Spring Security密码加密(AES)

已于 2023-03-22 14:34:16 修改
阅读量3.8k 收藏 11
点赞数 3
文章标签: java 开发语言 spring security 加密 AES
于 2022-07-09 00:14:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/twotwo22222/article/details/125687945
版权

当你自己写一个登录页面的时候,你的密码没有加密会直接暴漏出来,那么我们就需要进行对你输入的密码进行加密
下面我就演示一下用ASE加密的方式来实现

一、前端加密

前端你需要一个key和vi你可以自定义,然后发送请求的时候,把这两个参数发过去
在这里插入图片描述
在这里插入图片描述

二、后端解密(基于Spring Security)

这是ASE工具类,key和vi必须和前端一致

package com.navimentum.officialWebsite.util;

import cn.hutool.core.util.HexUtil;

import javax.crypto.Cipher;
import javax.crypto.SecretKey;
import javax.crypto.spec.GCMParameterSpec;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.SecretKeySpec;
import java.nio.charset.StandardCharsets;
import java.security.SecureRandom;
import java.util.Objects;

/**
 * =======================
 * Introduce:
 * User: Jiangjr
 * Date: 2022/7/8
 * ASE解密工具类
 * =======================
 */
public class EncryptUtil {
    // key:必须16个字符,且要和前端保持一致
    private final static String KEY = "0123456789ASDFGH";
    // 偏移量:必须16个字符,且要和前端保持一致
    private final static String IV = "ASDFGH0123456789";

    /**
     * 将解密返回的数据转换成 String 类型
     * @param content Base64编码的密文
     */
    public static String decrypt(String content) {
        return new String(Objects.requireNonNull(aesCbcDecrypt(parseHexStr2Byte(content), KEY.getBytes(), IV.getBytes())));
    }

    private static byte[] aesCbcEncrypt(byte[] content, byte[] keyBytes, byte[] iv) {
        try {
            SecretKeySpec key = new SecretKeySpec(keyBytes, "AES");
            //设置模式,编码,后端为PKCS5Padding,对应前端是Pkcs7
            Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
            cipher.init(Cipher.ENCRYPT_MODE, key, new IvParameterSpec(iv));
            return cipher.doFinal(content);
        } catch (Exception e) {
            System.out.println("exception:" + e.toString());
        }
        return null;
    }

    private static byte[] aesCbcDecrypt(byte[] content, byte[] keyBytes, byte[] iv) {
        try {
            SecretKeySpec key = new SecretKeySpec(keyBytes, "AES");
            Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
            cipher.init(Cipher.DECRYPT_MODE, key, new IvParameterSpec(iv));
            return cipher.doFinal(content);
        } catch (Exception e) {
            System.out.println("exception:" + e.toString());
        }
        return null;
    }

    /**
     * 将16进制String转换为byte数组
     */
    public static byte[] parseHexStr2Byte(String hexStr) {
        if (hexStr.length() < 1) {
            return null;
        }
        byte[] result = new byte[hexStr.length() / 2];
        for (int i = 0; i < hexStr.length() / 2; i++) {
            int high = Integer.parseInt(hexStr.substring(i * 2, i * 2 + 1), 16);
            int low = Integer.parseInt(hexStr.substring(i * 2 + 1, i * 2 + 2), 16);
            result[i] = (byte) (high * 16 + low);
        }
        return result;
    }
}

Security是基于DaoAuthenticationProvider类进行解密所以我们只需要重写里面的方法即可

package com.navimentum.officialWebsite.config.SecuriytConfig;

import com.navimentum.officialWebsite.service.Impl.UserDetailsServiceImpl;
import com.navimentum.officialWebsite.util.EncryptUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.authentication.dao.DaoAuthenticationProvider;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * =======================
 * Introduce:
 * User: Jiangjr
 * Date: 2022/7/8
 * ASE解密
 * =======================
 */
public class MyAuthenticationProvider extends DaoAuthenticationProvider {

    //UserDetailsServiceImpl是你获取数据库账号和密码的接口
    public MyAuthenticationProvider(UserDetailsServiceImpl userDetailsService) {
        setUserDetailsService(userDetailsService);
    }

    @Override
    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        if (authentication.getCredentials() == null) {
            this.logger.debug("Authentication failed: no credentials provided");
            throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
        } else {
            String presentedPassword = authentication.getCredentials().toString();
            System.out.println("加密前密码"+presentedPassword );

            // 对登录密码进行解密
            presentedPassword = EncryptUtil.decrypt(presentedPassword);
            System.out.println("解密后密码"+presentedPassword );
            BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
            if (!passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {//前面是明文,后面是编码,判断是否一致
                this.logger.debug("Authentication failed: password does not match stored value");
                throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
            }
        }
    }
}

这是我自己定义的UserDetailsServiceImpl要实现Security中的UserDetailsService,然后我自己建的mapper去查询数据库的用户和密码

package com.navimentum.officialWebsite.service.Impl;

import com.navimentum.officialWebsite.mapper.SysUserMapper;
import com.navimentum.officialWebsite.model.SysUser;
import com.navimentum.officialWebsite.util.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
import org.springframework.transaction.annotation.Transactional;

import java.util.ArrayList;
import java.util.List;

/**
 * =======================
 * Introduce:
 * User: Jiangjr
 * Date: 2022/6/22
 * =======================
 */
@Service(value = "userDetailsService")
@Transactional
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private SysUserMapper sysUserMapper;


    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        if (StringUtils.isEmpty(username)){
            throw new RuntimeException("用户名不可为空");
        }

        //用户不为空,查询用户信息
        SysUser sysUser = sysUserMapper.selectSysUserByUsername(username);
        if (sysUser == null){
            throw new UsernameNotFoundException(String.format("{}用户不存在",username));
        }

        //用户存在,返回用户信息
        List<GrantedAuthority> grantedAuthorityList = new ArrayList<>();
        //根据用户获取角色,获取权限集合
        List<String> codeList = sysUserMapper.selectRoleCodeByUsername(username);
        codeList.forEach(code->{
            SimpleGrantedAuthority authority = new SimpleGrantedAuthority(code);
            grantedAuthorityList.add(authority);
        });
        return new User(sysUser.getUsername(),sysUser.getPassword(),grantedAuthorityList);
    }
}

最后在SecurityConfig类里进行配置就OK了(SecurityConfig类是你自己写的关于Security的一些配置)

package com.navimentum.officialWebsite.config.SecuriytConfig;//package com.navimentum.officialWebsite.config.SecuriytConfig;

import com.navimentum.officialWebsite.service.Impl.UserDetailsServiceImpl;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.Lazy;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * =======================
 * Introduce:
 * User: Jiangjr
 * Date: 2022/6/22
 * =======================
 */
//@EnableWebSecurity //实现方法级别的安全配置 开启注解
//@EnableGlobalMethodSecurity(prePostEnabled = true)   //实现方法级别的安全配置 开启注解
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    };

    @Lazy
    @Autowired
    private PasswordEncoder passwordEncoder;

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private UserDetailsServiceImpl userDetailsServiceImpl;

    /**
     * 登录成功的处理
     */
    @Autowired
    private SuccessHandler successHandler;

    /**
     * 登录失败的处理
     */
    @Autowired
    private FailHandler failHandler;

    /**
     * 未登录的处理
     */
    @Autowired
    private MyAuthenticationEntryPoint myAuthenticationEntryPoint;

    /**
     * 未授权处理
     */
    @Autowired
    private MyAccessDeniedHandler myAccessDeniedHandler;

    /**
     * 注销处理器
     */
    @Autowired
    private MyLogoutHandler myLogoutHandler;

    /**
     * 注销成功
     */
    @Autowired
    private MyLogoutSuccessHandler myLogoutSuccessHandler;

    /**
     * 超时管理
     */
    @Autowired
    private MyInvalidSessionStrategy myInvalidSessionStrategy;

    /**
     * 被挤下线处理
     */
    @Autowired
    private MySessionInformationExpiredStrategy mySessionInformationExpiredStrategy;



    /**
     * 授权
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/login").permitAll() // 放行/login的请求,但是用户密码必须正确
                .antMatchers("/api") //访问/api需要什么权限和什么角色  可以注解实现 @PreAuthorize("hasAnyRole('panshAdmin')") or @PreAuthorize("hasAnyAuthority('ROLE_admin')")
                .hasAnyAuthority("ROLE_admin")
//                .antMatchers("/api/**")
//                .hasAnyRole("panshAdmin")
//                .anyRequest() //拦截所有请求
//                .authenticated()
                .and()
                .logout().permitAll() //允许注销
                .addLogoutHandler(myLogoutHandler)
                .logoutSuccessHandler(myLogoutSuccessHandler)
                .deleteCookies("JSESSIONID") //登出之后删除Cookie
                .and()
                .formLogin()
                .loginProcessingUrl("/login")
                .successHandler(successHandler) //登录成功返回消息
                .failureHandler(failHandler) //登录失败返回消息
                .and()
                .exceptionHandling()
//                .accessDeniedHandler(myAccessDeniedHandler)//权限不足处理
                .authenticationEntryPoint(myAuthenticationEntryPoint)//未登录的处理
                .and()
                .authenticationProvider(new MyAuthenticationProvider(userDetailsServiceImpl));//接受前端加密的密码进行解码(ASE)
//                .and()
//                .sessionManagement()
//                .invalidSessionStrategy(myInvalidSessionStrategy) //超时管理
//                .sessionCreationPolicy(SessionCreationPolicy.STATELESS) //无状态的,任何状态下都不会生成session
//                .maximumSessions(1) //最大可同时几个人登录
//                .maxSessionsPreventsLogin(false) //是否允许登录
//                .expiredSessionStrategy(mySessionInformationExpiredStrategy);//挤号处理


        //关闭CSRF一般指跨站请求伪造
        http.csrf().disable();
    }

    /**
     * 认证
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder);
    }
}

主要是这里
在这里插入图片描述
以下是我数据库的关于Security的表和结构

在这里插入图片描述

sys_role表

![在这里插入图片描述](https://img-blog.csdnimg.cn/805db4bd53344de39dd7ef191afca799.png

sys_user表

在这里插入图片描述
sys_user_role表

在这里插入图片描述
如果你们只是需要登录,而不需要根据角色显示某个模块,就只需要sys_user表就可以实现。

爱穿背带裤的馫
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Spring Security系列教程之SpringSecurity密码加密解密
weixin_50965314的博客
05-09 4440
创建一个springboot工程导入相应坐标 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-crypto</artifactId> </dependency> ` ```java @Autowired private P
Spring Boot 中密码加密的两种方法
09-07
Spring SecuritySpring框架的一部分,提供了高级的安全性支持,包括密码加密。推荐使用`BCryptPasswordEncoder`,它基于BCrypt强哈希函数,可以自动处理盐值。`BCryptPasswordEncoder`的强度可以通过`strength`...
Spring security密码加密实现代码实例
08-19
主要介绍了Spring security密码加密实现代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springboot项目中实现 RSA 加密/解密工具
qq_36438844的博客
07-28 840
调用一次generateKeyPair生成公钥和私钥,pem文件保存在target中的resources中,而不是原码的目录下,不影响使用,可以自己复制过来,之后就不要在调用这个方法,否则密钥将被更新;前提说明:计划放置密钥的位置是resources下。
SpringBoot + Vue 实现 AES 加密AES 工具类总结
最新发布
白白白鲤鱼的博客
06-21 1250
SpringBoot + Vue 实现 AES 加密AES 工具类总结
ASE 加密
qq_33291307的博客
10-19 403
ASE 加密
修改Spring Security默认解密方式(使用AES加密替换)
lxl的博客
02-24 6065
AES工具类 package com.house.common.utils; import com.house.common.exception.UtilException; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.factory.annotation.Value; import org.springframework.security.crypto.password
Spring Security Crypto 简单实现AES解密
u012173417的博客
06-13 3785
通过Spring Security Crypto 的 Encryptors接口实现AES解密 // 密钥 private final static String secretKey = "5S1WQVMKCHt8w4LydcWl4CGFYoH2tgtmMDzd955KySY="; /** * 加密 * * @param plainString 明文 * @ret...
Spring Security系列教程22--Spring Security中的密码加密
一一哥
10-24 3963
前言 截止到现在,一一哥 已经带各位学习了很多关于Spring Security的知识点,但是Spring Security作为一个安全框架,其中必然就应该带有安全加密方面的内容,所以本篇文章,一一哥 就带各位来学习Spring Security中的密码加密机制。 Lets go! 一. 密码加密简介 1. 散列加密概述 我们开发时进行密码加密,可用的加密手段有很多,比如对称加密、非对称加密、信息摘要等。在一般的项目里,常用的就是信息摘要算法,也可以被称为散列加密函数,或者称为散列算法、哈希函数。
Springboot实现密码加密解密
08-28
Springboot 中,我们可以使用 Spring Security加密解密功能来实现密码加密解密。下面是一个简单的示例代码,演示如何使用 Spring Security 实现密码加密解密: ```java import org.springframework....
数据库账号密码加密详解及实例
09-09
Spring Security框架中,密码加密是通过`PasswordEncoder`接口实现的。这个接口定义了`encode`和`matches`等方法,用于加密密码和验证已存储的密码。在上述示例中,自定义的`MyPasswordEncoder`类扩展了`...
Spring Security使用数据库认证及用户密码加密解密功能
08-24
主要介绍了Spring Security使用数据库认证及用户密码加密解密,本文通过代码与截图的形式给大家介绍的非常详细,对大家的工作或学习具有一定的参考借鉴价值,需要的朋友可以参考下
AES加密工具
11-22
AES 加密软件,一个小小简单的加密软件
AES 加密工具(ECB,CBC,CMAC)
06-25
AES工具,支持ECB,CBC加解密运算,以及CMAC运算。支持多种PADDING
java前后端通讯AES加密解密样例
06-12
首先,我们需要在Spring Boot项目中引入相关的依赖,比如Spring Security或Apache Commons Codec库,它们提供了AES加密解密的API。接着,定义一个服务类,包含加密解密方法。以下是一个简单的示例: ```java ...
AES加密解密
08-19
本项目涉及使用AES进行数据加密解密,同时结合了Eclipse开发工具、MySQL数据库以及Spring MVC、Spring和MyBatis框架,构建了一个具有权限管理功能的应用。 首先,AES加密是一种块加密算法,它基于替换和置换的过程...
python加密算法代码_python 实现AES加密解密
weixin_39765290的博客
11-23 250
参考 https://blog.csdn.net/zhchs2012/article/details/79032656AES加密算法是一种对称加密算法, 他有一个密匙, 即用来加密, 也用来解密import base64from Crypto.Cipher import AES# 密钥(key), 密斯偏移量(iv) CBC模式加密def AES_Encrypt(key, data):vi = ‘...
springSecurity实现密码加密和解码
zhangjunwen6666的博客
03-05 327
弄成一个bean交给springIoc进行管理。4.调用解码码方法但是响应速度出现问题。此时登录操作会受到影响。
ASE加密
iteye_17600的博客
04-12 132
AES解密算法,使用Base64做转码以及辅助加密:   package com.wintv.common; import javax.crypto.Cipher; import javax.crypto.spec.IvParameterSpec; import javax.crypto.spec.SecretKeySpec; import sun.misc.BASE64De...
springsecurity加密
05-12
Spring Security提供了多种加密方式,包括对称加密和非对称加密。 对称加密使用相同的密钥加密解密数据。Spring Security支持的对称加密算法包括:AES、Blowfish、DES、DESede、RC2和RC4。这些算法都需要一个密钥,密钥长度需要根据算法要求而定。 非对称加密使用公钥和私钥加密解密数据。Spring Security支持的非对称加密算法包括:RSA和DSA。RSA是最常用的非对称加密算法之一,它可以用于加密和签名。DSA主要用于数字签名。 Spring Security还提供了散列算法来加密密码。散列算法是一种单向加密算法,可以将密码转换为固定长度的字符串。Spring Security支持的散列算法包括:MD5、SHA-1、SHA-256、SHA-384和SHA-512。这些算法都是单向的,无法将加密后的字符串还原为原始密码。 在Spring Security中,可以通过配置PasswordEncoder来指定加密方式。例如,可以使用BCryptPasswordEncoder来对密码进行散列加密: ``` @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } ``` 然后在用户注册或修改密码时,调用PasswordEncoder的encode()方法对密码进行加密: ``` String encodedPassword = passwordEncoder.encode("password"); ``` 最后,将加密后的密码存储到数据库中,或者在验证用户身份时使用PasswordEncoder的matches()方法将用户输入的密码与数据库中的密码进行比较。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

爱穿背带裤的馫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值