探索密码校验技术:Spring Security中的多种加密方式

于 2024-06-24 15:15:40 发布
阅读量1k 收藏 24
点赞数 17
文章标签: spring java 后端
本文链接:https://blog.csdn.net/gaopeng0071/article/details/139927229
版权

探索密码校验技术:Spring Security中的多种加密方式

在Web应用中,密码的安全存储和验证是至关重要的。本文将通过一个具体的代码示例,介绍和总结如何在Spring Security中使用多种加密方式进行密码校验。我们将重点讲解BCrypt和MD5两种加密方式,以及如何使用代理类来统一管理这些加密方式。

示例代码

以下是我们将分析的核心代码段:

package com.example;

import org.apache.commons.codec.digest.DigestUtils;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.DelegatingPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

import java.util.HashMap;
import java.util.Map;

public class PasswordCheckExample {

  /**
   * 代理类
   */
  private static final PasswordEncoder PASSWORDENCODER;

  static {
    String defaultEncodeId = "bcrypt";
    PasswordEncoder md5 = new DigestMD5PasswordEncoder();

    Map<String, PasswordEncoder> encoders = new HashMap<>();
    encoders.put(defaultEncodeId, new BCryptPasswordEncoder());
    encoders.put("MD5", md5);

    DelegatingPasswordEncoder passwordEncoder = new DelegatingPasswordEncoder(defaultEncodeId, encoders);
    passwordEncoder.setDefaultPasswordEncoderForMatches(md5);

    PASSWORDENCODER = passwordEncoder;
  }

  public static void main(String[] args) {
    // 用户输入的明文密码
    String rawPassword = "123123";

    // 从数据库中读取的已加密的密码
    String encodedPassword = "{bcrypt}$2a$10$S9DHL4DrdO/zhJPM34lm..5CChFbmLThSPdOqweyVh6LLQG73ZeNa"; // 示例密文

    // 验证密码,返回 true 表示匹配,false 表示不匹配
    boolean matches = PASSWORDENCODER.matches(rawPassword, encodedPassword);
    System.out.println("密码匹配结果: " + matches);
  }

  /**
   * PasswordEncoder - MD5
   */
  private static class DigestMD5PasswordEncoder implements PasswordEncoder {

    @Override
    public String encode(CharSequence rawPassword) {
      return DigestUtils.md5Hex((String) rawPassword);
    }

    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
      return encodedPassword.equals(encode(rawPassword));
    }
  }
}
主要技术解析

  1. BCryptPasswordEncoder

    • Spring Security 提供的强加密算法。
    • 通过 new BCryptPasswordEncoder() 创建实例,用于密码加密和验证。
    • 优点:安全性高,包含盐值(salt),防止彩虹表攻击。

  2. DigestUtils.md5Hex

    • Apache Commons Codec 提供的MD5加密工具。
    • DigestUtils.md5Hex(String) 用于将明文密码转换为MD5加密后的字符串。
    • 优点:加密速度快;缺点:安全性相对较低,不包含盐值,容易受到彩虹表攻击。

  3. DelegatingPasswordEncoder

    • Spring Security 提供的代理类,用于支持多种密码加密方式。
    • 通过 new DelegatingPasswordEncoder(defaultEncodeId, encoders) 创建实例。
    • 可以设置默认的加密方式以及其他可选的加密方式。
示例代码解析
  1. 定义代理类
    private static final PasswordEncoder PASSWORDENCODER;
static {
  String defaultEncodeId = "bcrypt";
  PasswordEncoder md5 = new DigestMD5PasswordEncoder();

  Map<String, PasswordEncoder> encoders = new HashMap<>();
  encoders.put(defaultEncodeId, new BCryptPasswordEncoder());
  encoders.put("MD5", md5);

  DelegatingPasswordEncoder passwordEncoder = new DelegatingPasswordEncoder(defaultEncodeId, encoders);
  passwordEncoder.setDefaultPasswordEncoderForMatches(md5);

  PASSWORDENCODER = passwordEncoder;
}
    • 定义一个静态的 PASSWORDENCODER 变量,用于统一管理密码的加密和验证。
    • 创建 BCryptPasswordEncoder 和自定义的 DigestMD5PasswordEncoder 实例。
    • 使用 DelegatingPasswordEncoder 代理类,将上述两种加密方式进行统一管理,并设置默认的加密方式为 BCrypt。
      好的,我们继续。

验证密码

     String encodedPassword = "{bcrypt}$2a$10$S9DHL4DrdO/zhJPM34lm..5CChFbmLThSPdOqweyVh6LLQG73ZeNa"; // 示例密文

     boolean matches = PASSWORDENCODER.matches(rawPassword, encodedPassword);
     System.out.println("密码匹配结果: " + matches);
   }
  • rawPassword 是用户输入的明文密码。
  • encodedPassword 是从数据库中读取的已加密的密码,格式为 {bcrypt}密文,其中 {bcrypt} 标识了使用的是 BCrypt 算法。
  • 使用 PASSWORDENCODER.matches(rawPassword, encodedPassword) 方法来验证用户输入的密码是否与数据库中的加密密码匹配。

自定义MD5加密类

  private static class DigestMD5PasswordEncoder implements PasswordEncoder {

    @Override
    public String encode(CharSequence rawPassword) {
      return DigestUtils.md5Hex((String) rawPassword);
    }

    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
      return encodedPassword.equals(encode(rawPassword));
    }
  }
  • 自定义的 DigestMD5PasswordEncoder 实现了 PasswordEncoder 接口。
  • encode 方法用于将明文密码转换为 MD5 加密后的字符串。
  • matches 方法用于验证输入的明文密码是否与加密后的密码匹配。

总结

通过上面的代码示例,我们了解了如何在Spring Security中使用多种加密方式进行密码校验,并且如何通过 DelegatingPasswordEncoder 代理类统一管理这些加密方式。以下是本文总结的主要技术点:

  1. BCryptPasswordEncoder:提供强加密和高安全性的密码加密方式。
  2. DigestUtils.md5Hex:提供快速但相对不安全的MD5加密方式。
  3. DelegatingPasswordEncoder:Spring Security提供的代理类,可以同时支持多种加密方式,并设置默认的加密方式。
  4. 自定义PasswordEncoder:可以根据需要实现自己的密码加密和验证逻辑。

结语

本文通过一个具体的代码示例,详细介绍了如何在Spring Security中实现多种加密方式的密码校验。如果你对密码加密和验证有更多的需求或问题,建议进一步阅读Spring Security的官方文档,或者参考相关的开源项目。

GP0071
关注
  • 17
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring security 自定义密码加密方式使用范例。
09-15
Spring security的完整使用范例,支持自定义密码加密方式,以及成功,失败的处理。是一个完整可运行的工程,码云似乎还要注册。后期考虑下用码云
SpringSecurityMySQLHttpBasic:SpringSecurity + MySQL
06-05
- **密码加密**:通常需要对存储在数据库密码进行哈希加密Spring Security提供了PasswordEncoder接口用于密码加密校验。 7. **安全配置示例**: ```java @Configuration @EnableWebSecurity public ...
Spring security BCryptPasswordEncoder密码验证原理详解
08-24
主要介绍了Spring security BCryptPasswordEncoder密码验证原理详解,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
PasswordEncoder详解
tellmewhoisi的博客
05-10 814
PasswordEncoder是一个密码解析器Spring Security封装了如bcrypt, PBKDF2, scrypt, Argon2等主流适应性单向加密方法( adaptive one-way functions),用以进行密码存储和校验
Spring Security加密策略
热门推荐
12-24 1万+
Acegi 对于密码提供三种方式明文及不采用任何加密方式、MD5加密方式、哈希算法加密方式。 只需要在DAO的认证管理器分别加入以下对应配置: 第一种:不使用任何加密方式的配置 <bean id="daoAuthenticationProvider" class="org.acegisecurity.providers.dao.DaoAuthenticationProvid
Spring Security 加密
loet6010的博客
08-01 1478
https://segmentfault.com/a/1190000018625960
Spring Security系列教程22--Spring Security密码加密
一一哥
10-24 3933
前言 截止到现在,一一哥 已经带各位学习了很多关于Spring Security的知识点,但是Spring Security作为一个安全框架,其必然就应该带有安全加密方面的内容,所以本篇文章,一一哥 就带各位来学习Spring Security密码加密机制。 Lets go! 一. 密码加密简介 1. 散列加密概述 我们开发时进行密码加密,可用的加密手段有很多,比如对称加密、非对称加密、信息摘要等。在一般的项目里,常用的就是信息摘要算法,也可以被称为散列加密函数,或者称为散列算法、哈希函数。
爆破专栏丨Spring Security系列教程之SpringSecurity密码加密_spring(1)
2401_84102759的博客
05-14 922
现在正是金三银四的春招高潮,前阵子小编一直在搭建自己的网站,并整理了全套的**【一线互联网大厂Java核心面试题库+解析】:包括Java基础、异常、集合、并发编程、JVM、Spring全家桶、MyBatis、Redis、数据库、间件MQ、Dubbo、Linux、Tomcat、ZooKeeper、Netty等等**本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取//放行register接口“)
springboot2.7.10+springSecurity5.7.10+mybatisplus3.5.3.2整合实现用户校验
08-23
在本文,我们将深入探讨如何将Spring Boot 2.7.10、Spring Security 5.7.10 和 MyBatisPlus 3.5.3.2 整合在一起,实现一个完整的用户验证系统。这个系统允许用户在自定义的登录页面上输入用户名和密码,并通过查询...
spring-securitySpring Boot,JWT,基于角色的身份验证
02-16
JWT通过加密技术确保数据在传输过程的安全性,且由于其自包含性,不需要在服务器上存储会话状态。 在Spring Security实现JWT的身份验证,首先我们需要配置SecurityConfigurerAdapter,定义HTTP安全设置,比如...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
通过这种方式Spring Security会处理用户的登录认证,而JWT则负责在后续的API请求传递用户信息,实现无状态的身份验证。Spring Security OAuth2库可以进一步扩展功能,例如实现OAuth2的授权流程,以便在多应用...
Spring Security密码加密(AES)
酷酷的馫博客
07-09 3800
Spring Security密码加密(AES)
spring security 一些自定义操作
qq_27886773的博客
06-08 553
初始配置,伪代码如下,这种配置下,默认是UsernamePasswordAuthenticationFilter+DaoAuthenticationProvider @Configuration public class SecurityConfigNew extends WebSecurityConfigurerAdapter { protected void configure(HttpSecurity http) throws Exception { http.authorizeR
SpringSecurity学习(四)密码加密、RememberMe记住我
Huathy的博客
03-11 1506
密码泄露,多个网站用同一密码。salt加盐。RememberMe记住我。是一种服务端的行为,而不是将用户密码保存在cookie。传统登录方式是基于Session的,这样一旦用户关闭浏览器重开,就需要再次登录,太过麻烦。实现思路是通过cookie来记住当前用户身份。当用户登录成功后,通过算法,将用户信息、时间戳加密后通过响应头带回前端存到cookie。当重开浏览器后,会自动将cookie信息发送给服务器进行校验分析。从而确定用户身份。具有时效性,一般的为一周左右。
spring-security实现自定义加密方式登陆
always_mountain_top的博客
06-19 693
加密验证spring-security用于快捷免密登陆
Security密码加密
sh1307212321的博客
12-12 323
加密
【深入浅出 Spring Security(六)】一文搞懂密码加密和比对
qq_63691275的博客
06-05 2508
自定义加密通过源码分析可以得出两种自定义的方案:1.使用 {id} 的形式,即在密码前加上 {id},例如:{noop}123,即表示等密码比对的时候用 NoOpPasswordEncoder 的matches方法进行比对。2.向 Spring 容器注入 PasswordEncoder 实例,这样Spring Security 会选择注入的实例去进行密码的比对,缺点是整个项目的密码比对都只能采用这种比对方案。
SpringSecurity框专题(七) - 自定义加密
刘树之的博客
09-03 1023
文章目录1.MD5加密工具类2.自定义加密器3.修改 security 配置文件 虽然 spring security 已经提供了比较完善的加密机制,但是有时根据业务需求需要定制自己的加密方式spring security 提供了加密扩充的接口,下文主要介绍如何在 spring security 添加自定义的加密器。 1.MD5加密工具类 package com.bruce.utils; import java.security.MessageDigest; /** * @program: St
Spring Security多种方式登录
最新发布
06-01
Spring Security提供了多种方式的登录,以下是其的一些方式: 1. 基于表单的登录:用户在登录页面输入用户名和密码,表单提交到后台,后台校验通过后,将用户认证信息存储在Session。 2. 基于Http Basic认证的登录:客户端发送请求时,会将用户名和密码加密后放在HTTP头,服务端接收到请求后,根据用户名和密码进行认证。 3. 基于OAuth2协议的登录:OAuth2是一个开放标准协议,Spring Security支持OAuth2协议进行认证授权。 4. 基于OpenID Connect协议的登录:OpenID Connect是一个基于OAuth2的协议,它定义了一种标准的身份认证方式。 5. 基于LDAP认证的登录:LDAP是轻量目录访问协议,Spring Security支持通过LDAP进行身份认证。 6. 基于CAS(Central Authentication Service)的登录:CAS是一个企业级单点登录解决方案,Spring Security支持与CAS进行集成。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值