摘要:在中加密是一個很簡單卻又不能忽略的模塊,數據只有加密起來才更安全,這樣就散算據庫密碼泄漏也都是密文。當然也可以自定義構造方法,來制定用其他的方案進行加密。應用先示范下使用系統的來演示下簡單的注入構造加密方案
在 Spring Security 中加密是一個很簡單卻又不能忽略的模塊,數據只有加密起來才更安全,這樣就散算據庫密碼泄漏也都是密文。本文分析對應的版本是 5.14。概念
Spring Security 為我們提供了一套加密規則和密碼比對規則,org.springframework.security.crypto.password.PasswordEncoder 接口,該接口里面定義了三個方法。
public interface PasswordEncoder { //加密(外面調用一般在注冊的時候加密前端傳過來的密碼保存進數據庫) String encode(CharSequence rawPassword); //加密前后對比(一般用來比對前端提交過來的密碼和數據庫存儲密碼, 也就是明文和密文的對比) boolean matches(CharSequence rawPassword, String encodedPassword); //是否需要再次進行編碼, 默認不需要 default boolean upgradeEncoding(String encodedPassword) { return false; } }該接口實現類有下面這幾個
其中常用到的分別有下面這么幾個
BCryptPasswordEncoder:Spring Security 推薦使用的,使用BCrypt強哈希方法來加密。
MessageDigestPasswordEncoder:用作傳統的加密方式加密(支持 MD5、SHA-1、SHA-256...)
DelegatingPasswordEncoder:最常用的,根據加密類型id進行不同方式的加密,兼容性強
NoOpPasswordEncoder:明文, 不做加密
其他
使用示例 MessageDigestPasswordEncoder構造的時候需要傳入算法字符串,例如 "MD5"、"SHA-1"、"SHA-256"...
String password = "123"; MessageDigestPasswordEncoder encoder = new MessageDigestPasswordEncoder("MD5"); String encode = encoder.encode(password); System.out.println(encode); System.out.println(encoder.matches(password,encode) == true ? "相等" : "不相等");
輸出
{EUjIxnT/OVlk5J54s3LaJRuQgwTchm1gduFHTqI0qjo=}4b40375c57c285cc56c7048bb114db23 相等
調用 encode(..) 加密方法每次都會隨機生成鹽值,所以對相同的明文進行多次加密,每次結果也是不一樣的。
從上面輸出部分結合源碼可以的出:加密的最終結果分為兩部分,鹽值 + MD5(password+鹽值),調用 matches(..) 方法的時候先從密文中得到鹽值,用該鹽值加密明文和最終密文作對比。
構造的時候可以傳入哈希強度(strength),強度越大計算量就越大,也就意味著越安全,strength 取值區間[4-31],系統默認是10。
String password = "123"; BCryptPasswordEncoder encoder = new BCryptPasswordEncoder(); String encode = encoder.encode(password); System.out.println(encode); System.out.println(encoder.matches(password, encode) == true ? "相等" : "不相等");
輸出
$2a$10$lxPfE.Zvat6tejB8Q1QGYu3M9lXUUpiWFYzboeyK64kbfgN9v7iBq 相等
調用 encode(..) 方法加密跟上面一樣,每次都會隨機生成鹽值,密文也分為兩部分,鹽值和最終加密的結果,最終對比的時候從密文里面拿出鹽值對明文進行加密,比較最終加密后的結果。
DelegatingPasswordEncoder這是 Spring Security 推出的一套兼容方案,根據加密類型id字符串(idForEncode)去自身緩存的所有加密方式中(idToPasswordEncoder)取出對應的加密方案對象對明文進行加密和對應密文的對比,只是其密文前面都加上了加密方案id的字符串,具體的咱們看下面代碼演示。
其初始化 Spring Security 提供了一個工廠構造方法
public class PasswordEncoderFactories { @SuppressWarnings("deprecation") public static PasswordEncoder createDelegatingPasswordEncoder() { String encodingId = "bcrypt"; Mapencoders = new HashMap<>(); encoders.put(encodingId, new BCryptPasswordEncoder()); encoders.put("ldap", new org.springframework.security.crypto.password.LdapShaPasswordEncoder()); encoders.put("MD4", new org.springframework.security.crypto.password.Md4PasswordEncoder()); encoders.put("MD5", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("MD5")); encoders.put("noop", org.springframework.security.crypto.password.NoOpPasswordEncoder.getInstance()); encoders.put("pbkdf2", new Pbkdf2PasswordEncoder()); encoders.put("scrypt", new SCryptPasswordEncoder()); encoders.put("SHA-1", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-1")); encoders.put("SHA-256", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-256")); encoders.put("sha256", new org.springframework.security.crypto.password.StandardPasswordEncoder()); return new DelegatingPasswordEncoder(encodingId, encoders); } }
這個工廠的靜態構造方法把常用的幾種方案都注入到緩存中,但是注入的 idForEncode 對應的卻是 BCryptPasswordEncoder,這樣系統就可以達到在新存儲密碼可以使用 BCryptPasswordEncoder 加密方案進行加密,但是對于數據庫里面以前用其他方式加密的密碼也支持比對。
String password = "123"; PasswordEncoder encoder = PasswordEncoderFactories.createDelegatingPasswordEncoder(); String encode = encoder.encode(password); System.out.println(encode); System.out.println(encoder.matches(password, encode) == true ? "相等" : "不相等");
輸出
{bcrypt}$2a$10$Bh23zGZ2YPOsORNexoowb.fX4QH18GEh13eVtZUZvbe2Blx0jIVna 相等
從結果中可以看出,相比原始的 BCryptPasswordEncoder 密文前面多了加密方式的id。
當然也可以自定義構造方法,來制定 DelegatingPasswordEncoder 用其他的方案進行加密。
接下來我們將其指定使用 MD5 方式來加密密碼看看結果
Mapencoders = new HashMap<>(); encoders.put("MD5", new MessageDigestPasswordEncoder("MD5")); DelegatingPasswordEncoder encoder = new DelegatingPasswordEncoder("MD5", encoders); String encode = encoder.encode(password); System.out.println(encode); System.out.println(encoder.matches(password, encode) == true ? "相等" : "不相等");
輸出
{MD5}{XYwuzP8/lL/a3ASzA9UVM4rFs8lbsLvEoa5ydKER844=}d7f919bfd94554150f8ab3a809209ee3 相等
相比原始的 MessageDigestPasswordEncoder也是密文前面多了加密方式的id。
應用先示范下使用系統的 UserDetailsManager 來演示下簡單的注入
@Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true, jsr250Enabled = true) public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override public void configure(WebSecurity web) throws Exception { super.configure(web); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("liuchao") .password("{bcrypt}$2a$10$S.hMD3oV60YRIj38lHRhP.e3DAu3OwmssE/u/p2GLqqZ3SVsZA77W") .roles("admin","user") .and() .passwordEncoder(passwordEncoder); } @Bean(value = "passwordEncoder") public PasswordEncoder delegatingPasswordEncoder() { //構造 DelegatingPasswordEncoder 加密方案 return PasswordEncoderFactories.createDelegatingPasswordEncoder(); } @Autowired private PasswordEncoder passwordEncoder; }
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/73868.html
摘要:過濾器基本都是通過過濾器來完成配置的身份認證權限認證以及登出。密碼比對通過進行密碼比對注可自定義通過獲取通過獲取生成身份認證通過后最終返回的記錄認證的身份信息 知彼知己方能百戰百勝,用 Spring Security 來滿足我們的需求最好了解其原理,這樣才能隨意拓展,本篇文章主要記錄 Spring Security 的基本運行流程。 過濾器 Spring Security 基本都是通過...
摘要:但是我們最好不要在里面對他進行處理,而是放到配置的權限異常來處理。記得配置登錄認證前和過程中的一些請求不需要身份認證。登錄認證失敗不能直接拋出錯誤,需要向前端響應異常。 關于 Spring Security 的學習已經告一段落了,剛開始接觸該安全框架感覺很迷茫,總覺得沒有 Shiro 靈活,到后來的深入學習和探究才發現它非常強大。簡單快速集成,基本不用寫任何代碼,拓展起來也非常靈活和強...
摘要:框架具有輕便,開源的優點,所以本譯見構建用戶管理微服務五使用令牌和來實現身份驗證往期譯見系列文章在賬號分享中持續連載,敬請查看在往期譯見系列的文章中,我們已經建立了業務邏輯數據訪問層和前端控制器但是忽略了對身份進行驗證。 重拾后端之Spring Boot(四):使用JWT和Spring Security保護REST API 重拾后端之Spring Boot(一):REST API的搭建...
摘要:,這是標記配置文件集版本化的服務器端特性。要配置對稱密鑰,需要將設置為秘密字符串或使用環境變量將其排除在純文本配置文件之外。 Spring Cloud Config Server Spring Cloud Config Server為外部配置提供基于HTTP資源的API(名稱—值對或等效的YAML內容),通過使用@EnableConfigServer注解,服務器可嵌入Spring Bo...
摘要:導讀閱讀本文需要有足夠的時間,筆者會由淺到深帶你一步一步了解一個資深架構師所要掌握的各類知識點,你也可以按照文章中所列的知識體系對比自身,對自己進行查漏補缺,覺得本文對你有幫助的話,可以點贊關注一下。目錄一基礎篇二進階篇三高級篇四架構篇五擴 導讀:閱讀本文需要有足夠的時間,筆者會由淺到深帶你一步一步了解一個資深架構師所要掌握的各類知識點,你也可以按照文章中所列的知識體系對比自身,對自己...
閱讀 1198·2021-11-10 11:35
閱讀 2925·2021-09-24 10:35
閱讀 2957·2021-09-22 15:38
閱讀 2807·2019-08-30 15:43
閱讀 1338·2019-08-29 18:39
閱讀 2558·2019-08-29 15:22
閱讀 2789·2019-08-28 18:17
閱讀 612·2019-08-26 13:37