哈希java加密保护_Spring security BCryptPasswordEncoder密码验证原理详解

最新推荐文章于 2024-02-22 19:20:22 发布
最新推荐文章于 2024-02-22 19:20:22 发布
阅读量485 收藏
点赞数
文章标签: 哈希java加密保护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32267731/article/details/114810117
版权

一、加密算法和hash算法的区别

加密算法是一种可逆的算法,基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码为“密文”,但在用相应的密钥进行操作之后就可以得到原来的内容 。

哈希算法是一种不可逆的算法,是把任意长度的输入通过散列算法变换成固定长度的输出,输出就是散列值,不同的输入可能会散列成相同的输出,所以不可能从散列值来确定唯一的输入值。

二、源码解析

BCryptPasswordEncoder类实现了PasswordEncoder接口,这个接口中定义了两个方法

public interface PasswordEncoder {

String encode(CharSequence rawPassword);

boolean matches(CharSequence rawPassword, String encodedPassword);

}

其中encode(...)是对字符串进行加密的方法,matches使用来校验传入的明文密码rawPassword是否和加密密码encodedPassword相匹配的方法。即对密码进行加密时调用encode,登录认证时调用matches

下面我们来看下BCryptPasswordEncoder类中这两个方法的具体实现

1. encode方法

public String encode(CharSequence rawPassword) {

String salt;

if (strength > 0) {

if (random != null) {

salt = BCrypt.gensalt(strength, random);

}

else {

salt = BCrypt.gensalt(strength);

}

}

else {

salt = BCrypt.gensalt();

}

return BCrypt.hashpw(rawPassword.toString(), salt);

}

可以看到,这个方法中先基于某种规则得到了一个盐值,然后在调用BCrypt.hashpw方法,传入明文密码和盐值salt。所以我们再看下BCrypt.hashpw方法中做了什么

2. BCrypt.hashpw方法

public static String hashpw(String password, String salt) throws IllegalArgumentException {

BCrypt B;

String real_salt;

byte passwordb[], saltb[], hashed[];

char minor = (char) 0;

int rounds, off = 0;

StringBuilder rs = new StringBuilder();

if (salt == null) {

throw new IllegalArgumentException("salt cannot be null");

}

int saltLength = salt.length();

if (saltLength < 28) {

throw new IllegalArgumentException("Invalid salt");

}

if (salt.charAt(0) != '$' || salt.charAt(1) != '2') {

throw new IllegalArgumentException("Invalid salt version");

}

if (salt.charAt(2) == '$') {

off = 3;

}

else {

minor = salt.charAt(2);

if (minor != 'a' || salt.charAt(3) != '$') {

throw new IllegalArgumentException("Invalid salt revision");

}

off = 4;

}

if (saltLength - off < 25) {

throw new IllegalArgumentException("Invalid salt");

}

// Extract number of rounds

if (salt.charAt(off + 2) > '$') {

throw new IllegalArgumentException("Missing salt rounds");

}

rounds = Integer.parseInt(salt.substring(off, off + 2));

real_salt = salt.substring(off + 3, off + 25);

try {

passwordb = (password + (minor >= 'a' ? "\000" : "")).getBytes("UTF-8");

}

catch (UnsupportedEncodingException uee) {

throw new AssertionError("UTF-8 is not supported");

}

saltb = decode_base64(real_salt, BCRYPT_SALT_LEN);

B = new BCrypt();

hashed = B.crypt_raw(passwordb, saltb, rounds);

rs.append("$2");

if (minor >= 'a') {

rs.append(minor);

}

rs.append("$");

if (rounds < 10) {

rs.append("0");

}

rs.append(rounds);

rs.append("$");

encode_base64(saltb, saltb.length, rs);

encode_base64(hashed, bf_crypt_ciphertext.length * 4 - 1, rs);

return rs.toString();

}

可以看到,这个方法中先根据传入的盐值salt,然后基于某种规则从salt得到real_salt,后续的操作都是用这个real_salt来进行,最终得到加密字符串。

所以这里有一个重点:传入的盐值salt并不是最终用来加密的盐,方法中通过salt得到了real_salt,记住这一点,因为后边的匹配方法matches中要用到这一点。

3. matches方法

matches方法用来判断一个明文是否和一个加密字符串对应。

public boolean matches(CharSequence rawPassword, String encodedPassword) {

if (encodedPassword == null || encodedPassword.length() == 0) {

logger.warn("Empty encoded password");

return false;

}

if (!BCRYPT_PATTERN.matcher(encodedPassword).matches()) {

logger.warn("Encoded password does not look like BCrypt");

return false;

}

return BCrypt.checkpw(rawPassword.toString(), encodedPassword);

}

这个方法中先对密文字符串进行了一些校验,如果不符合规则直接返回不匹配,然后调用校验方法BCrypt.checkpw,第一个参数是明文,第二个参数是加密后的字符串。

public static boolean checkpw(String plaintext, String hashed) {

return equalsNoEarlyReturn(hashed, hashpw(plaintext, hashed));

}

static boolean equalsNoEarlyReturn(String a, String b) {

char[] caa = a.toCharArray();

char[] cab = b.toCharArray();

if (caa.length != cab.length) {

return false;

}

byte ret = 0;

for (int i = 0; i < caa.length; i++) {

ret |= caa[i] ^ cab[i];

}

return ret == 0;

}

注意 equalsNoEarlyReturn(hashed, hashpw(plaintext, hashed))这里,第一个参数是加密后的字符串,而第二个参数是用刚才提过的hashpw方法对明文字符串进行加密。

hashpw(plaintext, hashed)第一个参数是明文,第二个参数是加密字符串,但是在这里是作为盐值salt传入的,所以就用到了刚才说的 hashpw 内部通过传入的salt得到real_salt,这样就保证了对现在要校验的明文的加密和得到已有密文的加密用的是同样的加密策略,算法和盐值都相同,这样如果新产生的密文和原来的密文相同,则这两个密文对应的明文字符串就是相等的。

这也说明了加密时使用的盐值被写在了最终生成的加密字符串中。

三、总结

BCryptPasswordEncoder使用哈希算法+随机盐来对字符串加密。因为哈希是一种不可逆算法,所以密码认证时需要使用相同的算法+盐值来对待校验的明文进行加密,然后比较这两个密文来进行验证。BCryptPasswordEncoder在加密时通过从传入的salt中获取real_salt用来加密,保证了这一点。

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。

暗暗yu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
password-hash:一个围绕 https 的 Java
06-14
密码 一个围绕 PBKDF2 salted password hasher 的 java lib
动态加密解密
weixin_46150371的博客
09-23 723
字符串加密 一、BCryptPasswordEncoder包 import org.apache.commons.logging.Log; import org.apache.commons.logging.LogFactory; import java.security.SecureRandom; import java.util.regex.Pattern; public class BCryptPasswordEncoder { private final Log logger = LogF
网页403错误(Spring Security报异常 Encoded password does not look like BCrypt)
最新发布
m0_59519985的博客
02-22 601
这个错误通常表现为"403 Forbidden"或"HTTP Status 403",它指的是访问资源被服务器理解但拒绝授权。换句话说,服务器可以理解你请求看到的页面,但它拒绝给你权限。也就是说很可能测试给定的参数有问题,后端报Encoded password does not look like BCrypt错误,很可能是因为由于加密方式,所给出的密码有问题。
java-BCryptPasswordEncoder
vv_wisher的博客
03-23 543
//spring security中的BCryptPasswordEncoder方法采用SHA-256 +随机盐+密钥对密码进行加密。 //SHA系列是Hash算法,不是加密算法,使用加密算法意味着可以解密(这个与编码/解码一样),但是采用Hash处理,其过程是不可逆的 BCryptPasswordEncoder pwd = new BCryptPasswordEncoder(); //加密,传入明文密码,返回加密密码 String pwdEncoder = pwd.encode("1..
Java实现SpringSecurity密码加密算法:BCryptPasswordEncoder
BestEternity的博客
03-10 2679
Spring Security 提供了BCryptPasswordEncoder类,实现Spring的PasswordEncoder接口使用BCrypt强哈【SHA-256+随机盐+密钥 】方法来加密密码,BCrypt强哈方法每次加密的结果都不一样,不可逆。 1、加密(encryptPassword):注册用户时,使用【SHA-256+随机盐+密钥】将用户输入的密码进行hash处理,然后将密码hash值存入数据库中。 2、密码匹配(matchesPassword):用户登录时,密码匹配阶段并没有进行
Java - spring security中的BCryptPasswordEncoder方法对密码进行加密密码匹配实现
weixin_43652507的博客
01-20 890
spring security中的BCryptPasswordEncoder方法对密码进行加密密码匹配实现
spring security 参考手册中文版
02-01
Spring Security 参考 1 第一部分前言 15 1.入门 16 2.介绍 17 2.1什么是Spring Security? 17 2.2历史 19 2.3版本编号 20 2.4获得Spring安全 21 2.4.1使用Maven 21 Maven仓库 21 Spring框架 22 2.4.2 Gradle 23 ...
Blockchain-Access-SpringBoot:这是Mongodb的基于微服务的体系结构,借助Spring Boot,它使用Java进行审计,并使用了哈算法(SHA-256)的概念
02-03
这是Mongodb在基于Java的Spring Boot的帮助下,基于微服务的体系结构,用于审核目的,该体系结构使用了哈算法(SHA-256)的概念。 介绍 由于防篡改和时间戳审计方法,过去五年来区块链的使用呈指数增长。 但是最受...
JAVA上百实例源码以及开源项目
01-03
 Java生成密钥、保存密钥的实例源码,通过本源码可以了解到Java如何产生单钥加密的密钥(myKey)、产生双钥的密钥对(keyPair)、如何保存公钥的字节数组、保存私钥到文件privateKey.dat、如何用Java对象序列化保存私钥...
JAVA上百实例源码以及开源项目源代码
12-11
Java生成密钥的实例 1个目标文件 摘要:Java源码,算法相关,密钥 Java生成密钥、保存密钥的实例源码,通过本源码可以了解到Java如何产生单钥加密的密钥(myKey)、产生双钥的密钥对(keyPair)、如何保存公钥的字节数组、...
javaBCryptPasswordEncoder 密码加密验证(简单使用)
DAMO小天天
03-03 6894
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; public class Test{ public static void main(String[] args) { BCryptPasswordEncoder bcp = new BCryptPasswordEncoder...
password_hash/password_verify/(JAVA)
mollygogo的博客
01-18 3172
承接了一个新项目,需要继承旧的用户数据。 账号密码解密使用了\yii\base\Security::generatePasswordHash($password, $cost)方法。 generatePasswordHash($password, $cost = null) //php的生成密文 //默认的cost是13,是时间复杂度 return password_hash($password, PASSWORD_DEFAULT, ['cost' => $cost]); 账号密码解密使用
java 实现 Php password_hash()
qq_30667039的博客
09-12 3465
java使用 BCrypt 实现 Php password_hash() 源码: package com.yyjy.telapi.controller; // Copyright (c) 2006 Damien Miller [email protected] // // Permission to use, copy, modify, and distribute thi...
java有password_hash吗,java 实现 PHP password_hash() password_verify() 单向验证
weixin_39883079的博客
03-22 556
近期一个 php 转 java 项目中遇到。写出来分享一下:java BCrypt 类库。https://github.com/patrickfav/bcrypt@Testpublic void testBCrypt() {String password = "abcd";String bcryptHashString = BCrypt.withDefaults().hashToString(12...
java 校验 php 密码加密加密方式:password_hash Laravel Hash:make)
Sunny__wei的博客
04-12 298
【代码】java 校验 php 密码加密加密方式:password_hash Laravel Hash:make)
java.security.*篇(2) RSA签名与校验demo
峡谷电光马仔的博客
11-28 402
java.security.*篇(2) RSA签名与校验demo 涉及类:RSAPrivateKey RSAPublicKey X509EncodedKeySpec X509EncodedKeySpec PKCS8EncodedKeySpec Signature rsa 私钥签名,公钥验证常用使用场景: 1.客户端-服务端通讯发送消息,服务端私钥签名并发送消息/数据,客户端私钥验证消息/ 数据是否被篡改 2.机密文件私钥签名并保存,查看时用公钥验证文件是否被篡改 3.机密数据库数据内容签名并保存
BCryptPasswordEncoder加密测试
JavaNovice_Wy的博客
08-26 606
生成密码代码: public class BCryptPasswordEncoderDemo { public static void main(String[] args) { BCryptPasswordEncoder bcryptPasswordEncoder = new BCryptPasswordEncoder(); String password = "123456"; String hashPass = bcryptPasswordEn
Java后端--使用bcrypt对密码加密--方法/示例
IT利刃出鞘的博客
03-16 6370
本文用示例介绍使用对密码进行加密的算法:bcrypt。 bcrypt是一种自带盐值(自动加盐)的加密方案。
JAVA校验PHP(Laravel)生成的hash散列值,JAVA实现PHP密码加密
Java_DreamLand的博客
03-30 906
Java 校验 PHP password_hash Laravel Hash:make 样板:$2y起始的60字符哈值:$2y101010y/n3daDQxONNf.5dU59kw.3FyXm9JBumT9HeiJru0gXcrRBGAecdS PHP Laravel Hash:make对等实现 Laravel本身随机盐,自PHP5.2.7以后也不建议手动盐而是让PHP本身断言系统来加盐 Hash:make($password); 等价于 PHP5.5.0 函数password_hash的PA
spring security密码加密
07-25
在Spring Security中,可以使用多种方式对密码进行加密。以下是其中一种常见的方式: 1. 使用BCryptPasswordEncoder: ```java import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; String...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值