【Spring Security入门】03-密码加密

最新推荐文章于 2024-07-23 03:19:51 发布
最新推荐文章于 2024-07-23 03:19:51 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: # Spring Security的使用 文章标签: Spring-Security
原文链接:http://www.spring4all.com/article/421
版权

前置文章

Spring Security 入门:基于数据库验证

Github 地址

https://github.com/ChinaSilence/any-spring-security
本文对应 security-login-db-encryptPWD

摘要

解决2个问题:

  • 注册时密码加密后存入数据库
  • 登录时密码加密校验

运行程序

1、clone 代码

git clone https://github.com/ChinaSilence/any-spring-security.git

2、启动应用

mvn spring-boot:run

3、登录(使用账号 anoy 密码 pwd,未使用密码加密前是可以登录的)
登录失败

控制台会出现如下提示:

  Encoded password does not look like BCrypt

4、注册新账号并登录。

登录成功

相关解释说明

相比于上一个demo,在 WebSecurityConfig 中添加了如下代码:

    /**
     * 添加 UserDetailsService, 实现自定义登录校验
     */
    @Override
    protected void configure(AuthenticationManagerBuilder builder) throws Exception{
        builder.userDetailsService(anyUserDetailsService)
                .passwordEncoder(passwordEncoder());
    }

    /**
     * 密码加密
     */
    @Bean
    public BCryptPasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

BCryptPasswordEncoder相关知识:

用户表的密码通常使用MD5等不可逆算法加密后存储,为防止彩虹表破解更会先使用一个特定的字符串(如域名)加密,然后再使用一个随机的salt(盐值)加密。

特定字符串是程序代码中固定的,salt是每个密码单独随机,一般给用户表加一个字段单独存储,比较麻烦。

BCrypt算法将salt随机并混入最终加密后的密码,验证时也无需单独提供之前的salt,从而无需单独处理salt问题。

BCryptPasswordEncoder 是在哪里使用的?

登录时用到了 DaoAuthenticationProvider ,它有一个方法
#additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication),此方法用来校验从数据库取得的用户信息和用户输入的信息是否匹配。

在注册时,对用户密码加密

应用 BCryptPasswordEncoder 之后,明文密码是无法被识别的,就会校验失败,只有存入密文密码才能被正常识别。所以,应该在注册时对用户密码进行加密。

    /**
     * 加密密码
     */
    private void encryptPassword(UserEntity userEntity){
        String password = userEntity.getPassword();
        password = new BCryptPasswordEncoder().encode(password);
        userEntity.setPassword(password);
    }

新用户注册后,数据库中就会存入密文密码,示例:

idusernamepasswordnicknameroles
5testpwd$2a$10$i9fKauPB/mUh8pA2xHTzN.LSAu5pqmfEboNqK6y2NU9PxAt80hLc2加密测试ROLE_USER

补充说明:即使不同的用户注册时输入相同的密码,存入数据库的密文密码也会不同。

一直不懂
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sp_password php,thinkcmf强制重置后台密码2种方法
weixin_39897392的博客
04-13 2357
方法一后台密码忘记了怎么办?1.如果你已经在后台配置了,邮件发送功能且邮箱是你的真实邮箱,可以到前台登录页找回密码;2.如果你是后台管理员,你可以使用 sp_password()方法生成一下新的密码;你只要在任何一个前台可以访问控制器里,如application/Portal/Controller/IndexController.class.php...
sp_password
10-23
create procedure sp_password @old sysname = NULL, -- the old (current) password @new sysname, -- the new password @loginame sysname = NULL -- user to change password on as
Spring Security入门
qq_62377885的博客
05-22 1000
1.1、创建自定义配置实际开发的过程中,我们需要应用程序更加灵活,可以在SpringSecurity中创建自定义配置文件Java自定义配置用来管理用户信息,是UserDetailsService的一个实现,用来管理基于内存的用户信息。创建一个WebSecurityConfig文件:定义一个@Bean,类型是UserDetailsService,实现是InMemoryUserDetailsManager。
Spring Security系列教程22--Spring Security中的密码加密
一一哥
10-24 3960
前言 截止到现在,一一哥 已经带各位学习了很多关于Spring Security的知识点,但是Spring Security作为一个安全框架,其中必然就应该带有安全加密方面的内容,所以本篇文章,一一哥 就带各位来学习Spring Security中的密码加密机制。 Lets go! 一. 密码加密简介 1. 散列加密概述 我们开发时进行密码加密,可用的加密手段有很多,比如对称加密、非对称加密、信息摘要等。在一般的项目里,常用的就是信息摘要算法,也可以被称为散列加密函数,或者称为散列算法、哈希函数。
Spring Security密码加密
大后生大大大的博客
11-25 2906
PasswordEncoder、DelegatingPasswordEncoder、PasswordEncoderFactories
Spring Security实战(五)—— 密码加密
weixin_49561506的博客
04-17 2463
spring security 密码加密实战
Spring Security--密码加密
a2285786446的博客
06-12 1598
第二个matches方法:密码比对的方法,rawPassword是明文密码,encodedPassword加密后的密码,你把这来个参数传进来,它会自动帮你比对,然后放回一个boolean值。可以设置密码的强度 4-31的数字,数字越大,密码强度越高,所需要的时间就越久 可以防止有人频繁去试密码,我们比对的时间会更长。项目的话,我们是继续写的,此时项目是已经实现了数据库的用户名,密码登录,且用的是自己的登录页面。对象,这里是把所有的加密方式都写出来了,匹配你的密码加密方式,默认是”bcrypt“
Spring security 自定义密码加密方式的使用范例。
09-15
Spring security的完整使用范例,支持自定义密码加密方式,以及成功,失败的处理。是一个完整可运行的工程,码云似乎还要注册。后期考虑下用码云
5.Spring security中的密码加密
EdSheeran的博客
03-03 1284
文章目录*密码加密**5.3`PasswordEncoder`详解**5.3.1`PasswordEncoder`常见实现类**5.3.2`DelegatingPasswordEncoder`**5.4实战**5.5加密方案自动升级**5.6是谁的`PasswordEncoder`* 密码加密 5.3PasswordEncoder详解 Spring security中通过PasswordEncoder接口定义了密码加密和比对的相关操作: public interface PasswordEncoder
Spring Security(三) —— 加密系统
eyes++的博客
07-24 2135
一般来说,即使SpringSecurity提供的加密算法很安全,但我们仍然有自己定义加密算法的需求,此时我们就需要自定义PasswordEncoder的实现类了在WebSecurityConfigurerAdapter中有这样两个静态内部类和/***构造方法,默认创建一个defaultPasswordEncoder*而defaultPasswordEncoder是由LazyPasswordEncoder设置的,可以往下看通过源码可以知道,默认的passwordEncoder是通过。...
Spring Security密码加密实战
实践求真知
11-28 858
一参考文章 http://www.spring4all.com/article/421 二代码位置 https://github.com/cakin24/spring-security-demos/tree/master/01%20-%20%E5%AF%86%E7%A0%81%E5%8A%A0%E5%AF%86%EF%BC%88%E6%95%B0%E6%8D%AE%E5%BA%93%EF...
spring-security对登录密码进行加密
qq_41553871的博客
05-13 2928
配置文件省略 sprig-security所需配置连接 如果想使用spring-security进行登录密码进行加密记得在spring-security.xml配置加密方式否则不生效 <security:authentication-manager> <security:authentication-provider user-service-ref="I...
SpringSecurity学习(四)密码加密、RememberMe记住我
Huathy的博客
03-11 1513
密码泄露,多个网站用同一密码。salt加盐。RememberMe记住我。是一种服务端的行为,而不是将用户密码保存在cookie中。传统登录方式是基于Session的,这样一旦用户关闭浏览器重开,就需要再次登录,太过麻烦。实现思路是通过cookie来记住当前用户身份。当用户登录成功后,通过算法,将用户信息、时间戳加密后通过响应头带回前端存到cookie。当重开浏览器后,会自动将cookie信息发送给服务器进行校验分析。从而确定用户身份。具有时效性,一般的为一周左右。
3_SpringSecurity实现密码加密和自动登录功能
P_ning的博客
11-28 658
SpringSecurity连接数据库实现用户角色登录验证环境前提搭建具体实现 环境前提搭建 SpringSecurity连接数据库实现用户角色登录验证 后面有源码 具体实现
二、Spring Security密码加密
热门推荐
panchang199266的博客
05-26 1万+
  在上一个Demo的基础之上,在 WebSecurityConfig 增加如下代码: @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth //配置 UserDetailsService 实现类,实现...
加密解秘SP
masterjames的专栏
04-29 1663
下面给出了一个存储过程,它的作用是自动将当前数据库的用户存储过程加密。DECLARE @sp_name nvarchar(400)DECLARE @sp_content nvarchar(2000)DECLARE @asbegin intdeclare @now datetimeselect @now = getdate()DECLARE sp_cursor CURSOR FOR SELECT o
爆破专栏丨Spring Security系列教程之SpringSecurity中的密码加密_spring(1)
2401_84102759的博客
05-14 951
现在正是金三银四的春招高潮,前阵子小编一直在搭建自己的网站,并整理了全套的**【一线互联网大厂Java核心面试题库+解析】:包括Java基础、异常、集合、并发编程、JVM、Spring全家桶、MyBatis、Redis、数据库、中间件MQ、Dubbo、Linux、Tomcat、ZooKeeper、Netty等等**本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取//放行register接口“)
SpringSecurity(学习笔记) --密码强度调整及加密的多种算法以及密码升级!
TONGZHOUGONGDU的博客
04-25 1914
密码升级,密码加密算法,密码强度问题!
基于Spring Security密码进行加密和校验
最新发布
susjj663的博客
07-23 1213
上述代码中,返回的UserDetails或者是User都是框架提供的类,我们在项目开发的过程中,很多需求都是我们自定义的属性,我们需要扩展该怎么办?/***/@Data//固定不可更改//固定不可更改//扩展属性 昵称//角色列表@Override//把角色类型转换并放入对应的集合@Override@Override@Override@Override/***/@Component@Autowired@Override。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值