PasswordEncoder详解

最新推荐文章于 2024-06-07 21:13:34 发布
最新推荐文章于 2024-06-07 21:13:34 发布
阅读量806 收藏 12
点赞数 10
分类专栏: SpringSecurity 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tellmewhoisi/article/details/138658178
版权

原文很好,直接点击看原文原文链接

文章目录

一、概述

PasswordEncoder是一个密码解析器
Spring Security封装了如bcrypt, PBKDF2, scrypt, Argon2等主流适应性单向加密方法( adaptive one-way functions),用以进行密码存储和校验。单向校验安全性高,但开销很大,单次密码校验耗时可能高达1秒,故针对高并发性能要求较强的大型信息系统,Spring Security更推荐选择如:session, OAuth,Token等开销很小的短期加密策略(short term credential)实现系统信息安全。

二、BCryptPasswordEncoder(和原文区别应该就是版本问题)

//
// Source code recreated from a .class file by IntelliJ IDEA
// (powered by Fernflower decompiler)
//

package org.springframework.security.crypto.bcrypt;

import java.security.SecureRandom;
import java.util.regex.Matcher;
import java.util.regex.Pattern;
import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.springframework.security.crypto.password.PasswordEncoder;

public class BCryptPasswordEncoder implements PasswordEncoder {
    private Pattern BCRYPT_PATTERN;
    private final Log logger;
    private final int strength;
    private final BCryptPasswordEncoder.BCryptVersion version;
    private final SecureRandom random;

    public BCryptPasswordEncoder() {
        this(-1);
    }

    public BCryptPasswordEncoder(int strength) {
        this(strength, (SecureRandom)null);
    }

    public BCryptPasswordEncoder(BCryptPasswordEncoder.BCryptVersion version) {
        this(version, (SecureRandom)null);
    }

    public BCryptPasswordEncoder(BCryptPasswordEncoder.BCryptVersion version, SecureRandom random) {
        this(version, -1, random);
    }

    public BCryptPasswordEncoder(int strength, SecureRandom random) {
        this(BCryptPasswordEncoder.BCryptVersion.$2A, strength, random);
    }

    public BCryptPasswordEncoder(BCryptPasswordEncoder.BCryptVersion version, int strength) {
        this(version, strength, (SecureRandom)null);
    }

    public BCryptPasswordEncoder(BCryptPasswordEncoder.BCryptVersion version, int strength, SecureRandom random) {
        this.BCRYPT_PATTERN = Pattern.compile("\\A\\$2(a|y|b)?\\$(\\d\\d)\\$[./0-9A-Za-z]{53}");
        this.logger = LogFactory.getLog(this.getClass());
        if (strength == -1 || strength >= 4 && strength <= 31) {
            this.version = version;
            this.strength = strength == -1 ? 10 : strength;
            this.random = random;
        } else {
            throw new IllegalArgumentException("Bad strength");
        }
    }

    public String encode(CharSequence rawPassword) {
        if (rawPassword == null) {
            throw new IllegalArgumentException("rawPassword cannot be null");
        } else {
            String salt = this.getSalt();
            return BCrypt.hashpw(rawPassword.toString(), salt);
        }
    }

    private String getSalt() {
        return this.random != null ? BCrypt.gensalt(this.version.getVersion(), this.strength, this.random) : BCrypt.gensalt(this.version.getVersion(), this.strength);
    }

    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        if (rawPassword == null) {
            throw new IllegalArgumentException("rawPassword cannot be null");
        } else if (encodedPassword != null && encodedPassword.length() != 0) {
            if (!this.BCRYPT_PATTERN.matcher(encodedPassword).matches()) {
                this.logger.warn("Encoded password does not look like BCrypt");
                return false;
            } else {
                return BCrypt.checkpw(rawPassword.toString(), encodedPassword);
            }
        } else {
            this.logger.warn("Empty encoded password");
            return false;
        }
    }

    public boolean upgradeEncoding(String encodedPassword) {
        if (encodedPassword != null && encodedPassword.length() != 0) {
            Matcher matcher = this.BCRYPT_PATTERN.matcher(encodedPassword);
            if (!matcher.matches()) {
                throw new IllegalArgumentException("Encoded password does not look like BCrypt: " + encodedPassword);
            } else {
                int strength = Integer.parseInt(matcher.group(2));
                return strength < this.strength;
            }
        } else {
            this.logger.warn("Empty encoded password");
            return false;
        }
    }

    public static enum BCryptVersion {
        $2A("$2a"),
        $2Y("$2y"),
        $2B("$2b");

        private final String version;

        private BCryptVersion(String version) {
            this.version = version;
        }

        public String getVersion() {
            return this.version;
        }
    }
}

在这里插入图片描述

三、BCryptPasswordEncoder测试

我这里直接项目里实验测试

前端新建用户(入参没有密码)
在这里插入图片描述
后台contreol

import org.springframework.security.crypto.password.PasswordEncoder;
@Api(tags = "系统:用户管理")
@RestController
@RequestMapping("/api/users")
@RequiredArgsConstructor
public class UserController {
private final PasswordEncoder passwordEncoder;

    @Log("新增用户")
    @ApiOperation("新增用户")
    @PostMapping
    @PreAuthorize("@el.check('user:add')")
    public ResponseEntity<Object> createUser(@Validated @RequestBody User resources){
        checkLevel(resources);
        // 默认密码 123456
        resources.setPassword(passwordEncoder.encode("123456"));

//        默认密码失效日期
        LocalDateTime now = LocalDateTime.now();
        LocalDateTime threeMonthsLater = now.plus(3, ChronoUnit.MONTHS);

        System.out.println("当前时间:" + now);
        System.out.println("三个月后:" + threeMonthsLater);

        Date oracleDate = DateUtil.toDate(threeMonthsLater);

//        设置默认密码失效日期
        resources.setPwdExpiryDate(oracleDate);
        userService.create(resources);
        return new ResponseEntity<>(HttpStatus.CREATED);
    }

}

断点进入
这里断点进入就是BCryptPasswordEncoder 实现 PasswordEncoder的源码

数据库新增一个用户
在这里插入图片描述

重复上面新增用户
在这里插入图片描述
在这里插入图片描述

四、总结

本文介绍了PasswordEncoder以及这个接口常见的实现类BCryptPasswordEncoder相关的知识与内容

tellmewhoisi
关注
  • 10
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Java Spring Security 安全框架:(四)PasswordEncoder 密码解析器详解
地球村
10-10 2749
PasswordEncoder 密码解析器详解1.接口介绍2.内置解析器介绍3.BCryptPasswordEncoder 简介4.代码演示 Spring Security 要求容器中必须有 PasswordEncoder 实例。所以当自定义登录逻辑时要求必须给容器注入 PaswordEncoder 的 bean 对象 1.接口介绍 encode():把参数按照特定的解析规则进行解析 matches()验证从存储中获取的编码密码与编码后提交的原始密码是否匹配。如果密码匹配,则返回 true;如果不匹配
springSecurity之PasswordEncoder
梦想是很难很难的,所以先勇敢一点
02-05 5254
密码存储演进史 自从互联网有了用户的那一刻起,存储用户密码这件事便成为了一个健全的系统不得不面对的一件事。 远古时期,明文存储密码可能还不被认为是一个很大的系统缺陷(事实上这是一件很恐怖的事)。提及明文存储密码,我立刻联想到的是 CSDN 社区在 2011 年末发生的 600 万用户密码泄露的事件,谁也不会想到这个和程序员密切相关的网站会犯如此低级的错误。 明文存储密码使得恶意用户可以通过 sql 注入等攻击方式来获取用户名和密码,虽然安全框架和良好的编码规范可以规避很多类似的攻击,但依旧避免不了系统管理员
Spring Security系列之PasswordEncoder
最新发布
lonelymanontheway的博客
06-07 933
加密算法种类、反查表、彩虹表、加密算法配置类实例、PasswordEncoder、BCryptPasswordEncoder、PasswordEncoderFactories、DelegatingPasswordEncoder、自定义加密方案。
【深入浅出 Spring Security(六)】一文搞懂密码的加密和比对
qq_63691275的博客
06-05 2485
自定义加密通过源码分析可以得出两种自定义的方案:1.使用 {id} 的形式,即在密码前加上 {id},例如:{noop}123,即表示等密码比对的时候用 NoOpPasswordEncoder 中的matches方法进行比对。2.向 Spring 容器中注入 PasswordEncoder 实例,这样Spring Security 会选择注入的实例去进行密码的比对,缺点是整个项目的密码比对都只能采用这种比对方案。
PasswordEncoder密码编码器
weixin_60600107的博客
11-01 2580
PasswordEncoder使用哈希算法+随机盐来对字符串加密。因为哈希是一种不可逆算法,所以密码认证时需要使用相同的算法+盐值来对待校验的明文进行加密,然后比较这两个密文来进行验证。Spring Security封装了如PBKDF2 , scrypt, Argon2,bcrypt等主流适应性单向加密方法,支持不同的密码加密方式,而且根据不同的用户可以使用不同的加密方式。可以看到,下面这个encode()方法中先得到了一个盐值加盐,并且进行hash加密,所以每次得到的密文都不一样,保证了加密后的安全性。
PasswordEncoder加密
weixin_34239169的博客
09-04 481
2019独角兽企业重金招聘Python工程师标准>>> ...
四、PasswordEncoder详解
weixin_44684812的博客
09-02 392
四、PasswordEncoder详解PasswordEncoder接口BCryptPasswordEncoder实现 PasswordEncoder接口 PasswordEncoder是一个密码解析器 Spring Security封装了如bcrypt, PBKDF2, scrypt, Argon2等主流适应性单向加密方法( adaptive one-way functions),用以进行密码存储和校验。单向校验安全性高,但开销很大,单次密码校验耗时可能高达1秒,故针对高并发性能要求较强的大型信息系统
Java的密码加密解密器------CustomDelegatingPasswordEncoder密码编码器
豢龙先生
09-10 603
package com.wholesmart.core.security.common; import java.util.HashMap; import java.util.Map; import org.springframework.security.crypto.argon2.Argon2PasswordEncoder; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.sprin
Spring security BCryptPasswordEncoder密码验证原理详解
08-24
Spring Security BCryptPasswordEncoder 密码验证原理详解 Spring Security 中的 BCryptPasswordEncoder 是一种用于密码验证的密码加密器,它可以对密码进行加密和验证。本文将详细介绍 BCryptPasswordEncoder 的...
数据库账号密码加密详解及实例
09-09
Spring Security的配置文件中,`<password-encoder>`元素用于指定用于密码加密的bean,即`passwordEncoder`。这样,当用户尝试登录时,`<authentication-manager>`中的`<authentication-provider>`会使用`...
Spring Security保护用户密码常用方法详解
09-07
开发者可以通过配置不同的`PasswordEncoder`实例,并指定它们的标识符,使`DelegatingPasswordEncoder`能够根据密码的编码形式自动选择正确的编码器。这样,系统就可以支持多种编码策略,同时保持灵活性和安全性。 ...
详解Spring Bean的循环依赖解决方案
08-28
BrowserSecurityConfig通过构造函数注入UserDetailsService实例,而UserDetailsService又通过构造函数注入PasswordEncoder实例,而PasswordEncoder实例又是BrowserSecurityConfig中声明的。这种关系导致了循环依赖的...
一文搞懂SpringSecurity---[Day02] PasswordEncoder详解
风归去.
06-26 881
在 Spring Security 中内置了很多解析器。 BCryptPasswordEncoder 是 Spring Security 官方推荐的密码解析器,平时多使用这个解析器。BCryptPasswordEncoder 是对强散列方法的具体实现。是基于Hash算法实现的单向加密。可以通过strength控制加密强度,默认 10..........
11.PasswordEncoder详解与实战
06-01 857
这节课我们开始讲PasswordEncoder,如果大家还有印象的话,我们前面有提到过PasswordEncoder:为什么密码使用{noop}开头呢?我们也做出了相应的解释,这节课开始带大家真正的了解PasswordEncoder,
PasswordEncoder原理
0
01-30 1105
Hash算法特别的地方在于它是一种单向算法,用户可以通过hash算法对某个数据生成一段特定长度的唯一hash值,却不能通过这个hash值逆向获取原始数据。因此Hash算法常用在不可还原的密码存储、数据完整性校验等领域。BCryptPasswordEncoder 是Spring Security推荐使用的PasswordEncoder接口实现类。(盐的作用就是每次做出来的菜味道都不一样)。PasswordEncoder 是Spring Scurity框架内处理密码加密与校验的接口。
Spring-Security-passwordEncode密码加密02
Hpeacheng的博客
11-24 2342
【1】之前我们的Spring-Security没有进行加密操作,现在我们为了满足需求,添加上这个操作 【2】我们把<security:password-encode>配置上,然后写一个bean,配置BCryptPasswordEncoder的类 【3】在存入数据的时候,我们就应该把密码加密,这样我们数据库中的密码也是加密过后的 @Override public void saveUser(UserInfo userInfo) { //进...
BCryptPasswordEncoder的使用及原理
m0_67391121的博客
07-31 926
当时看到使用BCryptPasswordEncoder时,同样的密码可以生成不同的密文而且还可以通过matches方法进行匹配验证,觉得很神奇。后来经过调试发现,密文中本身包含了很多信息,包括salt和使用salt加密后的hash。因为每次的salt不同,因此每次的hash也不同。这样就可以使得相同的明文生成不同的密文,而密文中包含salt和hash,因此验证过程和生成过程也是相同的。附一张大致的调用关系流程图,供大家参考。https。...
蓝牙协议详解:架构、应用与发展
本文是一份详尽的蓝牙协议详解文档,针对想要深入理解蓝牙通讯的读者,特别适合那些对蓝牙技术感兴趣或者正在蓝牙项目开发中的人。该文档由CrifanLi编写,更新至v1.0.4版本,发布日期为2015年5月25日。内容覆盖广泛...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值