Spring Security(五)密码加密与更新密码

最新推荐文章于 2023-08-15 15:56:25 发布
最新推荐文章于 2023-08-15 15:56:25 发布
阅读量1.8k 收藏 10
点赞数 1
分类专栏: SpringSecurity 文章标签: spring 代理模式 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43189971/article/details/125859459
版权

本节速记:

重点:写在数据库的配置
1.{noop}明文密码
2.{bcrypt},bcrypt类型加密密码,其他家秘密方案同理
3.二中说明Spring security中是允许多种加密方案共存的(shiro中也可以,但是要配置多个DBRealm)
4.注意的是不加密也算加密方案的一种,即不加密的也可以与加密的方案一起配置在数据库

一.项目配置.

与四中基本相同

二.密码加密

2.1.不适用代理的方法,即不在SecurityConfig里面加入配置passwordEncoder

这里我们就像shiro里面在测试类里面做示范

BCryptPasswordEncoder 是加密方法接口的实体类, 利用单向自适应函数进行密码加密的,最常见的加密方法(加密的强度变高,),输入的参数是强度,即计算机调用cpu的强度,在一段的时间内占用满你的cpu的资源, 让你没办法实现暴力破解密码
1.密码强度有固定范围即4-31(取值5-30)
2.加密密码自带盐

加密底层原理方法
在这里插入图片描述>

关键二:密码加密的接口实现类(即加密方案MD5,SHI-512这种)在这里插入图片描述
关键二:SpringSecurity的密码加密工具PasswordEncoderFactories
在这里插入图片描述
关键三:为什么默认方法是BCryptPasswordEncoder ,因为使用了代理模式createDelegetingPasswordEncoder在这里插入图片描述

package com.huang.springsecurity;

import org.junit.jupiter.api.Test;
import org.springframework.boot.test.context.SpringBootTest;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.MessageDigestPasswordEncoder;


@SpringBootTest
class SpringSecurityApplicationTests {

    /**
     * SpringSecurity 中,密码加密自带盐
     */
    @Test
    void contextLoads() {
       /*
        利用单向自适应函数进行密码加密的,最常见的加密方法,输入的参数是强度,即计算机调用cpu的强度,在一段的时间内占用满你的cpu的资源,
        让你没办法实现暴力破解密码
*/
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
        for (int i = 0; i < 10; i++) {
            System.out.println("encoder.encode(\"123\") = " + encoder.encode("123"));
        }

        //已经废弃了但是依旧是可以用的
        MessageDigestPasswordEncoder md5 = new MessageDigestPasswordEncoder("MD5");
        for (int i = 0; i < 3; i++) {
            System.out.println("md5.encode(\"123\") = " + md5.encode("123"));
        }
    }
}

加密的结果在这里插入图片描述

进行postman登录接口测试
在这里插入图片描述

在这里插入图片描述

发现不管是zhangsan用户还是lisi用户都没办法进行登录这是为什么?
没有加入前缀
在这里插入图片描述

重点:写在数据库的配置
1.{noop}明文密码
2.{bcrypt},bcrypt类型加密密码,其他家秘密方案同理
3.二中说明Spring security中是允许多种加密方案共存的(shiro中也可以,但是要配置多个DBRealm)
4.注意的是不加密也算加密方案的一种,即不加密的也可以与加密的方案一起配置在数据库
前缀由来
数据库写前缀的原因是用了代理方法createDelegetingPasswordEncoder在这里插入图片描述在这里插入图片描述

2.2 使用代理的方法,passwordEncoder中加入配置passwordEncoder

    package com.huang.springsecurity.comments.config;

    import com.fasterxml.jackson.databind.ObjectMapper;
    import com.huang.springsecurity.comments.result.RespBean;
    import com.huang.springsecurity.model.User;
    import org.springframework.context.annotation.Bean;
    import org.springframework.context.annotation.Configuration;
    import org.springframework.security.authentication.*;
    import org.springframework.security.config.annotation.web.builders.HttpSecurity;
    import org.springframework.security.config.annotation.web.builders.WebSecurity;
    import org.springframework.security.config.annotation.web.configuration.WebSecurityCustomizer;
    import org.springframework.security.core.userdetails.UsernameNotFoundException;
    import org.springframework.security.crypto.argon2.Argon2PasswordEncoder;
    import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
    import org.springframework.security.crypto.password.*;
    import org.springframework.security.crypto.scrypt.SCryptPasswordEncoder;
    import org.springframework.security.web.SecurityFilterChain;

    import java.io.PrintWriter;
    import java.util.HashMap;
    import java.util.Map;

    @Configuration
    public class SecurityConfig {





        @Bean
        PasswordEncoder passwordEncoder() {
            //这个表示使用明文密码
//        return NoOpPasswordEncoder.getInstance();
            //表示使用 bcrypt 做密码加密
//        return new BCryptPasswordEncoder();
            String encodingId = "bcrypt";
            Map<String, PasswordEncoder> encoders = new HashMap();
            encoders.put(encodingId, new BCryptPasswordEncoder(12));
            encoders.put("ldap", new LdapShaPasswordEncoder());
            encoders.put("MD4", new Md4PasswordEncoder());
            encoders.put("MD5", new MessageDigestPasswordEncoder("MD5"));
            encoders.put("noop", NoOpPasswordEncoder.getInstance());
            encoders.put("pbkdf2", new Pbkdf2PasswordEncoder());
            encoders.put("scrypt", new SCryptPasswordEncoder());
            encoders.put("SHA-1", new MessageDigestPasswordEncoder("SHA-1"));
            encoders.put("SHA-256", new MessageDigestPasswordEncoder("SHA-256"));
            encoders.put("sha256", new StandardPasswordEncoder());
            encoders.put("argon2", new Argon2PasswordEncoder());
            return new DelegatingPasswordEncoder(encodingId, encoders);
        }


        /**
         * 给登录页面放行
         * Spring Security 给一个地址放行,有两种方式:
         * 1. 被放行的资源,不需要经过 Spring Security 过滤器链(静态资源一般使用这种)。
             * 2. 经过 Spring Security 过滤器链,但是不拦截(如果是一个接口想要匿名访问,一般使用这种)。
         * <p>
         * 下面这种方形方式是第一种
         *
         * @return
         */

        @Bean
        WebSecurityCustomizer securityCustomizer() {
            return new WebSecurityCustomizer() {
                @Override
                public void customize(WebSecurity web) {
                    web.ignoring().antMatchers("/login.html");
                }
            };
        }

        /**
         * 自己手动配置安全过滤器链
         *
         * @return
         */
        @Bean
        SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
            //开始认证
            http.authorizeRequests()
                    //请求路径如果是 /login.html,则这个请求可以匿名通过
                    .antMatchers("/login.html").anonymous()
                    //所有的请求,类似于 shiro 中的 /**
                    .anyRequest()
                    //必须要认证之后才能访问,类似于 shiro 中的 authc
                    .authenticated()
                    .and()
                    //开始配置登录表单
                    .formLogin()
                    //配置登录页面,如果访问了一个需要认证之后才能访问的页面,那么就会自动跳转到这个页面上来
                    .loginPage("/login.html")
                    //配置处理登录请求的接口,本质上其实就是配置过滤器的拦截规则,将来的登录请求就会在过滤器中被处理
                    .loginProcessingUrl("/doLogin")
                    //配置登录表单中用户名的 key
                    .usernameParameter("username")
                    //配置登录表单中用户密码
                    .passwordParameter("password")
                    //配置登录成功后的跳转地址
//                .defaultSuccessUrl("/hello")
//                .failureUrl("/login.html")
                    //登录成功处理器
                    //req:当前请求对象
                    //resp:当前响应对象
                    //auth:当前认证成功的用户信息
                    .successHandler((req, resp, auth) -> {
                        resp.setContentType("application/json;charset=utf-8");
                        User principal = (User) auth.getPrincipal();
                        principal.setPassword(null);
                        RespBean respBean = RespBean.ok("登录成功", principal);
                        String s = new ObjectMapper().writeValueAsString(respBean);
                        resp.getWriter().write(s);
                    })
                    //登录失败的回调
                    .failureHandler((req, resp, e) -> {
                        resp.setContentType("application/json;charset=utf-8");
                        //登录失败可能会有多种原因
                        RespBean respBean = RespBean.error("登录失败");
                        if (e instanceof BadCredentialsException) {
                            respBean.setMsg("用户名或者密码输入错误,登录失败");
                        } else if (e instanceof UsernameNotFoundException) {
                            //默认情况下,这个分支是不会进来的,Spring Security 自动隐藏了了这个异常,如果系统中发生了 UsernameNotFoundException 会被自动转为 BadCredentialsException 异常然后抛出来
                        } else if (e instanceof LockedException) {
                            //如果 com.qfedu.security02.model.User.isAccountNonLocked 方法返回 false,就会进入到这里来
                            respBean.setMsg("账户被锁定,登录失败");
                        } else if (e instanceof AccountExpiredException) {
                            //com.qfedu.security02.model.User.isAccountNonExpired
                            respBean.setMsg("账户过期,登录失败");
                        } else if (e instanceof CredentialsExpiredException) {
                            respBean.setMsg("密码过期,登录失败");
                        } else if (e instanceof DisabledException) {
                            respBean.setMsg("账户被禁用,登录失败");
                        }
                        ObjectMapper om = new ObjectMapper();
                        String s = om.writeValueAsString(respBean);
                        PrintWriter out = resp.getWriter();
                        out.write(s);
                    })
                    .and()
                    //关闭 csrf 防御机制,这个 disable 方法本质上就是从 Spring Security 的过滤器链上移除掉 csrf 过滤器
                    .csrf().disable()
                    .exceptionHandling()
                    //如果用户未登录就访问某一个页面,就会触发当前方法
                    .authenticationEntryPoint((req, resp, authException) -> {
                        resp.setContentType("application/json;charset=utf-8");
                        RespBean respBean = RespBean.error("尚未登录,请登录");
                        String s = new ObjectMapper().writeValueAsString(respBean);
                        resp.getWriter().write(s);
                    });

            return http.build();
        }
    }

关键配置

@Bean
PasswordEncoder passwordEncoder() {
//这个表示使用明文密码
// return NoOpPasswordEncoder.getInstance();
//表示使用 bcrypt 做密码加密
// return new BCryptPasswordEncoder();
String encodingId = “bcrypt”;
Map<String, PasswordEncoder> encoders = new HashMap();
encoders.put(encodingId, new BCryptPasswordEncoder(12));
encoders.put(“ldap”, new LdapShaPasswordEncoder());
encoders.put(“MD4”, new Md4PasswordEncoder());
encoders.put(“MD5”, new MessageDigestPasswordEncoder(“MD5”));
encoders.put(“noop”, NoOpPasswordEncoder.getInstance());
encoders.put(“pbkdf2”, new Pbkdf2PasswordEncoder());
encoders.put(“scrypt”, new SCryptPasswordEncoder());
encoders.put(“SHA-1”, new MessageDigestPasswordEncoder(“SHA-1”));
encoders.put(“SHA-256”, new MessageDigestPasswordEncoder(“SHA-256”));
encoders.put(“sha256”, new StandardPasswordEncoder());
encoders.put(“argon2”, new Argon2PasswordEncoder());
return new DelegatingPasswordEncoder(encodingId, encoders);
}

三.密码的升级

3.1 在SecurityConfig里面加入配置passwordEncoder的基础上userservice继承方法

userService

package com.qfedu.security02.service;

import com.qfedu.security02.mapper.UserMapper;
import com.qfedu.security02.model.User;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsPasswordService;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

@Service
public class UserService implements UserDetailsService, UserDetailsPasswordService {

    @Autowired
    UserMapper userMapper;
 /**
     * 根据用户名查询用户对象
     * @param username 用户登录时候输入的用户名
     * @return
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User u = userMapper.loadUserByUsername(username);
        if (u == null) {
            //说明用户名不存在
            throw new UsernameNotFoundException("账户不存在");
        }
        return u;
    }



@Override
    public UserDetails updatePassword(UserDetails user, String newPassword) {
        User u = (User) user;
        u.setPassword(newPassword);
        userMapper.updatePassword(u);
        return u;
    }
  }

注意:

1.先加入代理方法
2.继承类UserDetailsPasswordService
3.覆写更新密码的方法updatePassword
4.这样以后每次用户重新登录的时候底层会自动识别他的加密方法和加密强度,并且去给他升级成为新的加密方法和加密强度

谁是黄黄
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringSecurity配置MD5加密方式
黄团团的个人博客
03-06 304
SpringSecurity默认提供的加密类型是强散列哈希加密实现:BCryptPasswordEncoder,在实际开发中需要配置自定义的加密方式。
Spring security密码加密实现代码实例
08-19
主要介绍了Spring security密码加密实现代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security使用数据库认证及用户密码加密和解密功能
08-24
主要介绍了Spring Security使用数据库认证及用户密码加密和解密,本文通过代码与截图的形式给大家介绍的非常详细,对大家的工作或学习具有一定的参考借鉴价值,需要的朋友可以参考下
12 Spring Security 密码加密.mp4
05-15
12 Spring Security 密码加密.mp4
Spring security 自定义密码加密方式的使用范例。
09-15
Spring security的完整使用范例,支持自定义密码加密方式,以及成功,失败的处理。是一个完整可运行的工程,码云似乎还要注册。后期考虑下用码云
spring security 5.x实现兼容多种密码加密方式
08-28
spring security针对该功能有两种实现方式,一种是简单的使用加密来保证基于 cookie 的 token 的安全,另一种是通过数据库或其它持久化存储机制来保存生成的 token。这篇文章主要给大家介绍了关于spring security 5.x实现兼容多种密码加密方式,需要的朋友可以参考下。
SpringSecurity框架跳过加密步骤直接验证用户密码
快敲代码去
06-29 4283
程序内获取到用户的username和password,构造User对象,框架自动对密码进行加密然后和数据库中的密码作比较,得出结果。如果这里的密码是密文(直接从数据库中获得),那么你在构造User对象的时候,框架会再加密一遍,这样和库中密码匹配的时候肯定是错误的。在password字段前添加即可,这样后面会直接使用你传入的密码(不会再次加密)进行操作。......
Spring Security 重置密码
白石的专栏
12-20 2013
在本教程中—看看基本的我忘记了我的密码功能—以便用户可以在需要时安全地重置自己的密码
Spring-security密码验证正与修改
qq_45597674的博客
10-03 947
1.需要的jar包 <!--安全框架 2020.09.24 add by lm --> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> </dependency> &
Spring Security实战()—— 密码加密
weixin_49561506的博客
04-17 2210
spring security 密码加密实战
Spring security登录 显示用户名不存在或者密码错误
m0_67394360的博客
03-28 1553
本文章只是做简单记录下曾经踩到坑,如果有什么别的想法,也可以提点宝贵的意见 1、整合spring security,我就不过多的介绍; 2、区分这两个错误之前,需要判断为什么会用户名或者密码错误时都返回相同的异常。 原因: 解决思路:将此属性配置为false. 具体的操作: 1、在security配置类中编写DaoAuthenticationProvider,将hideUserNotFoundExceptions设置成false 2、在重写的configure方法中配置DaoAuthentication
Spring Security加密解密
程序三两行
08-03 6105
我们开发时进行密码加密,可用的加密手段有很多,比如对称加密、非对称加密、信息摘要等。在一般的项目里,常用的就是信息摘要算法,也可以被称为散列加密函数,或者称为散列算法、哈希函数。这是一种可以从任何数据中创建数字“指纹”的方法,常用的散列函数有 MD5 消息摘要算法、安全散列算法(Secure Hash Algorithm)等。散列函数通过把消息或数据压缩成摘要信息,使得数据量变小,将数据的格式固定下来,然后将数据打乱混合,再重新创建成一个散列值,从而达到加密的目的。散列值通常用一个短的随机字母和数字组成的字
11.SpringSecurity PasswordEncoder详解与实战
05-13 1186
这节课我们开始讲PasswordEncoder,如果大家还有印象的话,我们前面有提到过PasswordEncoder:为什么密码使用{noop}开头呢?我们也做出了相应的解释,这节课开始带大家真正的了解PasswordEncoder,
修改密码功能实现
最新发布
m0_68935893的博客
08-15 72
【代码】修改密码功能实现。
SpringSecurity学习笔记(七)密码加密
怕什么真理无穷,进一寸有一寸的欢喜。即使开了一辆老掉牙的破车,只要在前行就好,偶尔吹点小风,这就是幸
10-06 1154
直接使用其他的密码加密方式我们先把密码改成bcrypt加密这个时候我们一样可以使用密码123登录第二种密码加密方式为什么我们前面说默认的是?,这个是在配置里面配置的所以只要我们自己在容器中创建一个就可以实现使用自己的默认的编码方法。如果没有找到就会自己创建一个map,这个时候就要在密码字段前面加上指明加密方式。当然如果我们自定义了一个,这样我们数据库中的密码就不需要加上密码加密前缀。}.}.}.
SpringSecurity 退出登录/修改密码/重置密码 使JWT的token失效的解决方案
fenduo的博客
02-26 4829
利用数据库,存放一个token过期的时间字段 private LocalDateTime expireTime; 在创建token时,标注上创建的时间.setIssuedAt(new Date())。 如果这个创建时间小于 (修改密码、重置密码、退出登录)操作的更新时间expireTime,就表示它是修改或者登出之前的token,为过期token token创建时间>数据库中的token过期时间 ===抛出异常 token失效 1.设置token的创建时间 ...
SpringSecurity设置登录账号密码的三种方式
cy364328541的博客
08-16 4906
SpringSecurity设置登录账号密码的三种方式
springsecurity第四章——security基于数据库后台的修改密码
ws_zhh的专栏
11-29 544
之前有讨论过security空间基于内存修改密码的,因为绝大部分应用的用户及其用户信息都是存到数据库当中的,所以,修改密码肯定也是基于数据库操作的。   其实基于内存的修改密码和基于数据库的修改密码原理基本上是一样的,只不过UserDetailService的实现类已经ChangePassword()方法的实现方式不同而已。在这里重新提一遍修改密码的原理(基于数据库): 我们知道基于内存...
SpringBoot高级篇】SpringBoot集成RabbitMQ消息队列
输入技术、输出想法
04-29 4924
SpringBoot整合rabbitMQSpringBoot与消息概述应用场景异步应用解耦流量削峰JMS与AMQP比较RabbitMQ简介核心概念MessagePublisherExchangeQueueBindingConnectionChannelConsumerVirtual HostBrokerRabbitMQ运行机制Exchange 类型Direct EXchangeFanout EXchangeTopic EXchangeSpringBoot RabbitMQ整合docker安装RabbitMQ
spring security密码加密
07-25
Spring Security中,可以使用多种方式对密码进行加密。以下是其中一种常见的方式: 1. 使用BCryptPasswordEncoder: ```java import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; String password = "123456"; BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder(); String encodedPassword = passwordEncoder.encode(password); System.out.println("原始密码:" + password); System.out.println("加密后的密码:" + encodedPassword); ``` 输出结果: ``` 原始密码:123456 加密后的密码:$2a$10$0WvZOoGK0MkJqBKz9XcZo.jzPb7t8wZr4xwQemjqn0hJb7.7eWk4. ``` 在上述示例中,我们使用了`BCryptPasswordEncoder`来进行密码加密。`BCryptPasswordEncoder`使用了bcrypt算法,它是一种基于哈希的密码加密算法,具有很高的安全性。 你可以将加密后的密码存储到数据库中,然后在验证密码时使用`BCryptPasswordEncoder`进行解密和比较。 除了`BCryptPasswordEncoder`,Spring Security还提供了其他一些密码加密方式,如`StandardPasswordEncoder`和`NoOpPasswordEncoder`。你可以根据具体需求选择适合的加密方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值