Spring——》SpringSecurity中的BCryptPasswordEncoder算法

已于 2022-09-13 09:51:51 修改
阅读量2k 收藏 4
点赞数 2
分类专栏: SpringBoot Java Spring 文章标签: Encode Security spring
于 2022-03-24 18:48:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43453386/article/details/123716830
版权
Java 同时被 3 个专栏收录
186 篇文章 4 订阅
订阅专栏
SpringBoot
74 篇文章 6 订阅
订阅专栏
Spring
10 篇文章 0 订阅
订阅专栏

推荐链接:
    总结——》【Java】
    总结——》【Mysql】
    总结——》【Spring】
    总结——》【SpringBoot】
    总结——》【MyBatis、MyBatis-Plus】

Spring——》SpringSecurity中的BCryptPasswordEncoder算法

一、简介

SHA系列是Hash算法,不是加密算法。

加密算法:可以解密(这个与编码/解码一样)
Hash算法:不可解密(过程不可逆)

SpringSecurity中的BCryptPasswordEncoder方法采用SHA-256 +随机盐+密钥对密码进行加密。

(1)加密(encode)

注册用户时,使用SHA-256+随机盐+密钥把用户输入的密码进行hash处理,得到密码的hash值,然后将其存入数据库中。

(2)密码匹配(matches)

用户登录时,密码匹配阶段并没有进行密码解密(因为密码经过Hash处理,是不可逆的),而是使用相同的算法把用户输入的密码进行hash处理,得到密码的hash值,然后将其与从数据库中查询到的密码hash值进行比较。如果两者相同,说明用户输入的密码正确。

Q:为什么处理密码时要用hash算法,而不用加密算法?
A:因为hash算法是不可逆的,即使数据库泄漏,黑客也很难破解密码。

Q:既然这种加密方式是不可逆的,那么当用户忘记密码后呢?后台管理也查看不到密码。
A:现在为了用户的信息安全,实际上是做到连后台管理员都无法直接看到用户的密码信息。现在大多数系统都是绑定手机或者邮箱之类的,当用户忘记密码后都是通过手机验证码或者邮箱的形式让用户重置密码,并不能够直接找系统管理员获取到密码。

二、导入依赖

<!-- https://mvnrepository.com/artifact/org.springframework.security/spring-security-crypto -->
<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-crypto</artifactId>
  <version>5.6.2</version>
</dependency>

三、代码示例

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

public class Test {
    final static private String password = "123456";

    public static void main(String[] args) {
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
        // encode():对明文字符串进行加密
        String encode1 = encoder.encode(password);
        System.out.println("encode1:" + encode1);
        String encode2 = encoder.encode(password);
        System.out.println("encode2:" + encode2);

        // matches():对加密前和加密后是否匹配进行验证
        boolean matches1 = encoder.matches(password, encode1);
        System.out.println("matches1:" + matches1);
        boolean matches2 = encoder.matches(password, encode2);
        System.out.println("matches2:" + matches2);
    }
}

在这里插入图片描述

四、源码解析

1、encode()相关

(1)方法调用过程

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

(2)关键代码

// 获得真正的salt
real_salt = salt.substring(off + 3, off + 25);

// 使用 base64 进行解码
saltb = decode_base64(real_salt, BCRYPT_SALT_LEN);

// passwordb + saltb
hashed = B.crypt_raw(passwordb, saltb, rounds, minor == 'x', minor == 'a' ? 0x10000 : 0);

// 对 salt 进行 base64 编码后放入了 rs 中
encode_base64(saltb, saltb.length, rs);

// 对 hashed 进行 base64 编码后也放入了 rs 中
encode_base64(hashed, bf_crypt_ciphertext.length * 4 - 1, rs);

2、matchs()相关

(1)方法调用过程

在这里插入图片描述
在这里插入图片描述

(2)关键代码

// plaintext :我们的密码,即 “123456”, hashed :加密后的密码
// hashpw():和加密时的方法一致(会从hashed里提取真正的salt)
equalsNoEarlyReturn(hashed, hashpw(plaintext, hashed));

五、总结

encode():同样的密码可以生成不同的密文(密文中包含salt和hash)
matches():进行匹配验证

因为每次的 salt 不同,因此每次的 hash 也不同。这样就可以使得相同的 明文 生成不同的 密文。
而密文中包含 salt 和 hash,因此验证过程和生成过程也是相同的。

小仙。
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一文学会 Spring Security 的密码加密(bCryptPasswordEncoder
南淮北安的博客
06-11 3052
BCryptPasswordEncoder 对象主要用于对用户的密码进行加密处理 文章目录一、加密演示二、实例演示用户密码加密 一、加密演示 import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; public class BCryptPasswordEncoderUtils { //实例化对象 private static BCryptPasswordEncoder bCryptPasswordEn
SpringSecurity的密码加密算法BCryptPasswordEncoder的使用及原理
Chafferexb的博客
10-16 1761
代码很长,但是真正关键的代码在上面第 43 、44 和 51 行的位置处,43 行处获取真正的 salt ,44 行是使用 base64 进行解码,然后 51 行用 密码、salt 进行处理。这里只有一行代码,但是代码同样调用了前面的 hashpw 这个方法,传入的参数是 plaintext 和 hashed,plaintext 是我们的密码,即 “123456”, hashed 是加密后的密码。运行上面的代码,查看输出。虽然上面代码很长,其实真正关键的就只有上面我提到的几句,其余的部分不用看。
爆破专栏丨Spring Security系列教程之SpringSecurity的密码加密_spring
最新发布
2401_84102759的博客
05-14 996
这份面试题几乎包含了他在一年内遇到的所有面试题以及答案,甚至包括面试的细节对话以及语录,可谓是细节到极致,甚至简历优化和怎么投简历更容易得到面试机会也包括在内!也包括教你怎么去获得一些大厂,比如阿里,腾讯的内推名额!某位名人说过成功是靠99%的汗水和1%的机遇得到的,而你想获得那1%的机遇你首先就得付出99%的汗水!你只有朝着你的目标一步一步坚持不懈的走下去你才能有机会获得成功!成功只会留给那些有准备的人!本文已被。
Spring Security之密码加密(五)
sygg12345666的博客
11-01 302
Spring Security之密码加密(四)一、BCryptPasswordEncoder单独操作二、BCryptPasswordEncoder源码分析三、使用Spring-Security.xml文件操作 一、BCryptPasswordEncoder单独操作 代码实现 package com.hzxy.utils; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; public class BCry
SpringSecurity的密码加密算法BCryptPasswordEncoder
y449739776的博客
11-27 1426
BCryptPasswordEncoder spring securityBCryptPasswordEncoder方法采用SHA-256 +随机盐+密钥对密码进行加密。SHA系列是Hash算法,不是加密算法,使用加密算法意味着可以解密(这个与编码/解码一样),但是采用Hash处理,其过程是不可逆的。 1)加密(encode):注册用户时,使用SHA-256+随机盐+密钥把用户输入的密码进行hash处理,得到密码的hash值,然后将其存入数据库。 (2)密码匹配(matches):用户登录时,密码
SpringBoot的Security简单入门实现
jingjiaohuan的博客
11-01 1598
以上是10月31日对29日的Security学习进行日常总结。
Spring security BCryptPasswordEncoder密码验证原理详解
08-24
Spring Security ,可以使用 BCryptPasswordEncoder 对密码进行加密和验证。例如: @Autowired private BCryptPasswordEncoder passwordEncoder; String password = "mysecretpassword"; String encoded...
初识Spring——Spring核心容器
02-24
而控制反转就是把传统程序需要实现对象的创建、代码的依赖,反转给一个专门的"第三方"即容器来实现,即将创建和查找依赖对象的控制权交给容器,由容器将对象进行组合注入,实现对象与对象的松耦合,便于功能的复用...
SpringSecurity笔记,编程不良人笔记
10-28
在本笔记,我们将深入探讨SpringSecurity的核心概念、配置以及如何与SpringBoot结合使用。 1. **SpringSecurity核心概念** - **Filter Chain**: SpringSecurity通过一系列过滤器实现其安全功能,这些过滤器构成...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
SpringSecurity设置登录账号密码的三种方式
cy364328541的博客
08-16 5254
SpringSecurity设置登录账号密码的三种方式
Spring Security-(BCryptPasswordEncoder)加密及判断密码是否相同/编写自己的密码编码器PasswordEncoder
西京刀客
09-11 2137
文章目录一、问题背景二、 (BCryptPasswordEncoder)加密及判断密码是否相同三、BCryptPasswordEncoder源码分析 一、问题背景 任何应用考虑到安全,绝不能明文的方式保存密码。密码应该通过哈希算法进行加密。有很多标准的算法比如SHA或者MD5,结合salt(盐)是一个不错的选择。 Spring Security 提供了BCryptPasswordEncoder类,实现Spring的PasswordEncoder接口使用BCrypt强哈希方法来加密密码。 二、 (BCrypt
Spring Security 4 整合Hibernate Bcrypt密码加密(带源码)
明明如月的技术博客
05-05 1万+
【相关已翻译的本系列其他文章,点击分类里面的spring security 4】 【剩余文章,将尽快翻译完毕,敬请期待。 翻译by 明明如月 QQ 605283073】 原文地址:http://websystique.com/spring-security/spring-security-4-password-encoder-bcrypt-example-with-hibernate/
springboot+security 的BCryptPasswordEncoder 使用
小半的博客
08-21 3075
其他 Spring Security PasswordEncoder 密码校验和密码加密流程
java 实现各种加密(MD5 ,SHA-1,SHA-256)
Slient_bin 的博客
07-08 1万+
常用加密算法通用方法:package BinTest.bin;import java.security.MessageDigest; import java.security.NoSuchAlgorithmException;public class jiami { public static void main(String args[]){ String signString="Than
SHA256加密之显示明文密码的处理方法
热门推荐
一个人的博客
06-15 3万+
不过如果你是开发人员,那么你是可以做一些处理的,因为SHA256加密后是256位,也就是64个字符,所以可以从这里下手。解决方法就是将密码隐藏到加密后的密文,你可以设置一套只有自己知道的排序方式,那么当你要解密后,你就可以通过自己的这套排序方式将密码"挖"出来!这样的处理方法确实显得有点草率,不过确实是解决了我的问题,不过安全系数比较低。所以可以再复杂一点,原理也就是将密码拆开成字符,按照一定的规则插入到密文,解密的话就按照这样的规则取字符拼接就行了。写的有点复杂,逻辑有一点乱,不过还是能用的!
SHA-256加密简单实例(客户端、服务端)
耗子他大哥
06-26 6065
该博文是参照其他博主内容经过亲测的产物,也是因为网上关于这类博文比较多,大多还类似,再此就不注明原创了,如有侵权,望主动联系,谢谢!!!   这次选用SHA-256的原因也很简单,据说之前用的MD5被人爆破了,宁可信其有不可信其无。   言归正传,总结两种方式,最终输出结果一致,下面看服务端代码: package com.zxx.until; import org.apache.commo...
Oauth2 BCryptPasswordEncoder加密算法问题求大佬解惑
weixin_38431146的博客
06-29 2503
oauth2使用BCryptPasswordEncoder 进行加密,但是就此算法而言保留的只有密码原文和哈希值,一个密码例如“123456”每次都会得到不同的hash值,那如何判断加密前后是否相等呢。 本菜鸟在加密时单元测试可以匹配,但是存入数据库后再拿出来匹配则匹配失败,为啥嘞,就很难受? 相关代码如下: ...
Spring Security - PasswordEncoder
风吹草动的博客
02-21 3627
SpringBoot 在认证时的密码hash的实装 Spring Security4.2.2.RELEASE的 PasswordEncoder 关系图 以前介绍过 NoOpPasswordEncoder,为了测试用的 no hash, 参照;NoOpPasswordEncoder 这次使用 BCryptPasswordEncoder BCryptPasswordEncoder 依赖关系 // A...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值