SpringSecurity------PasswordEncoder(二)

已于 2022-06-18 18:29:48 修改
阅读量1.1k 收藏 2
点赞数 1
分类专栏: SpringSecurity 文章标签: java spring
于 2022-06-11 20:24:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sanjun333/article/details/125238340
版权

SpringSecurity------PasswordEncoder(二)

1、PasswordEncoder接口

Spring Security的PasswordEncoder接口用于密码的单向加密,保证密码的安全存储。Spring Security提供的PasswordEncoder都是单向加密,所以不能用于有双向转化需求的密码。PasswordEncoder用于加密存储密文,并在身份认证时将密文同用户提供的明文密码进行比较。

2、DelegatingPasswordEncoder委托类

在Spring Security 5.0之前,默认的PasswordEncoder是NoOpPasswordEncoder,使用的是纯文本密码(未加密),之后使用委托类DelegatingPasswordEncoder主要是考虑到以下几点:

  • 兼容很多系统使用的旧密码加密器
  • 最佳的密码加密方式可能再次改变
  • 兼容低版本的Spring Security加密

Spring Security引进DelegatingPasswordEncoder解决所有以下问题:

  • 可以保证密码加密使用当前推荐的加密策略

  • 可以校验新格式和传统格式的密文

  • 允许升级加密策略

你可以使用PasswordEncoderFactories快速构建一个DelegatingPasswordEncoder:

PasswordEncoder passwordEncoder = PasswordEncoderFactories.createDelegatingPasswordEncoder();

或者,也可以通过下面的方式自定义构建实例:

String idForEncode = "bcrypt";
Map encoders = new HashMap<>();
encoders.put(idForEncode, new BCryptPasswordEncoder());
encoders.put("noop", NoOpPasswordEncoder.getInstance());
encoders.put("pbkdf2", new Pbkdf2PasswordEncoder());
encoders.put("scrypt", new SCryptPasswordEncoder());
encoders.put("sha256", new StandardPasswordEncoder());
PasswordEncoder passwordEncoder = new DelegatingPasswordEncoder(idForEncode, encoders);

3、密码存储格式

常规的密码存储格式如下:

{id}encodedPassword

id是指定使用那种PasswordEncoder的标识符,encodedPassword是原始的经过编码的密文。 这个id 必须放在密文的前面,而且使用{ }包裹。

例如,下面就是使用不同ID的密文密码,明文密码对应的都是“password”:

BCryptPasswordEncoder-->{bcrypt}$2a$10$dXJ3SW6G7P50lGmMkkmwe.20cQQubK3.HZWzG3YB1tlRy.fqvM/BG 
NoOpPasswordEncoder-->{noop}password 
Pbkdf2PasswordEncoder-->{pbkdf2}5d923b44a6d129f3ddf3e3c8d29412723dcbde72445e8ef6bf3b508fbf17fa4ed4d6b99ca763d8dc 
SCryptPasswordEncoder-->{scrypt}$e0801$8bWJaSu2IKSn9Z9kM+TPXfOc/9bdYSrN1oD9qfVThWEwdRTnO7re7Ei+fUZRJ68k9lTyuTeUp4of4g24hHnazw==$OAOec05+bXxvuu/1qZ6NUR+xQYvYv7BeL1QxwRpY5Pc=  
StandardPasswordEncoder-->{sha256}97cde38028ad898ebc02e690819fa220e88c62e0699403e94fff291cfffaf8410849f27605abcbc0

4、密码匹配

通过密文前的ID属性去获取相应的PasswordEncoder,这种映射关系在DelegatingPasswordEncoder的构造器中有体现。

默认情况,如果提供的密文没有指定ID或是ID为null, matches(CharSequence, String) 会抛出IllegalArgumentException异常。但是可以通过DelegatingPasswordEncoder.setDefaultPasswordEncoderForMatches(PasswordEncoder)自定义处理方式。

5、密码存储配置

Spring Security默认使用DelegatingPasswordEncoder,但是可以通过显示注入一个 PasswordEncoder实现来更改这种默认配置。

@Bean
public static PasswordEncoder passwordEncoder() {
    return NoOpPasswordEncoder.getInstance();
}

6、密码修改

使用默认的密码修改地址 /change-password

http
    .passwordManagement(Customizer.withDefaults())

使用自定义的密码修改地址 /update-password

http
    .passwordManagement((management) -> management
        .changePasswordPage("/update-password")
    )

上一篇:SpringSecurity------引入方式和配置(一)
下一篇:SpringSecurity------CSRF跨站请求伪造(三)

豢龙先生
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Security--PasswordEncoder详解
michizong9406的博客
04-08 4445
Becoming Involved Spring Security封装了如bcrypt, PBKDF2, scrypt, Argon2等主流适应性单向加密方法( adaptive one-way functions),用以进行密码存储和校验。单向校验安全性高,但开销很大,单次密码校验耗时可能高达1秒,故针对高并发性能要求较强的大型信息系统,Spring Security更推荐选择如:session...
Spring Security中的Password Encoding
PageThinker
09-27 2525
【目录】 背景 关于NoOpPasswordEncoding 其它Pasword Encoder 关于DelegatingPasswordEncoding 收获 0. 背景 在自定义配置Spring Security时,你或许会注意到这段代码。 @Bean public static PasswordEncoder passwordEncoder() { return NoOpPass...
Spring security BCryptPasswordEncoder密码验证原理详解
08-24
主要介绍了Spring security BCryptPasswordEncoder密码验证原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
PasswordEncoder详解
wh柒八九的博客
07-01 1万+
本文来讲下PasswordEncoder相关的知识与内容 文章目录概述 概述
Spring Security系列之PasswordEncoder
最新发布
lonelymanontheway的博客
06-07 966
加密算法种类、反查表、彩虹表、加密算法配置类实例、PasswordEncoder、BCryptPasswordEncoder、PasswordEncoderFactoriesDelegatingPasswordEncoder、自定义加密方案。
通俗易懂的告诉你,https是如何保证数据安全的
前端下午茶
09-07 681
HTTP存在的问题窃听风险:通信使用明文(不加密),内容可能会被窃听(第三方可能获知通信内容)冒充风险:不验证通信方的身份,因此有可能遭遇伪装篡改风险:无法证明报文的完整性,所以有可能已...
Day615.SpringSecurity常见错误 -Spring编程常见错误
阿昌爱Java
05-12 1277
SpringSecurity常见错误 针对SpringSecurityJava程序员都会知道。他是一种Filter链+职责链设计模式的安全框架。 那在使用它的时候也会出现一些常见的错误,如下就列举一些开发中可能会出现的常见错误。 一、PasswordEncoder匹配不到错误 第一次尝试使用 Spring Security 时,我们经常会忘记定义一个 PasswordEncoder。 因为这在 Spring Security 旧版本中是允许的。而一旦使用了新版本,则必须要提供一个 PasswordEnc
SpringSecurity入门(
m0_69526738的博客
04-23 657
String getUsername(); boolean isAccountNonExpired(); boolean isAccountNonLocked(); boolean isCredentialsNonExpired(); boolean isEnabled(); } UserDetails的主要实现类是:org.springframework.security.core.userdetails.User [](()案例整合 ===================================
spring-security.rar
08-30
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理,它为Web和方法级的安全提供了全面的解决方案。在Spring Boot环境中,Spring Security 可以轻松集成并简化配置过程,使得开发者可以快速实现认证...
spring-boot-security.zip
08-01
Spring Boot Security是一个强大的工具,用于在Spring Boot应用中轻松实现安全控制。它简化了安全配置,使得开发者可以快速地为应用程序添加认证和授权功能。在本文中,我们将深入探讨Spring Boot 2.0与Security的...
spring-boot-security
07-16
Spring Boot Security是一个强大的工具,它集成了Spring Security框架,使得在Spring Boot应用中实现安全控制变得简单高效。Spring Security是一个全面的、可高度定制的安全框架,适用于Java Web应用程序,包括认证...
spring-security-jdbc
04-27
Spring Security JDBC 深入解析》 Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,广泛应用于Java企业级应用中。在本文中,我们将深入探讨其与JDBC(Java Database Connectivity)的集成,...
Spring Security灵活的PasswordEncoder加密方式
恒宇少年De成长之路
10-22 4633
知识改变命运,撸码使我快乐,2020继续游走在开源界 点赞再看,养成习惯 给我来个Star吧,点击了解下基于SpringBoot的组件化接口服务落地解决方案 本章基于Spring Security 5.4.1版本编写,从5.x版本开始引入了很多新的特性。 为了适配老系统的安全框架升级,Spring Security也是费劲了心思,支持不同的密码加密方式,而且根据不同的用户可以使用...
spring security之密码管理
xkshihaoren的博客
12-04 383
1.spring security的加密机制 spring security内置了密码加密机制,只需要一个PasswordEncoder接口 public interface PasswordEncoder { // 用数据库存储用户密码时,加密过程使用encode方法 String encode(CharSequence var1); // 用于判断用户登录时输入的密码是否正确 ...
springSecurityPasswordEncoder
梦想是很难很难的,所以先勇敢一点
02-05 5288
密码存储演进史 自从互联网有了用户的那一刻起,存储用户密码这件事便成为了一个健全的系统不得不面对的一件事。 远古时期,明文存储密码可能还不被认为是一个很大的系统缺陷(事实上这是一件很恐怖的事)。提及明文存储密码,我立刻联想到的是 CSDN 社区在 2011 年末发生的 600 万用户密码泄露的事件,谁也不会想到这个和程序员密切相关的网站会犯如此低级的错误。 明文存储密码使得恶意用户可以通过 sql 注入等攻击方式来获取用户名和密码,虽然安全框架和良好的编码规范可以规避很多类似的攻击,但依旧避免不了系统管理员
PasswordEncoder原理
0
01-30 1116
Hash算法特别的地方在于它是一种单向算法,用户可以通过hash算法对某个数据生成一段特定长度的唯一hash值,却不能通过这个hash值逆向获取原始数据。因此Hash算法常用在不可还原的密码存储、数据完整性校验等领域。BCryptPasswordEncoder 是Spring Security推荐使用的PasswordEncoder接口实现类。(盐的作用就是每次做出来的菜味道都不一样)。PasswordEncoder 是Spring Scurity框架内处理密码加密与校验的接口。
【深入浅出 Spring Security(六)】一文搞懂密码的加密和比对
qq_63691275的博客
06-05 2548
自定义加密通过源码分析可以得出两种自定义的方案:1.使用 {id} 的形式,即在密码前加上 {id},例如:{noop}123,即表示等密码比对的时候用 NoOpPasswordEncoder 中的matches方法进行比对。2.向 Spring 容器中注入 PasswordEncoder 实例,这样Spring Security 会选择注入的实例去进行密码的比对,缺点是整个项目的密码比对都只能采用这种比对方案。
关于java中密码的加密(使用PasswordEncoderFactories))
qq_35069673的博客
05-17 6881
这里使用的是Spring Security 5中 的PasswordEncoder 增加 PasswordEncoderFactories 类提供一个静态方法 createDelegatingPasswordEncoder()方法, 使用委托方式创建PasswordEncoder的实现 PasswordEncoderFactories.createDelegatingPasswordEncode...
BCryptPasswordEncoder的使用及原理
热门推荐
码农UP2U
12-04 2万+
Spring Security 中有一个加密的类 BCryptPasswordEncoder ,它的使用非常的简单而且也比较有趣。让我们来看看它的使用。 BCryptPasswordEncoder 的使用 首先创建一个 SpringBoot 的项目,在创建项目的时候添加 Spring Security 的依赖。然后我们添加一个测试类,写如下的代码: final private String password = "123456"; @Test public v......
spring security 整合mybatis-plus
10-23
Spring Security 是一个开源的安全框架,用于保护基于Spring框架构建的应用程序。MyBatis-Plus 是基于 MyBatis 的增强工具,用于简化 MyBatis 操作和提高开发效率。 将 Spring Security 与 MyBatis-Plus 整合主要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

豢龙先生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值