Spring Security 登录注册时使用Bcrypt加盐进行加密

最新推荐文章于 2024-07-24 16:00:02 发布
最新推荐文章于 2024-07-24 16:00:02 发布
阅读量4.1k 收藏 6
点赞数 1
分类专栏: Spring Security 文章标签: Bcrypt密码加密 Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43770545/article/details/85237825
版权

对于加密来说,MD5和SHA都比较流行。所谓加盐,无非是生成一个随机的salt在数据存储时提高数据的安全性,防止不法分子盗取用户个人信息。虽然MD5进行加密是不可逆的,但还是有弊端的。

举个简单的例子来说:如果数据库当中不同用户存储了相同的密码值,那么当知道其中一个用户的密码后就可以窥探出相同密码的用户,这样是很不安全的,因此如果使用MD5加密,我们都会选择对数据进行盐值加密存储——MD5 hash加盐,那就暂且不说MD5了,说一下Bcrypt。噗哈哈哈哈哈哈哈哈哈哈哈。

Bcrypt加密原理:

  • 加密时,对于同一个密码,每次生成的hash是不同的,但是hash中包含了salt(hash产生过程:先随机生成salt,salt跟password进行hash)
  • 校验时,从hash中取出salt,salt跟password进行hash,得到的结果跟数据库中提取的的hash进行比对返回Boolean类型:true/false

Bcrypt与MD5进行对比:

  • 首先MD5加密后存储为32位,Bcrypt为60位。
  • 相对来说BCrypt比MD5更安全,但是加密更慢。(简单MD5加密后密码一样,数据库当中不同用户存储了相同的密码值,那么当知道其中一个用户的密码后就可以窥探出相同密码的用户,BCrypt加密每次生成的密文是不一样的。如:$10$dH/eH7tuzPCkaFSfm44QXePkTxbfuhguLwC.hPmZ2Sp81bcdWbL1W  即使得到了原文密码,破译其他用户密码的机率是很小的)。
  • Bcrypt加密有利也有弊,优点是安全性较高,弊端就是如果存储量比较大,性能消耗也是非常大的。

下面说一下Bcrypt的使用 :

可以选择使用jar文件,引入依赖(Maven环境)

  <dependency>
        <groupId>org.mindrot</groupId>
        <artifactId>jbcrypt</artifactId>
        <version>0.4</version>
    </dependency>

加密:u.getPassword()为传入原文密码, BCrypt.gensalt()为加盐值的方法

String pwd=BCrypt.hashpw(u.getPassword(), BCrypt.gensalt());
public static String gensalt(int log_rounds, SecureRandom random) {
		StringBuffer rs = new StringBuffer();
		byte rnd[] = new byte[BCRYPT_SALT_LEN];

		random.nextBytes(rnd);

		rs.append("$2a$");
		if (log_rounds < 10)
			rs.append("0");
		if (log_rounds > 30) {
			throw new IllegalArgumentException(
			    "log_rounds exceeds maximum (30)");
		}
		rs.append(Integer.toString(log_rounds));
		rs.append("$");
		rs.append(encode_base64(rnd, rnd.length));
		return rs.toString();
	}

 对比:password为传入密码,user.getPassword()为数据库中加密后密码,进行对比后方法返回Boolean类型:true/fales

BCrypt.checkpw(password,user.getPassword())
public static boolean checkpw(String plaintext, String hashed) {
		byte hashed_bytes[];
		byte try_bytes[];
		try {
			String try_pw = hashpw(plaintext, hashed);
			hashed_bytes = hashed.getBytes("UTF-8");
			try_bytes = try_pw.getBytes("UTF-8");
		} catch (UnsupportedEncodingException uee) {
			return false;
		}
		if (hashed_bytes.length != try_bytes.length)
			return false;
		byte ret = 0;
		for (int i = 0; i < try_bytes.length; i++)
			ret |= hashed_bytes[i] ^ try_bytes[i];
		return ret == 0;
	}

 加密后效果图:

 

 

 

 

 

 

三婶儿
关注
专栏目录
【2.5 认证中心(Spring Security)】如何在Spring Security中集成并使用BCrypt
本本本添哥
04-06 93
Spring Security中,BCrypt是一种常用的密码加密方式。Spring Security内置了对BCrypt的支持,因此可以很容易地在项目中集成它。在 Spring Security使用 BCrypt 进行密码加密是一种常见且推荐的做法。在Spring Security使用BCrypt进行密码的哈希和验证是一种常见做法。
Spring Boot2整合Shiro:BCrypt加密密码,springsecurity+BCryptPasswordEncoder实现加密注册登录 加密问题
qq_44970883的博客
12-13 1471
Spring Boot2+Shiro:加密密码注册, 登陆验证实现 一.前言 我在这与大家分享一下登陆验证的一些问题和实现。应用考虑到安全,绝不能明文的方式保存密码(数据库不能存看得懂的秘密,一定程度也保证了用户的安全,同也让很多攻破数据库的程序员没法瞎搞,比如 玩游戏出现用户的账号异地登陆之类的。。。) 有很多标准的算法比如SHA或者MD5(MD5可以用彩虹表暴力破解 后面会讲解如何破解),MD5结合salt(盐)是一个不错的选择,j 项目使用Shiro框架做密码验证的改进。 学习内容: 提示:这里
Spring Security BCryptPasswordEncoder 密码加盐
biubiubiubibibi的博客
10-28 2322
Spring Security BCryptPasswordEncoder 密码加盐
解决方案:加盐加密算法BCrypt
chuanchengdabing的博客
08-16 4419
加密算法剖析
Spring项目中使用Maven和BCrypt来实现修改密码功能
最新发布
weixin_66153022的博客
07-24 1707
在数字代,信息安全的重要性不言而喻,尤其当涉及到个人隐私和账户安全。每天,无数的用户登录各种在线服务,从社交媒体到银行账户,再到电子邮件和云存储服务。这些服务的背后,是复杂的系统架构,其中包含着用户最为敏感的数据——密码。过去,简单的加密方法和弱密码策略导致了许多严重的数据泄露事件。例如,2013年雅虎(Yahoo)遭遇的大规模数据泄露事件,影响了数十亿的用户账户,部分原因就是由于使用了不够安全的密码存储技术。
盐,盐。 这是最低限度的价格。
danpu0978的博客
04-16 115
前几天,我读了这篇Arstechnica文章 ,意识到这种情况多么悲惨。 而且这并不是因为邪恶的黑客而造成的。 这很糟糕,因为很少有人知道如何处理一件非常普通的事情:身份验证(注册和登录)。 但是似乎像LinkedIn和Yahoo这样的很酷的公司都做错了(最近大量密码泄露了) 本文中描述的大多数问题都是使用bcrypt解决的。 并且必须使用盐。 其他选项也是可以接受的-PBKDF2,...
Bcrypt算法(随机加盐,每次加密后的密文都是不一样的)
m0_48362854的博客
07-01 3990
这个密码是由 Spring Security 框架中内置的加密算法BCrypt生成的,号称最安全的加密算法BCrypt是由Niels Provos和David Mazières设计的密码哈希函数,他是基于Blowfish密码而来的,并于1999年在USENIX上提出。除了加盐来抵御rainbow table 攻击之外,bcrypt的一个非常重要的特征就是自适应性,可以保证加密的速度在一个特定的范围内,即使计算机的运算能力非常高,可以通过增加迭代次数的方式,使得加密速度变慢,从而可以抵御暴力搜索攻击。
Spring Securityspring securityBCryptPasswordEncoder
batman
12-11 294
BCryptPasswordEncoder 加密 BCryptPasswordEncoder encode = new BCryptPasswordEncoder(); encode.encode(password); 比较 需要通过自带的方法 matches 将未经过加密密码和已经过加密密码传进去进行判断,返回布尔值。 matches(CharSequence rawPasswo...
MD5加密 + Bcrypt加密 + Spring Security加密 笔记
qq_39234639的博客
01-08 3110
MD5加密 + Bcrypt加密 + Spring Security加密 笔记
Spring security密码加密实现代码实例
08-19
// Spring Security 注册加密方法 BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder(); String encode = bCryptPasswordEncoder.encode("1"); System.out.println(encode); // ...
spring security+spring boot +bcrypt登录及验证
mazhenzhu1272的博客
06-04 2653
通过Bcrypt进行密码加密,然后通过spring security进行登录的验证,通过一星期的百度和测试,终于可以验证成功了,结果一出来,那可以说是相当的激动,赶紧记下着美妙的刻!一、用户注册:    下载BCrypt.java文件,编写一下文件BcryptCipher.java  package cn.pp.manager.system.utils; import org.apache....
Spring Security(三) —— 加密系统
eyes++的博客
07-24 2158
一般来说,即使SpringSecurity提供的加密算法很安全,但我们仍然有自己定义加密算法的需求,此我们就需要自定义PasswordEncoder的实现类了在WebSecurityConfigurerAdapter中有这样两个静态内部类和/***构造方法,默认创建一个defaultPasswordEncoder*而defaultPasswordEncoder是由LazyPasswordEncoder设置的,可以往下看通过源码可以知道,默认的passwordEncoder是通过。...
BCrypt密码加密-加盐机制
beginnerNew的博客
11-30 4346
BCrypt加密方式 用户表的密码通常使用MD5等不可逆算法加密后存储,为防止彩虹表破解更会先使用一个特定的字符串(如域名)加密,然后再使用一个随机的salt(盐值)加密。 特定字符串是程序代码中固定的,salt是每个密码单独随机,一般给用户表加一个字段单独存储,比较麻烦。 BCrypt算法将salt随机并混入最终加密后的密码,验证也无需单独提供之前的salt,从而无需单独处理salt问题。相比...
前端密码加密 —— bcrypt、MD5、SHA-256、盐
技术前端,忠于热爱 @0.活在风浪里
07-24 9547
bcrypt、MD5、SHA-256、盐
Spring Security 中的盐值加密
iteye_11864的博客
09-12 672
Spring Security 文档中有这么一句话: "盐值的原理非常简单,就是先把密码和盐值指定的内容合并在一起,再使用md5对合并后的内容进行演算,这样一来,就算密码是一个很常见的字符串,再加上用户名,最后算出来的md5值就没那么容易猜出来了。因为攻击者不知道盐值的值,也很难反算出密码原文。" 呵呵, 问题如何理解这句话: "先把密码和盐值指定的内容合并在一起,再使用md...
Spring Security 使用MD5加盐加密BCrypt加密密码
qq_35309220的博客
01-24 3527
之前我们都是使用MD5 Md5PasswordEncoder 或者SHA ShaPasswordEncoder 的哈希算法进行密码加密,在spring security中依然使用只要指定使用自定义加密算法就行,现在推荐spring使用BCrypt BCryptPasswordEncoder,一种基于随机生成salt的根据强大的哈希加密算法。 一、MD5加密 package com.liuyanz...
springsecurity 中的 BCrypt 加密算法
ChineseSoftware的博客
02-21 3425
一、简介 1️⃣BCrypt 加密:一种加盐的单向 Hash,不可逆的加密算法,同一种明文,每次加密后的密文都不一样,而且不可反向破解生成明文,破解难度很大。每次加密候首先会生成一个随机数就是盐,之后将这个盐值与明文密码进行 hash,得到 一个hash值存到数据库中。其中生成的 hash 值中包含了之前生成的盐值(22个字符),用于后续 hash 值验证。 2️⃣MD5 加密:是不加盐的单向 Hash,不可逆的加密算法,同一个密码经过 hash候生成的是同一个 hash 值,在大多数的情况下,有
spring security BCryptPasswordEncoder加密解密,不错的随机盐,不错的加密解密方法
WGH100817的博客
06-14 812
项目中用这个加密感觉不错啊,推荐: 1.先大体看看,了解一下 浅谈使用springsecurity中的BCryptPasswordEncoder方法对密码进行加密(encode)与密码匹配(matches) spring security中的BCryptPasswordEncoder方法采用SHA-256 +随机盐+密钥对密码进行加密。SHA系列是Hash算法,不是加密算法,使...
MD5加盐加密方式
qq_37813806的博客
05-22 380
使用org.apache.shiro.crypto.hash.Md5Hash Object salt = ByteSource.Util.bytes("加盐字符串"); Md5Hash md5Hash = new Md5Hash("加密字符串", salt(盐值), 1(加密次数)); md5Hash.toBase64() md5Hash.toHex() // 默认 二 使用org.apache.shiro.crypto.hash.SimpleHash Object salt = ByteSourc
SpringSecurity密码加密bcrypt
03-14
可以使用SpringSecurity提供的BCryptPasswordEncoder类来进行密码加密。以下是一个示例代码: ``` String password = "myPassword"; BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder(); String hashedPassword = passwordEncoder.encode(password); ``` 在这个示例中,我们使用BCryptPasswordEncoder类将密码加密为哈希值。哈希值可以存储在数据库中,以便在用户登录进行验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值