Spring security详细上手教学(三)密码管理

最新推荐文章于 2025-05-03 19:33:04 发布
最新推荐文章于 2025-05-03 19:33:04 发布
阅读量397 收藏 4
点赞数 4
分类专栏: Spring Security 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35059338/article/details/147559670
版权

Spring security详细上手教学(三)密码管理

本章节两部分内容

  • 实现PasswordEncoder
  • 使用Spring Security Crypto模块提供的工具

1. 使用 password encoder

通常,系统不会使用纯文本来保存密码,需要进行加密/哈希等一系列处理以加强安全性。Spring Security将这一部分功能抽象为PasswordEncoder接口

1.1 PasswordEncoder 约束

public interface PasswordEncoder {
    String encode(CharSequence rawPassword);

    boolean matches(CharSequence rawPassword, String encodedPassword);

    default boolean upgradeEncoding(String encodedPassword) {
        return false;
    }
}
  • encode() 方法用来对密码进行加密
  • matches() 方法检查输入的密码与加密后的密码是否匹配。
  • upgradeEncoding() 方法默认是返回false,如果你设置为true,那么密码将会在加密后再次加密,增加安全性。

1.2 实现PasswordEncoder接口

如下代码,实现了一个简单的明文密码处理逻辑。

public class PlainTextPasswordEncoder implements PasswordEncoder {

    @Override
    public String encode(CharSequence rawPassword) {
        return rawPassword.toString();
    }

    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        return rawPassword.toString().equals(encodedPassword);
    }
}

public class Sha512PasswordEncoder implements PasswordEncoder {

    @Override
    public String encode(CharSequence rawPassword) {
        return hashWithSHA512(rawPassword.toString());
    }

    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        String hashedPassword = hashWithSHA512(rawPassword.toString());
        return encodedPassword.equals(hashedPassword);
    }

    private String hashWithSHA512(String input) {
        StringBuilder result = new StringBuilder();
        try {
            MessageDigest md = MessageDigest.getInstance("SHA-512");
            byte[] hashBytes = md.digest(input.getBytes());
            for (byte b : hashBytes) {
                result.append(0xFF & b);
            }
        } catch (NoSuchAlgorithmException e) {
            throw new RuntimeException(e);
        }
        return result.toString();
    }
}

1.3 选择预置的PasswordEncoder

  • NoOpPasswordEncoder——不加密,仅用作例子
  • StandardPasswordEncoder——使用SHA256对密码进行哈希处理。目前认为这种方式的安全性不够了。
  • Pbkdf2PasswordEncoder——使用基于密钥的密码推导函数
  • BCryptPasswordEncoder——使用bcrypt强哈希函数对密码进行加密
  • SCryptPasswordEncoder——使用scrypt哈希函数对密码进行加密

1.4 DelegatingPasswordEncode的多加密策略

使用场景。比如之前的密码策略不再安全了,需要升级密码哈希算法,但是旧的用户身份验证不想做更改。就可以使用DelegatingPasswordEncode。

DelegatingPasswordEncode使用一个map来存储不同的PasswordEncoder算法实现

生成的哈希码前缀带有使用加密算法的名字。

image-20250427093029751

    @Bean
    public PasswordEncoder DelegatingPasswordEncoder() {
        Map<String, PasswordEncoder> encoders = new HashMap<>();
        encoders.put("noop", NoOpPasswordEncoder.getInstance());
        encoders.put("bcrypt", new BCryptPasswordEncoder());
        encoders.put("scrypt", SCryptPasswordEncoder.defaultsForSpringSecurity_v5_8());
        return new DelegatingPasswordEncoder("bcrypt", encoders);
    }

PasswordEncoderFactories.createDelegatingPasswordEncoder()方法可以提供一个包含全部PasswordEncoder实现的实例,这个实例默认采用bcrypt算法。

2. 利用Spring Security的密码工具

2.1 使用密钥生成器

”charitalics“ 密钥生成器用于各类哈希、加密算法中生成特定密钥。Spring Security已经封装了很好用的密钥生成器工具,书的作者推荐我们有限使用Spring Security而不是第三方的依赖。

密钥生成器有两个接口:BytesKeyGenerator和StringKeyGenerator。我们可以直接用工厂类KeyGenerators创建他们。我们可以用StringKeyGenerator生成一个字符串的密钥,通常可以用给哈希算法加“盐”或者用于加密算法。

public interface StringKeyGenerator {
	String generate Key();
}

如下代码通过KeyGenerators获取StringKeyGenerator,然后生成密钥

StringKeyGenerator keyGenerator = KeyGenerators.string();
String salt = keyGenerator.generateKey();

BytesKeyGenerator定义如下

public interface BytesKeyGenerator {
    int getKeyLength();
    byte[] generateKey();
}

BytesKeyGenerator另外一个方法是返回key的长度,默认生成key是8字节长度的,如下代码所示

BytesKeyGenerator keyGenerator = KeyGenerators.secureRandom();
byte[] salt = keyGenerator.generateKey();
int keyLength = keyGenerator.getKeyLength();

如果你需指定key的长度,可以这样

BytesKeyGenerator keyGenerator = KeyGenerators.secureRandom(16);

上面我们使用secureRandom方法获取的生成器每次生成的密钥都是不同的。有些时候我们希望每次生成一致的key,那么我们可以使用shared()方法,如下

BytesKeyGenerator keyGenerator = KeyGenerators.shared(16);

2.2 使用encryptors进行加解密

有时候我们需要对发送数据进行加密,涉及到两个类型的接口,BytesEncryptor和TextEncrytor

其中BytesEncrytor更加通用一些

public interface BytesEncryptor {
    byte[] encrypt(byte[] byteArray);
    byte[] decrypt(byte[] encryptedByteArray);
}

下面我们通盘看下如何使用的

String salt = KeyGenerators.string().generateKey();
String password = "password";
String valueToEncrypt = "HELLO";

BytesEncryptor encoder = Encryptors.standard(password, salt);
byte[] encrypted = encoder.encrypt(valueToEncrypt.getBytes());
byte[] decrypted = encoder.decrypt(encrypted);

standard的字节加密使用256位的AES加密算法。

BytesEncryptor encoder = Encryptors.stronger(password, salt);

stronger方法,使用256位的AES加密算法时,采用了伽罗瓦/计数器模式(GCM)作为加密模式;而标准版本使用密码块链(CBC)。

TextEncryptors有三种实例的创建方法,Encryptors.text(), Encryptors.delux(), Encryptors.queryableText()

此外还可以使用Encryptors.noOpTest()方法,创建一个不加密的方法用作测试Demo等

String valueToEncrypt = "HELLO";
TextEncryptor e = Encryptors.noOpText();
String encrypted = e.encrypt(valueToEncrypt);

Encryptors.text()底层还是使用的Encryptors.standard方法
Encryptors.delux()底层使用的是Encryptors.stronger方法

快速上手Spring Security
m0_69661182的博客
09-04 329
快速上手,授之以鱼
Spring Security.pdf
05-25
Shiro是Apache旗下一个项目,提供身份验证、授权、会话管理等功能,相对Spring Security而言,Shiro更加简单和轻巧,适合快速上手。Shiro的设计相对独立,可以不依赖任何框架或容器,也可以实现单点登录等安全需求。...
Spring security详细上手教学(二)用户管理
qq_35059338的博客
04-27 748
Spring security中抽象了许多关于用户的接口在用户管理中,我们使用了UserDetailsService和UserDetailsManager两个接口。UserDetailsService 只负责将用户信息按照用户名检索出来。这个功能在用户身份认证的时候会被用到。UserDetailsManager继承UserDetailsService ,扩展了增删改用户信息的方法。
Spring Security快速上手
mry6的博客
10-23 868
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是Spring生态系统中的一员,因此它伴随着整个Spring生态系统不断修正、升级,在spring boot项目中加入spring security更是十分简单,使用Spring Security减少了为企业系统安全控制编写大量重复代码的工作。
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 12万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
一文上手SpringSecurity
ldcigame的专栏
09-26 1127
认证、授权所使用到的接口实现类总结、默认密码生成策略、自定义认证的登录页面和密码
SpringSecurity 快速入门
时间如瑾 代码如诗
07-24 1481
在互联网中,我们每天都会使用到各种各样的APP和网站,在使用过程中通常还会遇到需要注册登录的情况,输入你的用户名和密码才能正常使用,也就是说成为这个应用的合法身份才可以访问应用的资源,这个过程就是认证。认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。当然认证的方式有很多,常见的账号密码登录,手机验证码登录,指纹登录,刷脸登录等等。简单说: 认证就是让系统知道我们是谁。如何实现授权?
Spring Security详细讲解(JWT+SpringSecurity登入案例)
孤夜的博客
08-15 9161
通过本篇博文,你可以详细了解Spring Security的相关概念与原理,并且掌握Spring Security的认证与授权,通过博文中的登入案例可以让自己定制去Spring Security认证授权方案。
一文上手SpringSecurity【八】
ldcigame的专栏
09-29 1563
RBAC模型、多表查询、真实的查询角色信息、权限信息
Spring Security快速入门
susjj663的博客
07-23 1157
当设置完自定义的登录页面之后,可以解决两个问题,第一个是访问速度会更快,第二个,自定义的登录页也更美观,下面我们可以自定义页面来设置为登录页将当天资料目录中的登录页面拷贝到我们的项目中的resource 目录下的 static目录。
Spring Security和Shiro的相同点与不同点整理
08-25
Spring Security和Apache Shiro都是Java领域中广泛使用的安全框架,它们为应用程序提供了强大的身份验证、授权和会话管理功能。虽然两者在很多方面有相似之处,但也有各自的特点和适用场景。 **相同点:** 1. **...
基于SpringBoot+SpringSecurity的RBAC管理系统源码+数据库+项目说明.zip
12-20
基于SpringBoot+SpringSecurity的RBAC管理系统源码+数据库+项目说明.zip 这是一款基于SpringBoot+SpringSecurity的RBAC权限管理系统。原本只想着做成基于SpringSecurity的权限管理系统,但随着功能的增加感觉有些刹...
Spring MVC 基础 - 从零构建企业级Web应用
weixin_46619605的博客
04-28 1299
Spring MVC 基础 - 从零构建企业级Web应用
[2025常问知识点]关于spring的ioc和aop?ioc和DI的区别,ioc是怎么实现的?aop是怎么实现的?
gwndjsh的博客
05-03 841
ioc的好处1:使用者不用关心引用bean的实现细节,譬如对于A a = new A(c,d,e,f);来说,如果要使用A,那还要把c,d,e,f多个类全都感知一遍,这显然是非常麻烦且不合理的 2:不用创建多个相同的bean导致浪费。 3:Bean的修改使用方无需感知。同样是上面的例子,假如说BeanA需要修改,如果没有IOC的话,所有引用到A的其他bean都需要感知这个逻辑,并且做对应的修改。但是如果使用了IOC,其他bean就完全不用感知到对于Spring的IOC来说,它是IOC思想的一种实现方式。
JAVASpring全局异常处理@ControllerAdvice解析
qq_45351273的博客
04-28 496
全局异常处理(最常用)全局数据绑定全局数据预处理如需更复杂控制,可以实现@Component@Override// 自定义异常处理逻辑return ...;"自定义错误处理",= null?
12.SpringDoc OpenAPI 功能介绍(用于生成API接口文档)
Alsn86的博客
04-30 898
(Swagger 2.x)的现代替代方案,完全支持 Spring Boot 3.x 和 JDK 17+,具有更强的兼容性和功能。通过 SpringDoc OpenAPI,可以轻松为 Spring Boot 应用生成高质量的 API 文档,并支持交互式测试。规范的工具,用于为 Spring Boot 应用生成 API 文档。SpringDoc OpenAPI 是一个基于。
spring-boot-maven-plugin 将spring打包成单个jar的工作原理
zfj321的博客
05-01 1107
核心功能:将 Spring Boot 应用及其依赖打包成一个自包含的 JAR。 关键机制:自定义类加载器(JarLauncher)和嵌套依赖结构(BOOT-INF/lib)。 优势:简化部署,无需外部 Web 服务器或依赖管理。 适用场景:独立运行、容器化部署(Docker)等。
基于Springboot高校网上缴费综合务系统【附源码】
最新发布
2402_84112588的博客
05-03 743
随着高校信息化建设进程的加速,传统手工缴费模式因效率低、错误率高、管理成本高等问题已无法满足现代高校需求。学生需线下排队填写表格,财务人员需人工核对票据,导致流程冗长且易出错。同时,传统方式缺乏实时数据监控能力,难以满足高校对缴费进度、资金流向的动态追踪需求。在此背景下,基于SpringBoot的高校网上缴费综合服务系统应运而生,通过信息化手段实现缴费流程自动化、数据可视化,成为提升高校财务管理效能的关键技术手段。
springboot(2.6.13)自定义用户授权管理
daqi1983的博客
04-28 342
重启项目进行效果测试,项目启动成功后,通过浏览器访问http://localhost:8080/路径是"/detail/common/**",只有用户角色是common才允许访问。路径是"/detail/vip/**",只有用户角色是vip才允许访问。在查看VIP电影详情时,页面会出现403 Forbidden的错误信息。项目首页单击普通电影或者VIP专享电影名称查询电影详情。在此登录界面输入普通用户的用户名和密码,访问普通电影。在项目首页中单击VIP专享电影名称查看影片详情,路径是“/”,直接放行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值