SpringSecurity(三)PasswordEncoder

最新推荐文章于 2024-05-10 11:46:29 发布
最新推荐文章于 2024-05-10 11:46:29 发布
阅读量2.8w 收藏 14
点赞数 1
分类专栏: Java 文章标签: springsecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44969643/article/details/109502429
版权

  • 数据安全是很重要的事情,关键数据传输时,要加密;数据库里面的重要信息也要加密。

  • 在开始本章之前,我想先分享一个故事,上个星期我的一台服务器被勒索病毒攻击了,里面很多信息都没有了,数据库也没有了,只留下一个地址,让我给对方付0.03比特币(3000元左右),非常难受(上半年侥幸活下来了,下半年的事都有点难顶呀),平台说cpu没事,让我重装系统(甩锅,看来免费的东西都不怎么靠谱);平台给了我几条建议:

      1.禁用ROOT
  2.用户名和密码尽量复杂
  3.修改ssh的默认22端口
  4.安装DenyHosts防暴力破解软件
  5.禁用密码登录,使用RSA公钥登录
依赖

依赖注意事项:我们构建Web类型的安全项目时,spring-security-config、spring-security-core、spring-security-web三个依赖都是必须添加的。

PasswordEncoder

PasswordEncoder是Spring Security提供的密码加密方式的接口定义。

1)源码类如下所示:

package org.springframework.security.crypto.password;

public interface PasswordEncoder {
    //加密
    String encode(CharSequence var1);

    //匹配,第一个是客户端的明文密码,第二个是已经加密的密码
    boolean matches(CharSequence var1, String var2);

    //对于已经加密的密码再次加密
    default boolean upgradeEncoding(String encodedPassword) {
        return false;
    }
}

#encode

该方法提供了明文密码的加密处理,加密后密文的格式主要取决于PasswordEncoder接口实现类实例。

#matches

匹配存储的密码以及登录时传递的密码(登录密码是经过加密处理后的字符串)是否匹配,如果匹配该方法则会返回true.

2)它的一个主要默认实现类:BCryptPasswordEncoder

public class BCryptPasswordEncoder implements PasswordEncoder {
    private Pattern BCRYPT_PATTERN;
    private final Log logger;
    private final int strength;
    private final BCryptPasswordEncoder.BCryptVersion version;
    private final SecureRandom random;

    public String encode(CharSequence rawPassword) {
    if (rawPassword == null) {
        throw new IllegalArgumentException("rawPassword cannot be null");
    } else {
        String salt;
        if (this.random != null) {
            salt = BCrypt.gensalt(this.version.getVersion(), this.strength, this.random);
        } else {
            salt = BCrypt.gensalt(this.version.getVersion(), this.strength);
        }

        return BCrypt.hashpw(rawPassword.toString(), salt);
    }
}


    }

3)简单的一个demo

@SpringBootTest
class SpringSecuritySsoApplicationTests {

    @Test
    void contextLoads() {
        PasswordEncoder pw= new BCryptPasswordEncoder();
        //加密
        String encode=pw.encode("123");
        System.out.println(encode);
        //比较密码
        boolean matches=pw.matches("123",encode);
        System.out.println("==============================");
        System.out.println(matches);
    }

}

在这里插入图片描述

DelegatingPasswordEncoder

在之前版本集成Spring Security时,我们需要通过@Bean的方式去配置全局统一使用的密码加密方式(PasswordEncoder),这种方法现在用的也很多。

@Bean
public PasswordEncoder passwordEncoder() {
  return new BCryptPasswordEncoder();
}

但5.X版本开始为了支持多种加密方式,诞生了DelegatingPasswordEncoder委托加密方式类。

它内部其实是一个Map集合,根据传递的Key(Key为加密方式)获取Map集合的Value,而Value则是具体的PasswordEncoder实现类。

@Bean
PasswordEncoder passwordEncoder(){
    return PasswordEncoderFactories.createDelegatingPasswordEncoder();
}

负责生产 DelegatingPasswordEncoder 的工厂方法:

public class PasswordEncoderFactories {

   public static PasswordEncoder createDelegatingPasswordEncoder() {
      String encodingId = "bcrypt";
      Map<String, PasswordEncoder> encoders = new HashMap<>();
      encoders.put(encodingId, new BCryptPasswordEncoder());
      encoders.put("ldap", new LdapShaPasswordEncoder());
      encoders.put("MD4", new Md4PasswordEncoder());
      encoders.put("MD5", new MessageDigestPasswordEncoder("MD5"));
      encoders.put("noop", NoOpPasswordEncoder.getInstance());
      encoders.put("pbkdf2", new Pbkdf2PasswordEncoder());
      encoders.put("scrypt", new SCryptPasswordEncoder());
      encoders.put("SHA-1", new MessageDigestPasswordEncoder("SHA-1"));
      encoders.put("SHA-256", new MessageDigestPasswordEncoder("SHA-256"));
      encoders.put("sha256", new StandardPasswordEncoder());

      return new DelegatingPasswordEncoder(encodingId, encoders);
   }

   private PasswordEncoderFactories(){}
}

如此注入 PasswordEncoder 之后,我们在数据库中需要这么存储数据:

{bcrypt}$2a$10$dXJ3SW6G7P50lGmMkkmwe.20cQQubK3.HZWzG3YB1tlRy.fqvM/BG 
{noop}password 
{pbkdf2}5d923b44a6d129f3ddf3e3c8d29412723dcbde72445e8ef6bf3b508fbf17fa4ed4d6b99ca763d8dc 
{scrypt}$e0801$8bWJaSu2IKSn9Z9kM+TPXfOc/9bdYSrN1oD9qfVThWEwdRTnO7re7Ei+fUZRJ68k9lTyuTeUp4of4g24hHnazw==$OAOec05+bXxvuu/1qZ6NUR+xQYvYv7BeL1QxwRpY5Pc=  
{sha256}97cde38028ad898ebc02e690819fa220e88c62e0699403e94fff291cfffaf8410849f27605abcbc0

DelegatingPasswordEncoder默认使用的还是bcrypt加密方式

注意:

Spring Security 5中密码策略的变更:
(1)必须显式指定PasswordEncoder,
(2)存储的密码格式变为:{id}加密后的密文
(3)id是一个标识符,用于查找是哪个PasswordEncoder,也就是密码加密时使用的PasswordEncoder。密码必须以id开始,id前后必须加{}。如果id找不到,id则会为空。

希境
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
SpringSecurity---PasswordEncoder
gaoqiandr的博客
09-18 298
本文主要介绍的是SpringSecurity中的密码编译器
SpringSecurity-12-PasswordEncoder密码加密简介
zhoubangbang1的博客
04-01 1971
SpringSecurity-12-PasswordEncoder密码加密简介为什么密码加密? 国内的每一个开发社区在2011年发生过被黑客攻击,盗取用户信息,600多万的明文密码信息被盗取,大量用户面临着数据隐私泄露和数据安全的威胁。这警告了我们,一旦被黑客攻击用户账号信息被盗,我们该如何减少用户的损失,在我们开发者角度来看就是如何使得用户的账号密码变得安全。怎么让用户的密码变得安全呢?那就是要对用户的密码存储进行加密。MD5加密 MD5信息摘要算法,是一种密码散列函数,可以生成一个128(16字节)的散
PasswordEncoder详解
最新发布
tellmewhoisi的博客
05-10 754
PasswordEncoder是一个密码解析器Spring Security封装了如bcrypt, PBKDF2, scrypt, Argon2等主流适应性单向加密方法( adaptive one-way functions),用以进行密码存储和校验。
Spring Security--PasswordEncoder详解
michizong9406的博客
04-08 4438
Becoming Involved Spring Security封装了如bcrypt, PBKDF2, scrypt, Argon2等主流适应性单向加密方法( adaptive one-way functions),用以进行密码存储和校验。单向校验安全性高,但开销很大,单次密码校验耗时可能高达1秒,故针对高并发性能要求较强的大型信息系统,Spring Security更推荐选择如:session...
spring security 一些自定义操作
qq_27886773的博客
06-08 552
初始配置,伪代码如下,这种配置下,默认是UsernamePasswordAuthenticationFilter+DaoAuthenticationProvider @Configuration public class SecurityConfigNew extends WebSecurityConfigurerAdapter { protected void configure(HttpSecurity http) throws Exception { http.authorizeR
SpringSecurity中的密码加密算法:BCryptPasswordEncoder的使用及原理
Chafferexb的博客
10-16 1739
代码很长,但是真正关键的代码在上面第 43 、44 和 51 行的位置处,43 行处获取真正的 salt ,44 行是使用 base64 进行解码,然后 51 行用 密码、salt 进行处理。这里只有一行代码,但是代码中同样调用了前面的 hashpw 这个方法,传入的参数是 plaintext 和 hashed,plaintext 是我们的密码,即 “123456”, hashed 是加密后的密码。运行上面的代码,查看输出。虽然上面代码很长,其实真正关键的就只有上面我提到的几句,其余的部分不用看。
Bcryp密码加密工具类
weixin_58403235的博客
06-29 345
【代码】Bcryp密码加密工具类。
Spring Security模块
09-03
**Spring Security 的配置** Spring Security 可以通过 XML 配置、Java 配置或注解方式进行配置。XML 配置较为传统,但 Java 配置和注解方式提供了更高的灵活性和可读性。配置内容包括定义过滤器链、配置访问...
SpringSecurity6
02-01
SpringSecurity6是一个强大的安全框架,用于为Java应用提供安全服务,包括身份验证和授权。在本文中,我们将深入探讨如何使用SpringSecurity6实现用户登录认证,以及如何自定义用户名和密码登录认证,同时还会涉及...
springboot+ spring security实现登录认证
05-04
SpringBoot结合Spring Security实现登录认证是企业级应用开发中常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 ...
springSecurity.zip
06-23
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于Java的Web应用程序。它是Spring生态系统的一部分,提供了一套完整的安全解决方案,包括登录、授权、会话管理、CSRF防护等功能。本...
libbcrypt:围绕bcrypt密码哈希的C ++包装器
05-07
libbcrypt的 围绕bcrypt密码哈希的C ++包装器 如何建立这个 这是一个基于CMake的项目: git clone https://github.com/trusch/libbcrypt cd libbcrypt mkdir build cd build cmake .. make sudo make install sudo ldconfig 如何使用 这是一个如何使用该包装器类的示例(您可以在src /子目录中找到经过稍微编辑的示例) # include " bcrypt/BCrypt.hpp " # include < iostream> int main (){ std::string password = " test " ; std::string hash = BCrypt::generateHash (password); std::cout <<
Spring Security 示例项目
11-29
**、集成Spring Security** 在Spring Boot项目中,通过在`pom.xml`中添加Spring Security依赖,可以轻松地引入Spring Security。之后,可以通过配置类自定义安全设置,如登录URL、未授权页面、以及用户认证和授权...
Spring Security灵活的PasswordEncoder加密方式
恒宇少年De成长之路
10-22 4596
知识改变命运,撸码使我快乐,2020继续游走在开源界 点赞再看,养成习惯 给我来个Star吧,点击了解下基于SpringBoot的组件化接口服务落地解决方案 本章基于Spring Security 5.4.1版本编写,从5.x版本开始引入了很多新的特性。 为了适配老系统的安全框架升级,Spring Security也是费劲了心思,支持不同的密码加密方式,而且根据不同的用户可以使用...
Spring Security 自定义用户名和密码的种方式
qwertyu0103的博客
03-25 1858
默认方式: 当我们没有自定义用户名和密码而使用到了Spring Security这个框架时,会默认的为我们生成一个同户名和密码:用户名为user,密码在Spring启动时的日志里面找 方式一:在配置文件中配置 你可以在application.properties中配置用户名和密码,也可以在application.yml中进行配置,推荐使用application.yml,这里使用application.properties,但所做的配置相同 spring.security.user.name=mons
SpringSecurity------PasswordEncoder(二)
豢龙先生
06-11 1112
SpringSecurity密码存储PasswordEncoder接口
SpringSecurity框专题(七) - 自定义加密
刘树之的博客
09-03 1018
文章目录1.MD5加密工具类2.自定义加密器3.修改 security 配置文件 虽然 spring security 已经提供了比较完善的加密机制,但是有时根据业务需求需要定制自己的加密方式。 spring security 提供了加密扩充的接口,下文主要介绍如何在 spring security 中添加自定义的加密器。 1.MD5加密工具类 package com.bruce.utils; import java.security.MessageDigest; /** * @program: St
Spring Security-(BCryptPasswordEncoder)加密及判断密码是否相同/编写自己的密码编码器PasswordEncoder
西京刀客
09-11 2126
文章目录一、问题背景二、 (BCryptPasswordEncoder)加密及判断密码是否相同、BCryptPasswordEncoder源码分析 一、问题背景 任何应用考虑到安全,绝不能明文的方式保存密码。密码应该通过哈希算法进行加密。有很多标准的算法比如SHA或者MD5,结合salt(盐)是一个不错的选择。 Spring Security 提供了BCryptPasswordEncoder类,实现SpringPasswordEncoder接口使用BCrypt强哈希方法来加密密码。 二、 (BCrypt
浅谈Spring Security的BCryptPasswordEncoder
默默不代表沉默
11-28 4752
早些年,那会把一个老项目的登录模块重构,从Shiro转Spring Security,那时候快速换完后没多看,最近又在公司做类似同样的操作,给一个老项目加上Spring Security。所以我决定简单写点什么。 相信用过Spring Security的伙伴们,应该对这个BCryptPasswordEncoder 少了好奇。 为啥好奇, 这个家伙的加密方法encode每次生成的密后密码都不一样,但...
Spring Security自定义PasswordEncoder
08-14
Spring Security自定义PasswordEncoder可以通过实现PasswordEncoder接口来实现。可以参考引用和引用中的代码示例。 在自定义的PasswordEncoder中,需要实现encode方法和matches方法。encode方法用于对密码进行编码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

希境

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值