) throws IllegalArgumentException {
        BCrypt B;
        String real_salt;
        byte passwordb[], saltb[], hashed[];
        char minor = (char) 0;
        int rounds, off = 0;
        StringBuilder rs = new StringBuilder();
        if (salt == null) {
            throw new IllegalArgumentException("salt cannot be null");
        }
        int saltLength = salt.length();
        if (saltLength < 28) {
            throw new IllegalArgumentException("Invalid salt");
        }
        if (salt.charAt(0) != '$' || salt.charAt(1) != '2') {
            throw new IllegalArgumentException("Invalid salt version");
        }
        if (salt.charAt(2) == '$') {
            off = 3;
        }
        else {
            minor = salt.charAt(2);
            if (minor != 'a' || salt.charAt(3) != '$') {
                throw new IllegalArgumentException("Invalid salt revision");
            }
            off = 4;
        }
        if (saltLength - off < 25) {
            throw new IllegalArgumentException("Invalid salt");
        }
        // Extract number of rounds
        if (salt.charAt(off + 2) > '$') {
            throw new IllegalArgumentException("Missing salt rounds");
        }
        rounds = Integer.parseInt(salt.substring(off, off + 2));
        real_salt = salt.substring(off + 3, off + 25);
        try {
            passwordb = (password + (minor >= 'a' ? "\000" : "")).getBytes("UTF-8");
        }
        catch (UnsupportedEncodingException uee) {
            throw new AssertionError("UTF-8 is not supported");
        }
        saltb = decode_base64(real_salt, BCRYPT_SALT_LEN);
        B = new BCrypt();
        hashed = B.crypt_raw(passwordb, saltb, rounds);
        rs.append("$2");
        if (minor >= 'a') {
            rs.append(minor);
        }
        rs.append("$");
        if (rounds < 10) {
            rs.append("0");
        }
        rs.append(rounds);
        rs.append("$");
        encode_base64(saltb, saltb.length, rs);
        encode_base64(hashed, bf_crypt_ciphertext.length * 4 - 1, rs);
        return rs.toString();
    }

可以看到,这个方法中先根据传入的盐值salt,然后基于某种规则从salt得到real_salt,后续的操作都是用这个real_salt来进行,最终得到加密字符串。

所以这里有一个重点:传入的盐值salt并不是最终用来加密的盐,方法中通过salt得到了real_salt,记住这一点,因为后边的匹配方法matches中要用到这一点。

3. matches方法

matches方法用来判断一个明文是否和一个加密字符串对应。

public boolean matches(CharSequence rawPassword, String encodedPassword) {
    if (encodedPassword == null || encodedPassword.length() == 0) {
        logger.warn("Empty encoded password");
        return false;
    }
    if (!BCRYPT_PATTERN.matcher(encodedPassword).matches()) {
        logger.warn("Encoded password does not look like BCrypt");
        return false;
    }
    return BCrypt.checkpw(rawPassword.toString(), encodedPassword);
}

这个方法中先对密文字符串进行了一些校验,如果不符合规则直接返回不匹配,然后调用校验方法BCrypt.checkpw,第一个参数是明文,第二个参数是加密后的字符串。

public static boolean checkpw(String plaintext, String hashed) {
    return equalsNoEarlyReturn(hashed, hashpw(plaintext, hashed));
}
static boolean equalsNoEarlyReturn(String a, String b) {
    char[] caa = a.toCharArray();
    char[] cab = b.toCharArray();
    if (caa.length != cab.length) {
        return false;
    }
    byte ret = 0;
    for (int i = 0; i < caa.length; i++) {
        ret |= caa[i] ^ cab[i];
    }
    return ret == 0;
}

注意 equalsNoEarlyReturn(hashed, hashpw(plaintext, hashed))这里,第一个参数是加密后的字符串,而第二个参数是用刚才提过的hashpw方法对明文字符串进行加密。

hashpw(plaintext, hashed)第一个参数是明文,第二个参数是加密字符串,但是在这里是作为盐值salt传入的,所以就用到了刚才说的 hashpw 内部通过传入的salt得到real_salt,这样就保证了对现在要校验的明文的加密和得到已有密文的加密用的是同样的加密策略,算法和盐值都相同,这样如果新产生的密文和原来的密文相同,则这两个密文对应的明文字符串就是相等的。

这也说明了加密时使用的盐值被写在了最终生成的加密字符串中。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

农码天下
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
密码加密方式
m0_62943934的博客
03-11 1210
SpringSecurity提供了实现PasswordEncoder接口的密码加密工具类:BcryptPasswordEncoder,该类基于Bcrypt强哈希算法来加密密码,更加安全;Bcrypt强哈希方法每次加密相同的明文得到的密文结果都不一样,这样即使数据库泄露,黑客也很难破解密码;1)Bcrypt加密一般在注册用户时,Bcrypt使用SHA-256加密算法+随机盐值+秘钥(明文密码)进行加密处理,得到的密文存入数据库中;@Test} else {生成加密的代码。
加密算法---BCryptPasswordEncoder的使用及原理
weixin_43811057的博客
02-08 9316
spring security中的BCryptPasswordEncoder方法采用SHA-256 +随机盐+密钥对密码进行加密。SHA系列是Hash算法,不是加密算法,使用加密算法意味着可以解密(这个与编码/解码一样),但是采用Hash处理,其过程是不可逆的。1)加密(encode):注册用户时,使用SHA-256+随机盐+密钥把用户输入的密码进行hash处理,得到密码的hash值,然后将其存入数据库中。
BCryptPasswordEncoder是什么如何使用(加解密)
简单发点工作中用到的,或者记录下小知识点
04-28 2077
我会了!我懂了!!!!BCryptPasswordEncoder加解密,例如用户密码
SpringBoot2+Vue+AntV前后端分离开发项目实战
04-10
适用人群所有的IT从业者,尤其适合快速掌握新技术,快速增长工作经验人群,对教育公平,教育公益,教育爱心公益人士课程概述该互联网实战项目是基于 Spring Boot 2+ SpringSecurity5+Element UI+Vue Admin Template+蚂蚁可视化AntV 等技术栈开发的项目,采用分布式,多模块,前后端分离开发。包括图形展示、权限管理、用户管理等功能。【后端技术】技术说明Spring Boot2MVC框架 开发的一站式解决方案Spring Security5 认证和授权框架MyBatisPlus3.3.1 基于 MyBatis 框架的快速研发框架MyBatisCode工具生成 MyBatis 相关代码Jackson提供了处理 JSON 数据的工具Lombok简化对象封装工具 Druid   数据库连接池 【前端技术】Vue       互联网最火的前端框架Vue Router路由框架Vuex全局状态管理框架Axios前端 HTTP 框架Element UI前端 UI 框架Vue Element Admin前端模板Antv  蚂蚁金服可视化技术,阿里巴巴可视化技术,天猫,淘宝,支付宝,花呗均使用AntV【开发工具】IntelliJ IDEA开发 IDESQLyog数据库连接客户端PostmanHTTP 请求工具【开发环境】工具版本JDK1.8MySQL5.7
加解密--BCryptPasswordEncoder
zhuhaoyu6666的博客
02-25 1528
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; public class PasswordEncoderUtil { public static Boolean matches(String raw, String encoded) { return new BCryptPasswordEncoder().matches(raw, encoded); } .
SpringSecurity框架跳过加密步骤直接验证用户密码
快敲代码去
06-29 4475
程序内获取到用户的username和password,构造User对象,框架自动对密码进行加密然后和数据库中的密码作比较,得出结果。如果这里的密码是密文(直接从数据库中获得),那么你在构造User对象的时候,框架会再加密一遍,这样和库中密码匹配的时候肯定是错误的。在password字段前添加即可,这样后面会直接使用你传入的密码(不会再次加密)进行操作。......
Spring security BCryptPasswordEncoder密码验证原理详解
08-24
Spring Security 中的 BCryptPasswordEncoder 是一种用于密码验证密码加密器,它可以对密码进行加密验证。本文将详细介绍 BCryptPasswordEncoder 的密码验证原理,帮助读者更好地理解和使用该组件。 一、加密...
Spring security密码加密实现代码实例
08-19
本文详细介绍了 Spring Security 密码加密实现代码实例,演示如何使用 BCryptPasswordEncoder 来加密验证密码密码加密是一个非常重要的安全机制,Spring Security 提供了一种灵活的方式来管理应用程序的安全性。
Spring security 自定义密码加密方式的使用范例。
09-15
Spring Security中,默认使用的是BCryptPasswordEncoder或者PBEWithMD5AndDES等加密算法。但为了满足特定需求,我们可以自定义密码编码器。下面是如何实现的步骤: 1. **创建自定义PasswordEncoder**:你需要创建...
SpringSecurity-数据库认证-简单授权
最新发布
06-03
SpringSecurity提供了多种密码编码器,如BCryptPasswordEncoder,用于对用户密码进行加密存储。 在`configure(HttpSecurity http)`中,你可以定义访问控制规则。例如,使用`http.authorizeRequests()`来定义哪些URL...
Spring Boot和Spring Security4最新整合实例
08-09
4. 注入 `configureGlobal(AuthenticationManagerBuilder auth)` 方法,配置用户服务和密码加密器: ```java @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { ...
最安全的加密算法 Bcrypt,再也不用担心数据泄密了~
20年码农
01-03 763
因为hash算法是固定的,所以同一个字符串计算出来的hash串是固定的,所以,可以采用如下的方式进行破解。暴力枚举法:简单粗暴地枚举出所有原文,并计算出它们的哈希值,看看哪个哈希值和给定的信息摘要一致。字典法:黑客利用一个巨大的字典,存储尽可能多的原文和对应的哈希值。每次用给定的信息摘要查找字典,即可快速找到碰撞的结果。彩虹表(rainbow)法:在字典法的基础上改进,以时间换空间。是现在破解哈希常用的办法。
BCryptPasswordEncoder加密和匹配的原理springsecurity 的 rememberme原理
乐于分享,共同成长
05-09 1169
只知道这个的用法,心里着实难受,所以看了看底层,简单做下总结。 BCryptPasswordEncoder算法和shiro的区别: 其实和shiro中区别就是shiro 中的salt是自己指定的,然后存到数据库,BCryptPasswordEncoder加密算法是随机生成的和加密后的密码一起拼接到一起存到数据库。 举个我调试的时候的例子: 注册时候调用encode(明文密码) 首先第一次注册的时候,会从后台先获取随机盐VM/wbXrA4UYbITsQKOHNF. 这个每一次的不一定因为随机的。 对明文密码
一篇文章带你入门 SpringSecurity实现密码加密和解码
热门推荐
南淮北安的博客
09-26 1万+
文章目录一、加密和解密1. 为什么要加密2. 加密方案3. PasswordEncoder二、前期准备二、用户配置1. 配置文件2. 配置类 一、加密和解密 1. 为什么要加密 2011 年 12 月 21 日,有人在网络上公开了一个包含 600 万个 CSDN 用户资料的数据库,数据全部为明文储存,包含用户名、密码以及注册邮箱。事件发生后 CSDN 在微博、官方网站等渠道发出了声明,解释说此数据库系 2009 年备份所用,因不明原因泄露,已经向警方报案,后又在官网发出了公开道歉信。在接下来的十多天里,金山
BCryptPasswordEncoder 注册以及忘记密码
m0_53611007的博客
08-11 1627
注册: @ResponseBody @PostMapping("/register") public ResultJson saveOrUpdate( String username,String password,String aginPassword){ if(!password.equals(aginPassword)){ //后端验证两次密码输入是否正确 return ResultJson.failu
Spring Boot+Security使用BCryptPasswordEncoder加密用户登录密码
雨云21的博客
01-11 8896
BCryptPasswordEncoder的具体介绍我就不多说了,网上到处都是,比如这个: BCryptPasswordEncoder加密验证策略 我这里就是记录一下怎么用。 因为它是基于Security的,所以在使用之前,需要在pom.xml导入依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-securi
关于spring security BCryptPasswordEncoder加密解密及相关配置
Eindi的博客
09-01 1710
一、相关异常 Encoded password does not look like BCrypt 二、场景 在配置Securityconfig时我们会发现PasswordEncoder的NoOpPasswordEncoder已经提示过时了 现在推荐使用BCryptPasswordEncoder进行加密加密方式是采取SHA-256+随机盐+密钥对密码进行加密, SHA系列是Hash算法,非加密算法,进行Hash处理的过程不可逆。 (1)加密(encode):注册用户时,使用SHA-256...
PasswordEncoder详解
tellmewhoisi的博客
05-10 806
PasswordEncoder是一个密码解析器Spring Security封装了如bcrypt, PBKDF2, scrypt, Argon2等主流适应性单向加密方法( adaptive one-way functions),用以进行密码存储和校验。
spring security密码加密
07-25
Spring Security中,可以使用多种方式对密码进行加密。以下是其中一种常见的方式: 1. 使用BCryptPasswordEncoder: ```java import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; String password = "123456"; BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder(); String encodedPassword = passwordEncoder.encode(password); System.out.println("原始密码:" + password); System.out.println("加密后的密码:" + encodedPassword); ``` 输出结果: ``` 原始密码:123456 加密后的密码:$2a$10$0WvZOoGK0MkJqBKz9XcZo.jzPb7t8wZr4xwQemjqn0hJb7.7eWk4. ``` 在上述示例中,我们使用了`BCryptPasswordEncoder`来进行密码加密。`BCryptPasswordEncoder`使用了bcrypt算法,它是一种基于哈希的密码加密算法,具有很高的安全性。 你可以将加密后的密码存储到数据库中,然后在验证密码时使用`BCryptPasswordEncoder`进行解密和比较。 除了`BCryptPasswordEncoder`,Spring Security还提供了其他一些密码加密方式,如`StandardPasswordEncoder`和`NoOpPasswordEncoder`。你可以根据具体需求选择适合的加密方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值