BCryptPasswordEncoder加密、验证策略

最新推荐文章于 2024-04-28 18:00:26 发布
最新推荐文章于 2024-04-28 18:00:26 发布
阅读量2.8k 收藏 2
点赞数 3
分类专栏: java 加密算法 文章标签: 加密解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39009944/article/details/104388335
版权

通过查看源码,了解PasswordEncoder加密以及验证密码(数据库存储的加密密码与用户输入的密码比较)的流程、方式。

加密:

public String encode(CharSequence rawPassword) {
		String salt;
		if (random != null) {
			salt = BCrypt.gensalt(version.getVersion(), strength, random);//生成盐
		} else {
			salt = BCrypt.gensalt(version.getVersion(), strength);//生成盐
		}
		return BCrypt.hashpw(rawPassword.toString(), salt);//根据 明文密码 ,盐(随机) 然后生成加密密码
	}

BCryptPasswordEncoder类有三个构造方法,影响了盐的生成,如果在生成BCryptPasswordEncoder对象的时候没有指定任何参数(或只指定了一个参数),BCrypt会提供默认值,最终都会调用BCrypt.gensalt(strength, random)方法来生成盐。接着看BCrypt类的hashpw()方法,在这个方法中根据salt值和明文密码来生成密文密码。具体的生成细节就不再展示了,有兴趣的可以自己去看。 需要记住的是,它是先 生成盐值,根据盐值以及明文密码 生成密文。

解密:

因为匹配方法里面用到解密
BCryptPasswordEncoder的matches()方法代码如下:

public boolean matches(CharSequence rawPassword, String encodedPassword) {
		if (encodedPassword == null || encodedPassword.length() == 0) {
			logger.warn("Empty encoded password");
			return false;
		}

		if (!BCRYPT_PATTERN.matcher(encodedPassword).matches()) {
			logger.warn("Encoded password does not look like BCrypt");
			return false;
		}

		return BCrypt.checkpw(rawPassword.toString(), encodedPassword);
	}

rawPassword :提交表单的用户密码,就是未加密的,例如表单提交为:123456
encodedPassword:从数据库 中获取的 已加密的密码(例如数据库中加密过的密码:“$2a$10$3HY7qAX3Hry.6uuipvWjs.liaOjCIxw93SWxYaviQygwVg3VzUqHq”(反正看不懂,这个加密密码里面有一部分是 盐)

“$2a$10$3HY7qAX3Hry.6uuipvWjs.liaOjCIxw93SWxYaviQygwVg3VzUqHq” 就是用明文 123456 加密

如果表单密码和数据库加密密码匹配,则返回true
如果不匹配,则返回false。

因为上面的matches()方法最后是调用checkpw(),所以我们来看一下
public static boolean checkpw(String rawPassword, String encodedPassword) {
		return equalsNoEarlyReturn(encodedPassword, hashpw(rawPassword, encodedPassword));
}

hashpw()这个上面说过了,就是根据 明文密码 盐 ,然后生成加密密码

encodedPassword: 数据库的密文密码
hashpw(rawPassword, encodedPassword)):把表单的密码和数据库的密文密码 加密 成 新的密文密码
然后再把这个 新的密文密码 和 数据库的密文密码 比较,如果相同就返回true。

就是说 数据库的密文密码 本身不会被解码
只是用表单的密码通过某种规则加密成新的密码,然后再把新的密码和数据库的密文密码做比较。

如果有小伙伴想研究的更深的话,可以继续看一下源码。

下面我给大家看一下我的的例子,只是Controller里面的一个方法,至于service,dao层 自己写啦,这应该都会

/*
	* 新建、修改用户
	* */
	@PostMapping
	@ResponseBody
	public String saveUser(User user){
		PasswordEncoder encoder=new BCryptPasswordEncoder();
		if(user.getId()==null){
			//新增用户,所以把表单的密码加密一下
			String encodePassword=encoder.encode(user.getPassword());
			user.setPassword(encodePassword);	
		}else{
			//判断密码是否做了修改
			User DbUser=userService.getUserById(user.getId());//从数据库查找数据
			boolean isMatch=encoder.matches(user.getPassword(),DbUser.getPassword());//第一个参数是表单的密码(未加密的),第二个是数据库里面已经加密过的密码
			if(!isMatch){
				//因为要改密码,所以把表单的密码加密
				String encodePassword=encoder.encode(user.getPassword());
				user.setPassword(encodePassword);
			}else{
				user.setPassword(DbUser.getPassword());//虽然密码没变,但是这个表单user也要保存到数据库,要么把表单密码加密放进数据库,要么就直接用数据库原本的加密密码
			}
		}
		userService.saveOrUpdateUser(user);//把这个user保存到数据库
		return "添加或修改用户成功";
	}

参考博客

qq_39009944
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
aes加密iv是什么_Vue.js使用 CryptoJS加密密码以及BCryptPasswordEncoder的使用
weixin_39961369的博客
11-20 2631
文章回顾:Spring Security(一):整合JWT实现登录功能Spring Security(二):获取用户权限菜单树Spring Security(三):与Vue.js整合Spring Security(四):更新前端路由获取方式Spring Security(五):前后端权限控制详解Spring Security(六):前端菜单,角色权限页面的搭建Spring Security(七):...
登陆加密处理
03-12
3. **自定义加密策略**:Spring Security允许开发者自定义密码加密策略,例如使用SHA-256或PBKDF2等其他哈希算法,或者结合加盐、迭代次数等增强安全性。 4. **密码编码器(PasswordEncoder)**:Spring Security...
BCryptPasswordEncoder加密
热门推荐
superxmh的博客
07-05 3万+
一. BCryptPasswordEncoder介绍 BCryptPasswordEncoder是Spring Security中的一个加密方法。BCryptPasswordEncoder方法采用了SHA-256+随机盐+密钥对密码进行加密。 SHA:安全Hash函数(SHA)是使用最广泛的Hash函数 加密算法与hash算法的区别: 加密算法是可逆的,加密算法的基本过程是对原来为明文的数据按某种算法进行处理,使其成为不可读的一段代码为“密文”,但在用相应的密钥进行操作之后就可以得到原来的内容。..
BCryptPasswordEncoder是什么如何使用(加解密)
最新发布
简单发点工作中用到的,或者记录下小知识点
04-28 2083
我会了!我懂了!!!!BCryptPasswordEncoder加解密,例如用户密码等
BCryptPasswordEncoder的使用及原理
码农UP2U
12-04 2万+
在 Spring Security 中有一个加密的类 BCryptPasswordEncoder ,它的使用非常的简单而且也比较有趣。让我们来看看它的使用。 BCryptPasswordEncoder 的使用 首先创建一个 SpringBoot 的项目,在创建项目的时候添加 Spring Security 的依赖。然后我们添加一个测试类,写如下的代码: final private String password = "123456"; @Test public v......
SpringSecurity中的密码加密算法:BCryptPasswordEncoder
y449739776的博客
11-27 1424
BCryptPasswordEncoder spring security中的BCryptPasswordEncoder方法采用SHA-256 +随机盐+密钥对密码进行加密。SHA系列是Hash算法,不是加密算法,使用加密算法意味着可以解密(这个与编码/解码一样),但是采用Hash处理,其过程是不可逆的。 1)加密(encode):注册用户时,使用SHA-256+随机盐+密钥把用户输入的密码进行hash处理,得到密码的hash值,然后将其存入数据库中。 (2)密码匹配(matches):用户登录时,密码
SpringSecurity中BCryptPasswordEncoder加密原理
numbbe的博客
08-29 1531
SB相关问题 想对SB中的密码进行解密,就去了解了一下怎么解密。 SB中的加密方式,是哈希算法,听说这种算法是不可逆的。 那SB是怎么对密码进行验证的。 百度一下,我就知道 百度出来了两个名词,加密算法和哈希算法。 他们都说加密算法和哈希算法是不同的概念,因为加密算法,可解密,而哈希算法,不可逆。 但是SB就是用哈希算法加密的,所以说,哈希算法是加密算法。没毛病。 actually,加密算法,包罗万象。 加密算法包括哈希算法,对称加密算法,非对称加密算法。 即: 哈希算法是加密算法,但是加密算法不是哈希算法
十次方微服务开发v1.0--第6章1
08-03
Header通常包含令牌的类型(JWT)和加密算法,Payload包含用户信息或者其他声明,Signature则是前两部分与服务器私钥计算得出的哈希值,用于验证令牌的完整性和来源。 JWT的优点包括: - 无状态:服务端不需要存储...
用户:用户管理中心
02-09
Java提供了多种加密算法,如SHA-256、bcrypt,或者可以使用Spring Security的BCryptPasswordEncoder对密码进行加密处理。 3. **身份验证**:当用户登录时,需要通过用户名和密码验证其身份。Java中的Spring ...
springboot使用jwt保护RestApi接口.docx
07-14
此外,还需要一个主启动类,这里可以添加一个BCryptPasswordEncoder的Bean,用于加密用户密码。 接下来,我们需要为应用增加用户注册功能。为此,引入`spring-boot-starter-data-jpa`依赖以支持数据库操作,并添加...
java登录权限控制项目
05-24
常见的授权策略包括角色基础访问控制(RBAC)和访问控制列表(ACL)。 - 在Spring Security中,可以使用`@Secured`或`@PreAuthorize`注解进行方法级别的授权,或者配置访问决策管理器(AccessDecisionManager)和...
spring-security-getting-start:http
05-05
5. **加密**:Spring Security 提供了 `BCryptPasswordEncoder` 用于密码加密。在用户存储密码之前,通常会使用这个编码器进行加密,以增加安全性。 6. **拦截器**:Spring Security 的工作原理基于请求拦截。它...
spring-security-login_and_registration
04-18
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在"Spring Security Login and Registration"项目中,我们主要关注的是如何实现用户登录和注册功能,这是任何Web...
springboot-auth.7z
09-17
7. **权限管理**:基于角色的访问控制(RBAC)是一种常见的策略,通过分配角色给用户并定义角色的权限来管理用户的访问级别。 8. **错误处理**:处理认证失败或授权失败的情况,如返回合适的错误消息和状态码。 9....
Spring Boot和Spring Security4最新整合实例
08-09
在 Spring Security 中,我们可以使用 `BCryptPasswordEncoder` 进行加密。在 `configureGlobal` 方法中注入 `passwordEncoder()`: ```java @Bean public BCryptPasswordEncoder passwordEncoder() { return new ...
spring boot 登陆注册的全部代码。
10-14
9. **安全最佳实践**: 除了上述技术细节,还需要遵循一些安全最佳实践,如避免 SQL 注入、XSS 攻击等,这可能需要使用预编译的 SQL 查询、输入验证以及 Content Security Policy 等策略。 10. **部署与监控**: 最后...
C#实现Spring Security中的BCryptPasswordEncoder
人生如戏工作亦如戏
09-02 1862
Spring Security 提供了BCryptPasswordEncoder类,实现Spring的PasswordEncoder接口使用BCrypt强哈希结合salt(盐)方法来加密密码。BCrypt是单向Hash加密算法,每次加密的结果都不一样。 一、BCrypt是怎么加密的 安装BCrypt.Net-Next程序包 ...
密码加密方式
m0_62943934的博客
03-11 1211
SpringSecurity提供了实现PasswordEncoder接口的密码加密工具类:BcryptPasswordEncoder,该类基于Bcrypt强哈希算法来加密密码,更加安全;Bcrypt强哈希方法每次加密相同的明文得到的密文结果都不一样,这样即使数据库泄露,黑客也很难破解密码;1)Bcrypt加密一般在注册用户时,Bcrypt使用SHA-256加密算法+随机盐值+秘钥(明文密码)进行加密处理,得到的密文存入数据库中;@Test} else {生成加密的代码。
BCryptPasswordEncoder
cb_520
08-24 367
Spring Security 提供了BCryptPasswordEncoder类,实现Spring的PasswordEncoder接口使用BCrypt强哈希方法来加密密码。 BCrypt强哈希方法 每次加密的结果都不一样。 String BCryptPasswordEncoder..encode(String str) 加密 Boolean BCryptPasswordEncoder.matches(String rawPassword, String encodedPassword) 传入明文与数据库密
使用bcryptPasswordEncoder加密123456
05-23
这是一个Java代码示例,使用Spring Security中的BCryptPasswordEncoder对密码进行加密: ```java import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; public class PasswordEncoderExample { public static void main(String[] args) { String password = "123456"; BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder(); String hashedPassword = passwordEncoder.encode(password); System.out.println(hashedPassword); } } ``` 输出结果类似于: ``` $2a$10$R4eWZo3Jm/ETqJh3l2pDQOQg5Xw.CvKX3dF7N0L3a9RgJ3nqS8VnO ``` 此时,`hashedPassword`就是加密后的密码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值