扩展Spring Security-用户密码自定义加密的快速实现

最新推荐文章于 2024-05-14 21:17:00 发布
最新推荐文章于 2024-05-14 21:17:00 发布
阅读量459 收藏 1
点赞数
分类专栏: Spring Security 文章标签: Security Spring Acegi Bean DAO

对于使用Acegi框架实现安全的开发人员,都会碰到用户密码加密的需求。数据库中存储的是加密后的密文,用户登录时需将输入的密码加密后在和数据库中的密文密码进行比对。

 

Acegi本身考虑的已经很周到了,提供了3中常用的密码加密方式,分别为Md5,Sha,Plaintext,由3个类分别实现

 

1.Md5PasswordEncoder - Md5方式

2.ShaPasswordEncoder - 哈西方式

3.PlaintextPasswordEncoder - 明文方式

 

使用起来也很简单,只需做简单的配置,例如:

 

	<bean id="daoAuthenticationProvider"
		class="org.acegisecurity.providers.dao.DaoAuthenticationProvider">
		<property name="userDetailsService" ref="jdbcDaoImpl" />
		<property name="userCache" ref="userCache" />
		<property name="passwordEncoder" ref="md5PasswordEncoder"  />
	</bean>
	
	<bean id="md5PasswordEncoder" class="org.acegisecurity.providers.encoding.Md5PasswordEncoder"/>

 

对于需要自己扩展自定义加密机制的人也很简单,只需要实现Acegi的org.acegisecurity.providers.encoding.PasswordEncoder 接口。其中有两个方法:

 

@实现加密的方法,既将明文转换为密文的方法

public abstract String encodePassword(String rawPass, Object salt)
    throws DataAccessException;

 

@验证密码是否有效的方法,返回'true'则登录成功

public abstract boolean isPasswordValid(String encPass, String rawPass, Object salt)
    throws DataAccessException;

 

例如:

 

public class JitPasswordEncoder implements PasswordEncoder {

	public String encodePassword(String rawPass, Object salt)
			throws DataAccessException {
		
		NetSignServer netSignServer = new NetSignServer();
		String pass = null;
		try {
			pass = netSignServer.NSHashAndBase64Encode(rawPass);
		} catch (IOException e) {
			e.printStackTrace();
		}
		return pass;
	}

	public boolean isPasswordValid(String encPass, String rawPass, Object salt)
			throws DataAccessException {
		
		String pass1 = "" + encPass;
		String pass2 = encodePassword(rawPass, salt);
		return pass1.equals(pass2);
	}

}
 

其中encPass是数据库中保存的密码,rawPass是用户输入的密码,salt是生成密码时的种子,这个例子中我未用到。

流程是,当用户登录时,将调用isPasswordValid()方法验证登录凭证,isPasswordValid()方法将会调用encodePassword()方法将用户输入的密码进行加密,然后将数据库中所存密码和输入的加密后的密码进行比对,符合返回'true'则用户登录成功。

 

至此相信你已经掌握了如何实现如何在Acegi中自定义加密密码的方法,至于salt参数的使用有待后续讲解。

 

The end.

 

孤独の程序员
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security3中使用自定义的MD5和salt进行加密
我的博客
12-06 1万+
首先看代码: 如果我们要自己控制密码权限的验证,可以在配置中使用来指定自己的密码验证类,该类继承自MessageDigestPasswordEncoder。需要我们复写了public boolean isPasswordValid(String savePass, String submitPass, Object salt)方法,
springboot+security+mybatis-plus实现自定义认证用户数据源的接口开发
05-12
在本项目中,我们主要探讨如何使用Spring Boot、Spring Security以及MyBatis-Plus来构建一个自定义认证用户的接口开发。这些技术都是Java生态中非常流行且强大的工具,尤其适用于快速开发企业级应用。 首先,Spring...
Spring Security 表单登录功能的实现方法
08-25
主要介绍了Spring Security 表单登录,本文将构建在之前简单的 Spring MVC示例 之上,因为这是设置Web应用程序和登录机制的必不可少的。需要的朋友可以参考下
05-SpringSecurity中多种认证方式的实现
欢迎阅读我的博客
12-29 521
05-SpringSecurity中多种认证方式的实现
爆破专栏丨Spring Security系列教程之SpringSecurity中的密码加密_spring(1)
2401_84102759的博客
05-14 937
现在正是金三银四的春招高潮,前阵子小编一直在搭建自己的网站,并整理了全套的**【一线互联网大厂Java核心面试题库+解析】:包括Java基础、异常、集合、并发编程、JVM、Spring全家桶、MyBatis、Redis、数据库、中间件MQ、Dubbo、Linux、Tomcat、ZooKeeper、Netty等等**本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取//放行register接口“)
spring-security实现自定义加密方式登陆
always_mountain_top的博客
06-19 700
加密验证spring-security用于快捷免密登陆
Spring security 自定义密码加密方式的使用范例。
09-15
Spring security的完整使用范例,支持自定义密码加密方式,以及成功,失败的处理。是一个完整可运行的工程,码云似乎还要注册。后期考虑下用码云
SpringSecurity框专题(七) - 自定义加密
刘树之的博客
09-03 1026
文章目录1.MD5加密工具类2.自定义加密器3.修改 security 配置文件 虽然 spring security 已经提供了比较完善的加密机制,但是有时根据业务需求需要定制自己的加密方式。 spring security 提供了加密扩充的接口,下文主要介绍如何在 spring security 中添加自定义加密器。 1.MD5加密工具类 package com.bruce.utils; import java.security.MessageDigest; /** * @program: St
Spring Security —09—密码加密
weixin_48994585的博客
08-25 575
整个事件中最触目惊心的莫过于 CSDN 把用户密码明文存储,由于很多用户是多个网站共用一个密码,因此一个网站密码泄漏就会造成很大的安全隐患。用户注册成功后,保存在数据库中不再是用户的明文密码,而是经过 SHA-256 加密计算的一个字符串,当用户进行登录时,用户输入的明文密码用 SHA-256 进行加密加密完成之后,再和存储在数据库中的密码进行比对,进而确定用户登录信息是否有效。在前面的案例中,凡是涉及密码的地方,我们都采用明文存储,在实际项目中这肯定是不可取的,因为这会带来极高的安全风险。
Spring Security密码加密存储
weixin_43161973的博客
04-02 643
Spring Security下PasswordEncoder加密密码 传统: 之前一直都是MD5加密,但是MD5虽然是不可逆算法后但仍可破解,不够安全。 现在: PasswordEncoder下的方法 加密(encode): 使用SHA+加盐(特定字符随机插入密钥)+密钥进行hash算法(hash算法不可逆)生成最终密钥。 密码匹配(matches): 不是对数据库里存的密钥进行解密(因为密钥...
SpringSecurity-数据库认证-简单授权
最新发布
06-03
SpringSecurity提供了多种密码编码器,如BCryptPasswordEncoder,用于对用户密码进行加密存储。 在`configure(HttpSecurity http)`中,你可以定义访问控制规则。例如,使用`http.authorizeRequests()`来定义哪些URL...
Spring Boot Security 2.5.8 实现账号、手机号、邮件登录,记住密码等功能
11-13
2. **手机号登录**:为了适应移动互联网的需求,Spring Security可以通过扩展实现短信验证码或直接使用手机号作为身份验证的凭证。这通常涉及到与短信服务提供商的集成,以及对手机号的验证逻辑。 3. **邮箱登录**...
spring-security Jar包
09-21
8. **自定义扩展**:Spring Security 的设计是模块化的,允许开发者根据需求添加或替换组件,如认证提供者、授权策略、加密机制等,以适应各种复杂的安全场景。 9. **安全性配置**:配置Spring Security 主要通过...
Spring Security入门(三):密码加密
热门推荐
程序猿DD
01-17 2万+
前文导读- Spring Security入门(一):登录与退出- Spring Security入门(二):基于数据库验证Github 地址https://github.com/ChinaSilence/any-spring-security 本文对应 security-login-db-encryptPWD摘要解决2个问题:注册时密码加密后存入数据库登录时密码加密校验运行程序1、clone 代
二、Spring Security密码加密
panchang199266的博客
05-26 1万+
  在上一个Demo的基础之上,在 WebSecurityConfig 增加如下代码: @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth //配置 UserDetailsService 实现类,实现...
SpringSecurity学习(四)密码加密、RememberMe记住我
Huathy的博客
03-11 1510
密码泄露,多个网站用同一密码。salt加盐。RememberMe记住我。是一种服务端的行为,而不是将用户密码保存在cookie中。传统登录方式是基于Session的,这样一旦用户关闭浏览器重开,就需要再次登录,太过麻烦。实现思路是通过cookie来记住当前用户身份。当用户登录成功后,通过算法,将用户信息、时间戳加密后通过响应头带回前端存到cookie。当重开浏览器后,会自动将cookie信息发送给服务器进行校验分析。从而确定用户身份。具有时效性,一般的为一周左右。
spring security扩展点入门示例
蜗牛跑的快
06-26 411
登录认证自定义 创建密码加密器并放到spring容器中 package com.snail.learn.security.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
SpringSecurity学习笔记(七)密码加密
怕什么真理无穷,进一寸有一寸的欢喜。即使开了一辆老掉牙的破车,只要在前行就好,偶尔吹点小风,这就是幸
10-06 1204
直接使用其他的密码加密方式我们先把密码改成bcrypt加密这个时候我们一样可以使用密码123登录第二种密码加密方式为什么我们前面说默认的是?,这个是在配置里面配置的所以只要我们自己在容器中创建一个就可以实现使用自己的默认的编码方法。如果没有找到就会自己创建一个map,这个时候就要在密码字段前面加上指明加密方式。当然如果我们自定义了一个,这样我们数据库中的密码就不需要加上密码加密前缀。}.}.}.
Spring Security权限开发实战与自定义教程
- **第6章**涉及密码安全,如MD5和盐值加密,以及用户信息的缓存和获取。 此外,还涉及到自定义访问拒绝页面、动态管理资源与自定义登录页面的结合,以及如何利用FilterSecurityInterceptor进行更精细的访问控制。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值