SpringSecurity登录中的密码加密与验证

最新推荐文章于 2024-04-20 22:06:28 发布
置顶 最新推荐文章于 2024-04-20 22:06:28 发布
阅读量8.7k 收藏 11
点赞数 3
分类专栏: java 文章标签: spring spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42295733/article/details/119382644
版权

PasswordEncoderSpring Security提供的一个接口,称它为密码解析器,这个接口主要是处理密码的。源码如下:

public interface PasswordEncoder {

	/**
	 * Encode the raw password. Generally, a good encoding algorithm applies a SHA-1 or
	 * greater hash combined with an 8-byte or greater randomly generated salt.
	 */
	String encode(CharSequence rawPassword);

	/**
	 * Verify the encoded password obtained from storage matches the submitted raw
	 * password after it too is encoded. Returns true if the passwords match, false if
	 * they do not. The stored password itself is never decoded.
	 *
	 * @param rawPassword the raw password to encode and match
	 * @param encodedPassword the encoded password from storage to compare with
	 * @return true if the raw password, after encoding, matches the encoded password from
	 * storage
	 */
	boolean matches(CharSequence rawPassword, String encodedPassword);

	/**
	 * Returns true if the encoded password should be encoded again for better security,
	 * else false. The default implementation always returns false.
	 * @param encodedPassword the encoded password to check
	 * @return true if the encoded password should be encoded again for better security,
	 * else false.
	 */
	default boolean upgradeEncoding(String encodedPassword) {
		return false;
	}
}

接口提供3个方法,第一个方法是对明文密码进行加密的,返回一个密文。第二个方法是匹配明文密码和密文,返回布尔值。第三个方法是对密文进行二次加密,这个方法是默认的。

PasswordEncoder接口有很多实现类,其中最主要的是官方推荐的BCryptPasswordEncoder类,平时使用的最多的就是这个密码解析器。BCryptPasswordEncoder是对bcrypt强散列方法的具体实现,是基于hash算法的单向加密。可以通过strength来控制强度,默认是10

源码如下:

在这里插入图片描述

encode方法是对明文密码进行加密,原理是使用一个随机生成的salt,用明文密码加上这个salt来一起进行加密,返回密文,由于这个salt每次生成的都不一样,所以即使明文密码一样,最后加密出来的密文是不一样的,这样保证了用户密码的安全。

matchs方法是用来匹配明文密码和密文的,最终结果用布尔值返回。

测试加密和匹配:

@Test
public void test1() {
    String password = "123456";// 密码
    PasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
    for (int i = 1; i <= 5; i++) {
        // 加密明文密码,返回密文
        String encoder = passwordEncoder.encode(password);
        // 明文和密文进行匹配
        boolean bool = passwordEncoder.matches(password, encoder);
        System.out.println(encoder + ":是否匹配?" + bool);
    }

$2a​$10$qcnrAAaJn0g4rnnBc0nz2emAwLXQPe8QYEVbN/YITEFpUZbCH.Pru:是否匹配?true

$2a​$10$BN.YJOmTuHHhj279Lr1r/ue8G9iaYO62y7cjmeonD3toCit.uNfAG:是否匹配?true

$2a​$10$3niTKuqRNbP/8DDAVCw8f.rOyzurdZ1.W0CQAucn8pCf2sihsUkE.:是否匹配?true

$2a​$10$1fTRlKe3YDgSFnSdqgujw.h32cwjtNubcSgCtdc9mNjfGrEtoeJDi:是否匹配?true

$2a​$10$6AIf3GBhWt9WjXc55mObfuRFhn1eyJKOeOdzprg65fmbsWeUrJGdm:是否匹配?true

可以看到,一样的密码,5次加密后的密文全都不一样,但是全都能匹配上。

这是什么原因呢?继续观察源码:

在这里插入图片描述

在明文密码匹配加密密码时,会调用checkpw函数,再看一下函数源码

在这里插入图片描述

在这里插入图片描述

查看hashpw源码:

/**
	 * Hash a password using the OpenBSD bcrypt scheme
	 * @param passwordb	the password to hash, as a byte array
	 * @param salt	the salt to hash with (perhaps generated
	 * using BCrypt.gensalt)
	 * @return	the hashed password
	 */
	public static String hashpw(byte passwordb[], String salt) {
		BCrypt B;
		String real_salt;
		byte saltb[], hashed[];
		char minor = (char) 0;
		int rounds, off;
		StringBuilder rs = new StringBuilder();

		if (salt == null) {
			throw new IllegalArgumentException("salt cannot be null");
		}

		int saltLength = salt.length();

		if (saltLength < 28) {
			throw new IllegalArgumentException("Invalid salt");
		}

		if (salt.charAt(0) != '$' || salt.charAt(1) != '2')
			throw new IllegalArgumentException ("Invalid salt version");
		if (salt.charAt(2) == '$')
			off = 3;
		else {
			minor = salt.charAt(2);
			if ((minor != 'a' && minor != 'x' && minor != 'y' && minor != 'b')
					|| salt.charAt(3) != '$')
				throw new IllegalArgumentException ("Invalid salt revision");
			off = 4;
		}

		// Extract number of rounds
		if (salt.charAt(off + 2) > '$')
			throw new IllegalArgumentException ("Missing salt rounds");

		if (off == 4 && saltLength < 29) {
			throw new IllegalArgumentException("Invalid salt");
		}
		rounds = Integer.parseInt(salt.substring(off, off + 2));
		//上面都是验证salt的有效性,real_salt表示密文里保存着加密的真实salt,截取出来后,将明文密码进行加密返回。之后使用
        // equalsNoEarlyReturn 函数 进行匹配验证
		real_salt = salt.substring(off + 3, off + 25);
		saltb = decode_base64(real_salt, BCRYPT_SALT_LEN);

		if (minor >= 'a') // add null terminator
			passwordb = Arrays.copyOf(passwordb, passwordb.length + 1);

		B = new BCrypt();
		hashed = B.crypt_raw(passwordb, saltb, rounds, minor == 'x', minor == 'a' ? 0x10000 : 0);

		rs.append("$2");
		if (minor >= 'a')
			rs.append(minor);
		rs.append("$");
		if (rounds < 10)
			rs.append("0");
		rs.append(rounds);
		rs.append("$");
		encode_base64(saltb, saltb.length, rs);
		encode_base64(hashed, bf_crypt_ciphertext.length * 4 - 1, rs);
		return rs.toString();
	}

在这里插入图片描述

再查看一下生成salt的函数源码:

在这里插入图片描述

这说明salt生成后,在区间off + 3, off + 25上也保存着base64加密的salt。

结果:

注册时密码由BCrypt加密保存到数据库,密文密码中某个区间内保存着此次hashsalt,由于salt是随机生成的,就算明文密码相同密文密码也不一致,在登录验证时将明文密码使用数据库中获得的密文密码中解析到的salt进行hash,进而匹配密码是否正确。

nan feng
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring security密码加密实现代码实例
08-19
密码加密Spring Security 的一个关键组件,本文将详细介绍 Spring Security 密码加密实现代码实例。 密码加密的重要性 在现代 Web 应用程序密码加密是一个非常重要的安全机制。未经加密密码可能会被...
SpringSecurity 用户名和密码的校验过程及自定义密码验证
热门推荐
z69183787的专栏
02-06 1万+
1、源码执行过程 1.执行 AuthenticationManager 认证方法 authenticate(UsernamePasswordAuthenticationToken) 2.ProviderManager 实现了 authenticate(UsernamePasswordAuthenticationToken) 3.ProviderManager 是通过自身管理的n个AuthenticationProvider认证提供者去进行认证 4.AuthenticationProvider认证提供
浅谈BCrypt密码加解密的使用
weixin_40914842的博客
02-28 2295
一、编写核心类BCrypt.java // Copyright (c) 2006 Damien Miller <djm@mindrot.org> // // Permission to use, copy, modify, and distribute this software for any // purpose with or without fee is hereby gr...
爆破专栏丨Spring Security系列教程之SpringSecurity密码加密_spring
最新发布
Python毕设源码程序王哥
04-20 1040
截止到现在,
SpringSecurity 密码验证流程
wind1_rain的博客
06-27 1671
一、通过debug源码,解析,更加清楚的了解核心的原理,出现问题可以更好的解决 二、密码验证流程 1 默认使用 UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter 执行方法: public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) t
springSecurityPasswordEncoder
梦想是很难很难的,所以先勇敢一点
02-05 5254
密码存储演进史 自从互联网有了用户的那一刻起,存储用户密码这件事便成为了一个健全的系统不得不面对的一件事。 远古时期,明文存储密码可能还不被认为是一个很大的系统缺陷(事实上这是一件很恐怖的事)。提及明文存储密码,我立刻联想到的是 CSDN 社区在 2011 年末发生的 600 万用户密码泄露的事件,谁也不会想到这个和程序员密切相关的网站会犯如此低级的错误。 明文存储密码使得恶意用户可以通过 sql 注入等攻击方式来获取用户名和密码,虽然安全框架和良好的编码规范可以规避很多类似的攻击,但依旧避免不了系统管理员
Spring Security加密解密
程序三两行
08-03 7158
我们开发时进行密码加密,可用的加密手段有很多,比如对称加密、非对称加密、信息摘要等。在一般的项目里,常用的就是信息摘要算法,也可以被称为散列加密函数,或者称为散列算法、哈希函数。这是一种可以从任何数据创建数字“指纹”的方法,常用的散列函数有 MD5 消息摘要算法、安全散列算法(Secure Hash Algorithm)等。散列函数通过把消息或数据压缩成摘要信息,使得数据量变小,将数据的格式固定下来,然后将数据打乱混合,再重新创建成一个散列值,从而达到加密的目的。散列值通常用一个短的随机字母和数字组成的字
Spring Security使用数据库认证及用户密码加密和解密功能
08-24
1. 用户输入用户名和密码时,Spring Security 会将密码加密后与数据库密码进行比较。 2. 如果密码正确,Spring Security 会将用户信息存储在 Session 。 3. 在用户请求资源时,Spring Security 会根据用户信息...
详解Spring Security的HttpBasic登录验证模式
08-25
**Spring Security的HttpBasic登录验证模式详解** **一、HttpBasic模式的应用场景** HttpBasic登录验证模式是Spring Security实现身份验证的一种基础方式。虽然这种方式相对简单,甚至可以说是简陋,但其主要...
详解使用Spring Security进行自动登录验证
08-29
2. 在Spring Security的配置文件,配置好登录跳转的页面、登录处理的页面和加密情况。 3. 在前台的jsp页面登录的字段必须和后台users表的一致,一般都是username和password。 4. 注册页面必须自己写,注册的...
Spring security 自定义密码加密方式的使用范例。
09-15
本示例将介绍如何在Spring Security自定义密码加密方式,以及如何处理认证成功和失败的情况。 首先,我们需要了解Spring Security的基本架构。它主要包括以下组件: 1. **Filter Security Chain**:这是Spring ...
Spring Security 学习笔记(一)
weixin_38921752的博客
11-11 150
Spring Security入门之Hello,Spring Security 使用IDEA新建一个Spring Boot项目,勾选spring-boot-stater-web和spring-boot-stater-security依赖,如下: pom关键依赖如下: <dependencies> <!-- security依赖 --> <dependency> <groupId>org.springframework.
Spring Secuirty 密码加密认证讲解
weixin_52834606的博客
08-27 3343
spring Securiy 密码加密 深度讲解
14-SpringSecurity:前后端分离项目用户名与密码通过RSA加密传输
m0_59598029的博客
01-07 1261
public class RSAEncrypt {/** * RSA公钥加密 * @param str 待加密字符串 * @param publicKey 公钥 * @return 密文 */public static String encrypt(String str, String publicKey) {try {//base64编码的公钥byte[] decoded = Base64.decodeBase64(publicKey);
Spring Security密码加密(AES)
酷酷的馫博客
07-09 3790
Spring Security密码加密(AES)
玩转SpringSecurity之二读取存储密文重写规则校验登录
xtho62的博客
02-09 647
上一篇文章已经说过,自定义内存方式是极少使用的,更多则是数据库存储,然后自定义校验规则等,而且现在对于密码的要求很高一定会采取加密方式存储,那么我们就来看看SpringSecurity提供了些什么吧。 UserDetailsService 只有一个方法就是通过用户名重载用户,其实就是通过用户名查找用户,然后校验。用户的登录是访问这个接口的唯一方法loadUserByUsername的,这个方法接收一个参数,就是用户名,如果没有,会抛异常。如果有,返回UserDetails。 UserDetails也是Sp
spring-security实现自定义加密方式登陆
always_mountain_top的博客
06-19 687
加密验证spring-security用于快捷免密登陆
Spring Security系列教程之SpringSecurity密码加密和解密
weixin_50965314的博客
05-09 4426
创建一个springboot工程导入相应坐标 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-crypto</artifactId> </dependency> ` ```java @Autowired private P
Spring Security密码加密
大后生大大大的博客
11-25 2901
PasswordEncoder、DelegatingPasswordEncoder、PasswordEncoderFactories
SpringSecurity登录验证密码
06-10
Spring Security登录验证流程如下: 1. 用户在登录页面输入用户名和密码,并点击登录按钮。 2. 表单数据被提交到后台的登录接口。 3. 后台的登录接口通过用户名查询用户信息,并获取该用户的密码。 4. 将用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

nan feng

打赏一杯咖啡吧

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值