【Spring Security】spring security 之 BCryptPasswordEncoder

最新推荐文章于 2024-03-23 15:47:28 发布

it噩梦

最新推荐文章于 2024-03-23 15:47:28 发布

阅读量293

点赞数

分类专栏： springboot新发现文章标签：安全加密

本文链接：https://blog.csdn.net/qq_37362891/article/details/103497409

版权

springboot新发现专栏收录该内容

22 篇文章 1 订阅

订阅专栏

在这里插入图片描述

BCryptPasswordEncoder

加密

BCryptPasswordEncoder encode = new BCryptPasswordEncoder();
encode.encode(password);

比较需要通过自带的方法 matches 将未经过加密的密码和已经过加密的密码传进去进行判断，返回布尔值。

matches(CharSequence rawPassword, String encodedPassword)

public class BCryptPasswordEncoderTest {
    public static void main(String[] args) {
        String pass = "admin";
        BCryptPasswordEncoder bcryptPasswordEncoder = new BCryptPasswordEncoder();
        String hashPass = bcryptPasswordEncoder.encode(pass); 
        System.out.println(hashPass);
 
        boolean flag = bcryptPasswordEncoder.matches("admin",hashPass);
        System.out.println(flag); 
    }
}

可以看到，每次输出的hashPass 都不一样，但是最终的flag都为 true,即匹配成功。

查看代码，可以看到，其实每次的随机盐，都保存在hashPass中。在进行matchs进行比较时，调用BCrypt 的String hashpw
(String password, String salt)方法。两个参数即”admin“和 hashPass。

//******BCrypt.java******salt即取出要比较的DB中的密码*******
real_salt = salt.substring(off + 3, off + 25);
try {
// ***************************************************
    passwordb = (password + (minor >= 'a' ? "\000" : "")).getBytes("UTF-8");
}
catch (UnsupportedEncodingException uee) {}
saltb = decode_base64(real_salt, BCRYPT_SALT_LEN);
B = new BCrypt();
hashed = B.crypt_raw(passwordb, saltb, rounds);

假定一次hashPass为：$2a $10$ AxafsyVqK51p.s9WAEYWYeIY9TKEoG83LTEOSB3KUkoLtGsBKhCwe

随机盐即为 AxafsyVqK51p.s9WAEYWYe（salt = BCrypt.gensalt();中有描述），可见，随机盐（AxafsyVqK51p.s9WAEYWYe），会在比较的时候，重新被取出。

即，加密的hashPass中，前部分已经包含了盐信息。