密码加密与微服务鉴权JWT-BCrypt密码加密

最新推荐文章于 2022-03-02 12:07:08 发布
最新推荐文章于 2022-03-02 12:07:08 发布
阅读量516 收藏
点赞数 1
分类专栏: 【微服务】 【JWT】
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shenzhen_zsw/article/details/90768804
版权
本文介绍了在微服务环境中使用BCrypt密码加密技术确保用户密码安全的方法。内容涵盖准备工作,如引入依赖、配置匿名访问,以及管理员和用户密码的加密和校验流程。通过BCryptPasswordEncoder,确保每次加密后的结果不一致,增强系统安全性。
摘要由CSDN通过智能技术生成

密码加密与微服务鉴权JWT-BCrypt密码加密

BCrypt密码加密

准备工作

任何应用考虑到安全,绝不能明文的方式保存密码。密码应该通过哈希算法进行加密。
有很多标准的算法比如SHA或者MD5,结合salt(盐)是一个不错的选择。 Spring Security提供了BCryptPasswordEncoder类,实现Spring的PasswordEncoder接口使用BCrypt强哈希方法来加密密码。

BCrypt强哈希方法 每次加密的结果都不一样。

(1)tensquare_user工程的pom引入依赖

 		<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

(2)添加配置类 (资源/工具类中提供)

我们在添加了spring security依赖后,所有的地址都被spring security所控制了,我们目前只是需要用到BCrypt密码加密的部分,所以我们要添加一个配置类,配置为所有地址都可以匿名访问。

package com.tensquare.user.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

/**
 * 安全配置类
 */
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //authorizeRequests所有security全注解配置实现的开端,表示开始说明需要的权限。
        //需要的权限分两部分,第一部分是拦截的路径,第二部分访问该路径需要的权限。
        //antMatchers表示拦截什么路径,permitAll任何权限都可以访问,直接放行所有。
        //anyRequest()任何的请求,authenticated认证后才能访问
        //.and().csrf().disable();固定写法,表示使csrf拦截失效。
        http
                .authorizeRequests()
                .antMatchers("/**").permitAll()
                .anyRequest().authenticated()
                .and().csrf().disable();
    }
}

(3)修改tensquare_user工程的Application, 配置bean

	@Bean
	public BCryptPasswordEncoder encoder(){
		return new BCryptPasswordEncoder();
	}

管理员密码加密

新增管理员密码加密

修改tensquare_user工程的AdminService

	/**
	 * 增加
	 * @param admin
	 */
	public void add(Admin admin) {
		admin.setId( idWorker.nextId()+"" );
		// 密码加密
		String newpassword = encoder.encode(admin.getPassword()); 	// 加密后的密码
		admin.setPassword(newpassword);		// 密码加密
		adminDao.save(admin);
	}

管理员登陆密码校验

(1)AdminDao增加方法定义

package com.tensquare.user.dao;

import org.springframework.data.jpa.repository.JpaRepository;
import org.springframework.data.jpa.repository.JpaSpecificationExecutor;

import com.tensquare.user.pojo.Admin;
/**
 * 数据访问接口
 * @author Administrator
 */
public interface AdminDao extends JpaRepository<Admin,String>,JpaSpecificationExecutor<Admin>{
	public Admin findByLoginname(String loginname);
}

(2)AdminService增加方法

	public Admin login(Admin admin) {
		//先根据用户名查询对象。
		Admin adminLogin = adminDao.findByLoginname(admin.getLoginname());
		//然后拿数据库中的密码和用户输入的密码匹配是否相同。
		if(adminLogin!=null && encoder.matches(admin.getPassword(), adminLogin.getPassword())){
			//保证数据库中的对象中的密码和用户输入的密码是一致的。登录成功
			return adminLogin;
		}
		//登录失败
		return null;
	}

(3)AdminController增加方法

	@RequestMapping(value = "/login", method = RequestMethod.POST)
	public Result login(@RequestBody Admin admin){
		Admin adminLogin = adminService.login(admin);
		if(adminLogin==null){
			return new Result(false, StatusCode.LOGINERROR, "登录失败");
		}
		//使得前后端可以通话的操作。采用JWT来实现。
		//生成令牌
		String token = jwtUtil.createJWT(adminLogin.getId(), adminLogin.getLoginname(), "admin");
		Map<String, Object> map = new HashMap<>();
		map.put("token", token);
		map.put("role", "admin");
		return new Result(true, StatusCode.OK, "登录成功", map);
	}

用户密码加密

用户注册密码加密

(1)修改tensquare_user工程的UserService 类,引入BCryptPasswordEncoder

	@Autowired
	private BCryptPasswordEncoder encoder;

(2)修改tensquare_user工程的UserService 类的add方法,添加密码加密的逻辑

	/**    
	  * 增加    
	  * @param user 用户    
	  * @param code 用户填写的验证码    
	  */    
	public void add(User user,String code) {    
		//判断验证码是否正确
		String syscode = (String)redisTemplate.opsForValue().get("smscode_" + user.getMobile());
		//提取系统正确的验证码
		if(syscode==null){
			throw new RuntimeException("请点击获取短信验证码");            
		}        
		if(!syscode.equals(code)){        
			throw new RuntimeException("验证码输入不正确");            
		}        
		user.setId( idWorker.nextId()+"" );        
		user.setFollowcount(0);//关注数        
		user.setFanscount(0);//粉丝数        
		user.setOnline(0L);//在线时长        
		user.setRegdate(new Date());//注册日期        
		user.setUpdatedate(new Date());//更新日期        
		user.setLastdate(new Date());//最后登陆日期        
		userDao.save(user);        
	}

(3)测试运行后,添加数据

{
    "mobile": "13901238899"
    "password": "123123",
}

数据库中的密码为以下形式

$2a$10$a/EYRjdKwQ6zjr0/HJ6RR.rcA1dwv1ys7Uso1xShUaBWlIWTyJl5S

用户登陆密码判断

(1)修改tensquare_user工程的UserDao接口,增加方法定义

public User findByMobile(String mobile);

(2)修改tensquare_user工程的UserService 类,增加方法

	public User login(String mobile, String password) {
		User user = userDao.findByMobile(mobile);
		if(user!=null && encoder.matches(password, user.getPassword())){
			return user;
		}
		return null;
	}

(3)修改tensquare_user工程的UserController类,增加login方法

	@RequestMapping(value = "/login", method = RequestMethod.POST)
	public Result login(@RequestBody User user){
		user = userService.login(user.getMobile(), user.getPassword());
		if(user==null){
			return new Result(false, StatusCode.LOGINERROR, "登录失败");
		}
		String token = jwtUtil.createJWT(user.getId(), user.getMobile(), "user");
		Map<String, Object> map = new HashMap<>();
		map.put("token", token);
		map.put("roles", "user");
		return new Result(true, StatusCode.OK, "登录成功", map);
	}

(4)使用刚才新增加的账号进行测试,查看返回结果

shenzhen_zsw
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
菜鸟-BCrypt密码加密@JWT 实现微服务鉴权
qq_42236935的博客
06-08 282
一:BCrypt入门 在用户模块,对于用户密码的保护,通常都会进行加密。我们通常对密码进行加 密,然后存放在数据库中,在用户进行登录的时候,将其输入的密码进行加密然后与数 据库中存放的密文进行比较,以验证用户密码是否正确。 目前,MD5和BCrypt比较流 行。相对来说,BCrypt比MD5更安全。因为其内部引入的加盐机制 1新建测试类,main方法中编写代码 public class TestBcrypt { public static void main(String[] .
JWT+BCrypt快速体验
ChristineTX的博客
06-24 541
1. 什么是JWT JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息, 微服务中实现JWT主要分有以下几步: 引入依赖 构建JWT工具类,生成TOKEN,解析TOKEN 应用服务配置application文件 增加鉴权bean,修改登录方法 具体实现如下: 2. 引入依赖 pom文件添加JWT <dependen...
微服务密码加密微服务鉴权JWT
zhibinLi的博客
07-30 1203
学习目标: 能够使用BCrypt密码加密算法实现注册与登陆功能 能够说出常见的认证机制 能够说出JWT的组成部分,以及使用JWT的优点 能够使用JJWT 创建和解析token 能够使用JJWT完成微服务鉴权 1 BCrypt密码加密 1.1 准备工作 任何应用考虑到安全,绝不能明文的方式保存密码密码应该通过哈希算法进行加密。 有很多标准的算法比如SHA或者MD5...
SpringCloud学习笔记(九)BCrypt密码加密微服务鉴权JWT(JSON WEB TOKEN)
SmileTimLi的博客
03-03 1420
登录方式: 有状态:将用户的登录信息存到服务器端 无状态:服务器端不进行登记用户的登录信息 第一 BCrypt密码加密 1.1 准备工作 任何应用考虑到安全,绝不能明文的方式保存密码密码应该通过哈希算法进行加密。 有很多标准的算法比如SHA或者MD5,结合salt(盐)是一个不错的选择。 Spring Security 提供了BCryptPasswordEncoder类,...
第十三天 黑马十次方 BCrypt密码加密算法、认证机制、JWT
qq_17023977的博客
08-07 547
第6章-密码加密微服务鉴权JWT 学习目标: ** 能够使用BCrypt密码加密算法实现注册与登陆功能 能够说出常见的认证机制 能够说出JWT的组成部分,以及使用JWT的优点 能够使用JJWT 创建和解析token 能够使用JJWT完成微服务鉴权** 1 BCrypt密码加密 1.1 准备工作 任何应用考虑到安全,绝不能明文的方式保存密码密码应该通过哈希算法进行加密。 有很多标准的算法比如SHA或者MD5,结合salt(盐)是一个不错的选择。 Spring Security 提供了BCryptPassw
JWT-nodejs:使用nodejs,express,Bcrypt和Postman的JWT登录身份验证
04-07
当用户尝试登录时,Bcrypt会比较输入的密码与数据库中存储的哈希值,确保密码的安全性。 **Postman** 是一个流行的API开发和测试工具,它可以帮助开发者测试和调试API请求,包括发送HTTP请求并查看响应。在本项目中...
十次方微服务开发v1.0--第6章1
最新发布
08-03
在本章"十次方微服务开发v1.0--第6章1"中,主要讲解了密码加密微服务鉴权的相关技术,特别是使用BCrypt算法加密密码和JSON Web Token (JWT)进行身份验证。以下是对这些知识点的详细阐述。 **1. BCrypt密码加密** ...
koa2 用户注册、登录校验与加盐加密的实现方法
10-16
`encrypt`方法会使用bcryptjs的`hashSync`生成一个带有盐的加密密码,而`decrypt`方法则使用`compareSync`来对比明文密码加密密码是否一致。 在用户注册的路由处理中,当接收到POST请求时,调用`Crypt.encrypt`...
node-express-jwt-auth:这是一个用于学习目的的nodejs和express js jwt认证站点
05-10
加密 猫鼬 HTML CSS JavaScript ES6 Heroku托管 部署方式 该网站已部署在Heroku上。 访问。 您也可以直接指向此链接: https://jwt-auth-arif.herokuapp.com : https://jwt-auth-arif.herokuapp.com 屏幕截图 ...
node-express-api-jwt-bycrpt
05-23
标题 "node-express-api-jwt-bycrpt" 指的是一个基于 Node.js 和 Express 框架构建的 API 示例项目,它还集成了 JSON Web Tokens (JWT) 和 bcrypt 对用户密码进行加密处理。这个项目是为了解决在开发Web服务时的身份...
scala-bcrypt, 内部 jBcrypt pom.xml的Scala 包装器.zip
09-18
scala-bcrypt, 内部 jBcrypt pom.xml的Scala 包装器 Scala Bcrypt Scala Bcrypt是 jBCRYPT的Scala 友好包装器。示例安全 api安全api将导致 scala.util.Failure 和 scala.util.Success s 在执行操作
SpringBoot整合BCrypt进行密码加密
小郑要做干饭人的博客
11-25 7122
一. 首先在pom依赖中加入依赖: <!-- security依赖包 (加密) --> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> </dependency> &
BCryptPasswordEncoder 实现对用户登录 + 注册密码加密(个人学习)
qq_42955034的博客
03-02 2011
前后端分离实现简单的登录效果
springsecurity中使用BCrypt加密
jackyrongvip的专栏
02-18 831
建议由于现在很多库给脱了,然后给撞库得话,传统得MD5+SALT得话,很容易给撞库,因此建议使用bcrypt, 所谓加盐加密,就是在原先密码上加点“盐”然后加密。因为虽然MD5加密是不可逆的,但是别人可以根据你的MD5密码不断比较发现你的原密码,比如你的密码设置得很简单是123456,加密后是 e10adc3949ba59abbe56e057f20f883e,一旦数据库泄露,密码丢失,不法分子很...
Spring Security 4 整合Hibernate Bcrypt密码加密(带源码)
明明如月的技术博客
05-05 1万+
【相关已翻译的本系列其他文章,点击分类里面的spring security 4】 【剩余文章,将尽快翻译完毕,敬请期待。 翻译by 明明如月 QQ 605283073】 原文地址:http://websystique.com/spring-security/spring-security-4-password-encoder-bcrypt-example-with-hibernate/
技能学习:学习使用php(tp6框架) + vue.js,开发前端全栈网站-5.用户登录,密码bcrypt(hash)加密与验证
最强的森的博客
08-09 1286
技能学习:学习使用php(tp6框架) + vue.js,开发前端全栈网站-5.用户登录,密码bcrypt(hash)加密与验证 技能学习:学习使用php(tp6框架) + vue.js,开发前端全栈网站-1.工具和本地环境 技能学习:学习使用php(tp6框架) + vue.js,开发前端全栈网站-2.启动项目 技能学习:学习使用php(tp6框架) + vue.js,开发前端全栈网站-3.路由、模型与数据库操作 技能学习:学习使用php(tp6框架) + vue.js,开发前端全栈网站-4.跨域且传
BCrypt加密的原理,以及常见的加密算法
热门推荐
qq_41174684的博客
05-14 2万+
BCrypt加密:是一种加盐的加密方法,MD5加密时候,同一个密码经过hash的时候生成的是同一个hash值,在大数据的情况下,有些经过md5加密的方法将会被破解.使用BCrypt进行加密,同一个密码每次生成的hash值都是不相同的。每次加密的时候首先会生成一个随机数就是盐,之后将这个随机数与密码进行hash,得到 一个hash值存到数据库中使用的函数是BCrypt.hashpw(password...
学习笔记(十一)、BCrypt密码加密
wdg2333的博客
02-16 420
日常项目中用户注册信息入库时密码要对其进行加密操作,保障用户信息安全。下面记录Spring Boot整合Spring Security进行BCrypt密码加密。 一、创建一个Spring Boot项目,需要web支持,mysql数据库,jpa和security依赖如下: &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;project xmln...
JWT
glycsdn的博客
08-28 224
JWT学习笔记
微服务开发v1.0-密码加密微服务鉴权JWT学习目标
在该章节中,学习目标包括能够使用BCrypt密码加密算法实现注册与登录功能,能够说出常见的认证机制,能够说出JWT的组成部分和使用JWT的优点,能够使用JJWT创建和解析token,以及能够使用JJWT完成微服务鉴权。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值