BCrypt密码加密

最新推荐文章于 2024-08-09 15:45:05 发布
最新推荐文章于 2024-08-09 15:45:05 发布
阅读量756 收藏 1
点赞数
分类专栏: SpringSecurity 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_34241861/article/details/107302524
版权
一、介绍

BCrypt算法是目前使用比较多的加密、解密算法。SpringSecurity中提供了BCryptPasswordEncoder

优点:
自己写的加密算法或使用MD5,同一密码生成的Hash值一样。而BCrypt算法每次加密生成的Hash值不同。

二、具体使用

1)在SpringSecurity的配置类中,使用@Configuration和@Bean的组合来创建BCryptPasswordEncoder Bean

@EnableWebSecurity
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
    Logger logger = LoggerFactory.getLogger(getClass());

    @Autowired
    MyUserDetailService myUserDetailService;

    //Control+O 打开重写方法
    //定制请求的授权规则
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        System.out.println("进入到 MySecurityConfig的configure 方法中");
        //super.configure(http);
        /*Spring Security 的默认构造器:
        通过调用authorizeRequests()和 anyRequest().authenticated()就会要求所有进入应用的HTTP请求都要进行认证
        http
            .authorizeRequests()
                .anyRequest().authenticated()
                .and()
            .formLogin().and()
            .httpBasic(); //弹出一个输入用户名、密码的登录框

            
             “/shop/hello” 和 “/shop/order” 这两个路径必须进过认证,并且 “/shop/order” 必须是 post 请求的方式.
             对于其他的请求,我们都是 .anyRequest().permitAll() ;都放行.
             http.authorizeRequests()
                .antMatchers("/shop/hello").authenticated()
                .antMatchers(HttpMethod.POST,"/shop/order").authenticated()
                .anyRequest().permitAll();

             antMatchers()方法所使用的路径可能会包括Ant风格的通配符,而regexMatchers()方法则能够接受正则表达式来定义请求路径。
         */
        // 基于token,所以不需要session
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        // /**代表所有的请求
        http.authorizeRequests()//方法表示开启了认证规则配置;定义哪些url需要保护,哪些url不需要保护;
                .antMatchers("/api/**").permitAll()//定义不需要认证就可以访问
//                .antMatchers("/session/**").permitAll()//定义不需要认证就可以访问
//                .antMatchers("/component/**").hasAuthority("ROLE_ADMIN")
                .antMatchers("/home/**").hasAnyAuthority("ROLE_DEV_APPLICATION","ROLE_ADMIN","ROLE_DEV_TERMINAL_IOS")
                .anyRequest().authenticated();其他的路径都是登录后即可访问
//                .and().formLogin().loginPage("/")
//
//                //在successHandler中,使用response返回登录成功的json即可,切记不可以使用defaultSuccessUrl,defaultSuccessUrl是只登录成功后重定向的页面,failureHandler也是由于相同的原因不使用failureUrl。
//                .loginProcessingUrl("/login").successHandler(
//                        new AuthenticationSuccessHandler(){
//                            @Override
//                            public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
//                                System.out.println(authentication.getDetails());
//                                httpServletResponse.setContentType("application/json;charset=utf-8");
//                                PrintWriter out = httpServletResponse.getWriter();
//                                out.write("{\"status\":\"success\",\"msg\":\"登录成功\"}");
//                                out.flush();
//                                out.close();
//                            }
//                }).failureHandler(
//                        new AuthenticationFailureHandler() {
//                            @Override
//                            public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
//                                httpServletResponse.setContentType("application/json;charset=utf-8");
//                                PrintWriter out = httpServletResponse.getWriter();
//                                out.write("{\"status\":\"failed\",\"msg\":\"登录失败\"}");
//                                out.flush();
//                                out.close();
//                            }
//                });

                //http.logout()开启自动配置的注销功能
                //1) 访问/logout 表示用户注销,清空session
                //2) 注销成功会返回/login?logout 页面
                //3) logoutSuccessfulUrl 改变2)的设置
                http.logout().logoutSuccessUrl("/login");

                http.sessionManagement().invalidSessionUrl("/login");

                http.rememberMe().rememberMeParameter("remember");
//                .usernameParameter("username").passwordParameter("password").defaultSuccessUrl("/");定义当需要用户登录时候,转到的登录页面
//                http.headers().frameOptions().disable();


//                .antMatchers("/level2/**").hasRole("VIP2")
//                .antMatchers("/level3/**").hasRole("VIP3");

        //开启自动配置的登录功能。如果没有登录,没有权限就会来到登录页面
        //1:/login来到登录页
        //2:重定向/login?error表示登录失败
        //3:更多详细规定
        //http.formLogin().defaultSuccessUrl("/user/login.html");

        /* iframe */
	    http.headers().frameOptions().sameOrigin(); // 运行同一个域名中的任何请求
        http.csrf().disable(); // 默认是启用的,需要禁用CSRF保护(当不使用cookie时可以禁用csrf)
        http.addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);
        // 禁用缓存
        http.headers().cacheControl();
    }

    //定制请求的认证规则
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        System.out.println("进入到 configureGlobal 方法中");
        System.out.println("auth.userDetailsService(myUserDetailService):" + auth.userDetailsService(myUserDetailService));
    //1)获取内存中的用户名和密码
//        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("1").password(new BCryptPasswordEncoder().encode("1")).roles("USER");
//                .withUser("1").password(new BCryptPasswordEncoder().encode("1")).authorities("ROLE_TEST");

//        auth.authenticationProvider(authenticationProvider());
//        auth.userDetailsService(myUserDetailService).passwordEncoder(passwordEncoder());

    //2)获取数据库中的用户名和密码
        auth.userDetailsService(myUserDetailService).passwordEncoder(new PasswordEncoder() {
            @Override
            public String encode(CharSequence charSequence) {
                return charSequence.toString();
            }

            @Override
            public boolean matches(CharSequence charSequence, String s) {
                return s.equals(charSequence.toString());
            }
        });
    }

    /*
     通过AuthenticationProvider方式获取
     */
    @Bean
    public DaoAuthenticationProvider authenticationProvider() {
        System.out.println("进入到 authenticationProvider 方法中");
        DaoAuthenticationProvider authProvider = new DaoAuthenticationProvider();
        authProvider.setUserDetailsService(myUserDetailService);
        authProvider.setPasswordEncoder(passwordEncoder());
        return authProvider;
    }

    /**
     * 密码生成策略
     * @return
     */
    @Bean
    public BCryptPasswordEncoder passwordEncoder() {
        System.out.println("进入到 passwordEncoder 方法中");
        return new BCryptPasswordEncoder();
    }

    @Bean
    public JwtAuthenticationTokenFilter authenticationTokenFilterBean() throws Exception {
        System.out.println("进入到 authenticationTokenFilterBean 方法中");
        return new JwtAuthenticationTokenFilter();
    }
}

2)添加新成员信息时使用encode()进行密码加密

@RestController
@RequestMapping(value = "api/umeapiplus/user")
public class UserController {
    private static final Gson gson = new Gson();
    @Autowired
    public UserService userService;

    @Autowired
    public BCryptPasswordEncoder bCryptPasswordEncoder;

    @Autowired
    public RoleAndUserService roleAndUserService;

    @Autowired
    public RoleService roleService;

    @Autowired
    CorporationAndUserService corporationAndUserService;

    @RequestMapping(value = "/updateMemberInfos", method = RequestMethod.POST)
    public boolean updateMemberInfos(@RequestBody JSONObject jsonObject){
        User userOfWeb =  gson.fromJson(JSONObject.toJSONString(jsonObject.getJSONObject("user")), User.class);
        String permission = jsonObject.getString("permission");

        String encodedPassword = bCryptPasswordEncoder.encode(userOfWeb.getPassword());
        userOfWeb.setPassword(encodedPassword);
        userOfWeb.setLastLoginDate(new Date());//??
        boolean userResult = userService.update(userOfWeb);
       // 更新权限信息
        RoleAndUser roleAndUser = roleAndUserService.findByUserId(userOfWeb.getId());
        Integer roleId = roleService.findByRoleName(permission);
        roleAndUser.setRoleId(roleId);
        boolean roleAndUserResult = roleAndUserService.update(roleAndUser);
        return userResult && roleAndUserResult;
    }

    @RequestMapping(value = "/addNewMember", method = RequestMethod.POST)
    public boolean addNewMember(@RequestBody JSONObject jsonObject){
        User userOfWeb =  gson.fromJson(JSONObject.toJSONString(jsonObject.getJSONObject("user")), User.class);
        String permission = jsonObject.getString("permission");
        Integer corporationId = jsonObject.getInteger("corporationId");

        String encodedPassword = bCryptPasswordEncoder.encode(userOfWeb.getPassword());
        userOfWeb.setPassword(encodedPassword);
        userOfWeb.setCreateDate(new Date());
        userOfWeb.setLastLoginDate(new Date());
        boolean userResult = userService.insertOfReturnId(userOfWeb);

        //插入tb_role_and_user_new一条新记录
        RoleAndUser roleAndUser = new RoleAndUser();
        roleAndUser.setUserId(userOfWeb.getId());
        Integer roleId = roleService.findByRoleName(permission);
        roleAndUser.setRoleId(roleId);
        boolean roleAndUserResult = roleAndUserService.insert(roleAndUser);

        //插入tb_corporation_and_user一条新记录
        CorporationAndUser corporationAndUser = new CorporationAndUser();
        corporationAndUser.setUserId(userOfWeb.getId());
        corporationAndUser.setCorporationId(corporationId);
        corporationAndUser.setRoleId(roleId);
        boolean corporationAndUserResult = corporationAndUserService.insert(corporationAndUser);
        return userResult && roleAndUserResult && corporationAndUserResult;
    }

    @RequestMapping(value = "/deleteMember", method = RequestMethod.GET)
    public boolean deleteMember(@RequestParam(value = "userId") Integer userId, @RequestParam(value = "corporationId") Integer corporationId){
        boolean userResult = userService.deleteByPrimaryKey(userId);
        boolean roleAndUserResult = roleAndUserService.deleteByUserId(userId);
        boolean corporationAndUserResult = corporationAndUserService.deleteByUserId(userId);
        return userResult && roleAndUserResult && corporationAndUserResult;
    }
}

3)解密
使用bCryptPasswordEncoder.matches(原密码,加密后的密码),返回值时boolean类型

小小平不平凡
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
密码学系列之:bcrypt加密算法详解
java_xiaoo的博客
09-16 2106
简介 今天要给大家介绍的一种加密算法叫做bcrypt, bcrypt是由Niels Provos和David Mazières设计的密码哈希函数,他是基于Blowfish密码而来的,并于1999年在USENIX上提出。 除了加盐来抵御rainbow table 攻击之外,bcrypt的一个非常重要的特征就是自适应性,可以保证加密的速度在一个特定的范围内,即使计算机的运算能力非常高,可以通过增加迭代次数的方式,使得加密速度变慢,从而可以抵御暴力搜索攻击。 bcrypt函数是OpenBSD和其他系统包括一
Bcrypt密码加密
weixin_44297716的博客
03-31 457
Bcrypt密码加密 ​ 对于用户密码的保护,通常都会进行加密。我们通常对密码进行加密,然后存放在数据库中,在用户进行登录的时候,将其输入的密码进行加密然后与数据库中存放的密文进行比较,以验证用户密码是否正确。 目前,MD5和BCrypt比较流行。相对来说,BCrypt比MD5更安全。因为其内部引入的加盐机制 ​ BCrypt 官网http://www.mindrot.org/projects...
在rails中使用bcrypt进行密码加密
秦聪的博客
03-23 1902
bcrypt可以通过不可逆的算法将密码加密成一段字符串,在数据库中存储这段字符串而不是密码本身,可疑防止用户的密码泄露。 首先需要在数据库中加入password_digest项用来存储加密后的字符串。迁移文件如下:class AddPasswordDigestToUsers < ActiveRecord::Migration def change add_column :users,
BCrypt加密算法的使用及原理
最新发布
心态的博客
08-09 911
在我们开发过程中肯定会对于一些保密数据进行加密存储,加密的方式有很多,例如大家常见的MD5、SHA-256等加密方法。这边我以前使用的是MD5,主要是因为MD5容易被解密。因为MD5在值相同时,加密出的内容都是相同的。这样对于数据很容易就会被破解,怎样能做到相同值在加密后的值不相同呢? 引入我们今天的主角BCrypt算法,BCrypt算法是一种用于密码散列的加密算法,设计用于安全地处理用户密码。它结合了散列算法和盐的使用,具有较高的安全性和抗破解能力。 下面带大家了解BCrypt算法具体的
BCryptPasswordEncoder加密原理
qq_37550867的博客
04-09 572
BCryptPasswordEncoder是如何进行加密和校验的
加密算法---BCryptPasswordEncoder的使用及原理
weixin_43811057的博客
02-08 1万+
spring security中的BCryptPasswordEncoder方法采用SHA-256 +随机盐+密钥对密码进行加密。SHA系列是Hash算法,不是加密算法,使用加密算法意味着可以解密(这个与编码/解码一样),但是采用Hash处理,其过程是不可逆的。1)加密(encode):注册用户时,使用SHA-256+随机盐+密钥把用户输入的密码进行hash处理,得到密码的hash值,然后将其存入数据库中。
bcrypt加密password BCrypt密码进行加密密码验证
LongtengGensSupreme博客
06-28 908
1、bcrypt相关描述 bcrypt bcrypt是专门为密码存储而设计的算法,基于Blowfish加密算法变形而来,由Niels Provos和David Mazières发表于1999年的USENIX。 bcrypt最大的好处是有一个参数(work factor),可用于调整计算强度,而且work factor是包括在输出的摘要中的。随着攻击者计算能力的提高,使用者可以逐步增大work factor,而且不会影响已有用户的登陆。 bcrypt经过了很多安全专家的仔细分析,使用在以安全著称的Op
php使用bcrypt算法加密用户密码的函数password_hash()
cdcdhj的博客
10-02 447
【代码】php使用bcrypt算法加密用户密码的函数password_hash()
BCrypt加密算法的使用
weixin_43071747的博客
09-17 982
emmm
简述BCryptPasswordEncode
qq_22596931的博客
04-25 5931
Spring Security 提供了BCryptPasswordEncoder类,实现Spring的PasswordEncoder接口使用BCrypt强哈希方法来加密密码BCrypt强哈希方法 每次加密的结果都不一样。 示例: import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; public...
BCryptPasswordEnconder使用
LH2HA3的博客
11-13 169
BCryptPasswordEnconder使用
SpringSecurity——BCryptPasswordEncoder加密和对密码验证的原理
HD243608836的博客
04-21 3147
BCryptPasswordEncoder使用哈希算法+随机盐来对字符串加密。因为哈希是一种不可逆算法,所以密码认证时需要使用相同的算法+盐值来对待校验的明文进行加密,然后比较这两个密文来进行验证。BCryptPasswordEncoder在加密时通过从传入的salt中获取real_salt用来加密,保证了这一点。
前端使用bcrypt密码加密,服务器对密码进行校验
janbar的博客
04-01 2659
以前为了防止前端密码安全问题,都是对密码进行md5(password + salt)。 有些也会用别的加密方式,但还是会存在撞库,彩虹表等破解常规密码。 因此使用bcrypt加密是一个不错的选择,因为每次加密都会随机salt,每次加密结果都不一样,相对安全性更高些。 下面是一个示例代码,启动一个http服务器,浏览器输入http://127.0.0.1:8080,当填入密码与服务器一致时提示...
bcrypt.js实现对登录注册中密码加密存储和验证
CreatorRay的博客
02-28 2110
大部分的项目中都存在登录注册这个模块,除了常规的操作之外,比较重要的一点,我们需要对用户的密码进行加密之后再存储。 除了考虑数据库被黑掉的情况,作为一个程序员来说,职业操守也要求我们要做密码加密,这属于用户的隐私,不加密的话,几乎所有的技术人员都可以知道用户的密码,这是不合理的。 作为一个前端,可能在正式项目中,不需要由前端来考虑密码加密,但是前端多了解一些后端的知识,对你自己肯定是有帮助的。 因为我本身是做前端的,所以本文章中,关于后端的技术选型以Nodejs的Express框架为例,数据库选择M.
【SpringSecurity】BCrypt密码加密和解密 一文学会使用BCryptPasswordEncoder
热门推荐
一只文森特
01-02 1万+
BCryptPasswordEncoder 是 Spring Security 官方推荐的密码解析器。它内部自己实现了随机加盐处理,每次加密后的密文其实都是一样的,这样就方便了MD5通过大数据的方式进行破解。
SpringSecurity的密码加密bcrypt
03-14
可以使用SpringSecurity提供的BCryptPasswordEncoder类来进行密码加密。以下是一个示例代码: ``` String password = "myPassword"; BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder(); String hashedPassword = passwordEncoder.encode(password); ``` 在这个示例中,我们使用BCryptPasswordEncoder类将密码加密为哈希值。哈希值可以存储在数据库中,以便在用户登录时进行验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值