摘要:在中加密是一個很簡單卻又不能忽略的模塊��,數(shù)據(jù)只有加密起來才更安全��,這樣就散算據(jù)庫密碼泄漏也都是密文�。當然也可以自定義構(gòu)造方法,來制定用其他的方案進行加密����。應(yīng)用先示范下使用系統(tǒng)的來演示下簡單的注入構(gòu)造加密方案
在 Spring Security 中加密是一個很簡單卻又不能忽略的模塊,數(shù)據(jù)只有加密起來才更安全����,這樣就散算據(jù)庫密碼泄漏也都是密文�����。本文分析對應(yīng)的版本是 5.14����。
概念
Spring Security 為我們提供了一套加密規(guī)則和密碼比對規(guī)則�,org.springframework.security.crypto.password.PasswordEncoder 接口���,該接口里面定義了三個方法����。
public interface PasswordEncoder {
//加密(外面調(diào)用一般在注冊的時候加密前端傳過來的密碼保存進數(shù)據(jù)庫)
String encode(CharSequence rawPassword);
//加密前后對比(一般用來比對前端提交過來的密碼和數(shù)據(jù)庫存儲密碼, 也就是明文和密文的對比)
boolean matches(CharSequence rawPassword, String encodedPassword);
//是否需要再次進行編碼, 默認不需要
default boolean upgradeEncoding(String encodedPassword) {
return false;
}
}
該接口實現(xiàn)類有下面這幾個
其中常用到的分別有下面這么幾個
BCryptPasswordEncoder:Spring Security 推薦使用的���,使用BCrypt強哈希方法來加密�����。
MessageDigestPasswordEncoder:用作傳統(tǒng)的加密方式加密(支持 MD5����、SHA-1�、SHA-256...)
DelegatingPasswordEncoder:最常用的,根據(jù)加密類型id進行不同方式的加密��,兼容性強
NoOpPasswordEncoder:明文����, 不做加密
其他
使用示例
MessageDigestPasswordEncoder
構(gòu)造的時候需要傳入算法字符串�����,例如 "MD5"����、"SHA-1"���、"SHA-256"...
String password = "123";
MessageDigestPasswordEncoder encoder = new MessageDigestPasswordEncoder("MD5");
String encode = encoder.encode(password);
System.out.println(encode);
System.out.println(encoder.matches(password,encode) == true ? "相等" : "不相等");
輸出
{EUjIxnT/OVlk5J54s3LaJRuQgwTchm1gduFHTqI0qjo=}4b40375c57c285cc56c7048bb114db23
相等
調(diào)用 encode(..) 加密方法每次都會隨機生成鹽值�����,所以對相同的明文進行多次加密�����,每次結(jié)果也是不一樣的��。
從上面輸出部分結(jié)合源碼可以的出:加密的最終結(jié)果分為兩部分��,鹽值 + MD5(password+鹽值)���,調(diào)用 matches(..) 方法的時候先從密文中得到鹽值,用該鹽值加密明文和最終密文作對比����。
BCryptPasswordEncoder
構(gòu)造的時候可以傳入哈希強度(strength),強度越大計算量就越大�,也就意味著越安全,strength 取值區(qū)間[4-31]���,系統(tǒng)默認是10���。
String password = "123";
BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
String encode = encoder.encode(password);
System.out.println(encode);
System.out.println(encoder.matches(password, encode) == true ? "相等" : "不相等");
輸出
$2a$10$lxPfE.Zvat6tejB8Q1QGYu3M9lXUUpiWFYzboeyK64kbfgN9v7iBq
相等
調(diào)用 encode(..) 方法加密跟上面一樣,每次都會隨機生成鹽值����,密文也分為兩部分,鹽值和最終加密的結(jié)果�����,最終對比的時候從密文里面拿出鹽值對明文進行加密�,比較最終加密后的結(jié)果。
DelegatingPasswordEncoder
這是 Spring Security 推出的一套兼容方案���,根據(jù)加密類型id字符串(idForEncode)去自身緩存的所有加密方式中(idToPasswordEncoder)取出對應(yīng)的加密方案對象對明文進行加密和對應(yīng)密文的對比��,只是其密文前面都加上了加密方案id的字符串����,具體的咱們看下面代碼演示。
其初始化 Spring Security 提供了一個工廠構(gòu)造方法
public class PasswordEncoderFactories {
@SuppressWarnings("deprecation")
public static PasswordEncoder createDelegatingPasswordEncoder() {
String encodingId = "bcrypt";
Map encoders = new HashMap<>();
encoders.put(encodingId, new BCryptPasswordEncoder());
encoders.put("ldap", new org.springframework.security.crypto.password.LdapShaPasswordEncoder());
encoders.put("MD4", new org.springframework.security.crypto.password.Md4PasswordEncoder());
encoders.put("MD5", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("MD5"));
encoders.put("noop", org.springframework.security.crypto.password.NoOpPasswordEncoder.getInstance());
encoders.put("pbkdf2", new Pbkdf2PasswordEncoder());
encoders.put("scrypt", new SCryptPasswordEncoder());
encoders.put("SHA-1", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-1"));
encoders.put("SHA-256", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-256"));
encoders.put("sha256", new org.springframework.security.crypto.password.StandardPasswordEncoder());
return new DelegatingPasswordEncoder(encodingId, encoders);
}
}
這個工廠的靜態(tài)構(gòu)造方法把常用的幾種方案都注入到緩存中�,但是注入的 idForEncode 對應(yīng)的卻是 BCryptPasswordEncoder,這樣系統(tǒng)就可以達到在新存儲密碼可以使用 BCryptPasswordEncoder 加密方案進行加密���,但是對于數(shù)據(jù)庫里面以前用其他方式加密的密碼也支持比對��。
String password = "123";
PasswordEncoder encoder = PasswordEncoderFactories.createDelegatingPasswordEncoder();
String encode = encoder.encode(password);
System.out.println(encode);
System.out.println(encoder.matches(password, encode) == true ? "相等" : "不相等");
輸出
{bcrypt}$2a$10$Bh23zGZ2YPOsORNexoowb.fX4QH18GEh13eVtZUZvbe2Blx0jIVna
相等
從結(jié)果中可以看出��,相比原始的 BCryptPasswordEncoder 密文前面多了加密方式的id�。
當然也可以自定義構(gòu)造方法�,來制定 DelegatingPasswordEncoder 用其他的方案進行加密。
接下來我們將其指定使用 MD5 方式來加密密碼看看結(jié)果
Map encoders = new HashMap<>();
encoders.put("MD5", new MessageDigestPasswordEncoder("MD5"));
DelegatingPasswordEncoder encoder = new DelegatingPasswordEncoder("MD5", encoders);
String encode = encoder.encode(password);
System.out.println(encode);
System.out.println(encoder.matches(password, encode) == true ? "相等" : "不相等");
輸出
{MD5}{XYwuzP8/lL/a3ASzA9UVM4rFs8lbsLvEoa5ydKER844=}d7f919bfd94554150f8ab3a809209ee3
相等
相比原始的 MessageDigestPasswordEncoder也是密文前面多了加密方式的id�����。
應(yīng)用
先示范下使用系統(tǒng)的 UserDetailsManager 來演示下簡單的注入
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true, jsr250Enabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
public void configure(WebSecurity web) throws Exception {
super.configure(web);
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
.withUser("liuchao")
.password("{bcrypt}$2a$10$S.hMD3oV60YRIj38lHRhP.e3DAu3OwmssE/u/p2GLqqZ3SVsZA77W")
.roles("admin","user")
.and()
.passwordEncoder(passwordEncoder);
}
@Bean(value = "passwordEncoder")
public PasswordEncoder delegatingPasswordEncoder() {
//構(gòu)造 DelegatingPasswordEncoder 加密方案
return PasswordEncoderFactories.createDelegatingPasswordEncoder();
}
@Autowired
private PasswordEncoder passwordEncoder;
}
文章版權(quán)歸作者所有��,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/73868.html
