Spring Security学习——密码加密

Posted sadoshi

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Spring Security学习——密码加密相关的知识,希望对你有一定的参考价值。

前言

上一篇文章我们实现了从数据库读取用户名密码到Spring Security中,并验证登录成功。不过密码的形式有点奇怪,这篇文章我们研究一下密码加密和比对的问题。

Spring Security的密码加密和比对

密码编码器的使用

Spring Security中的密码编码器主要作用就是为密码加密和进行比对。比如当我们的web应用注册新用户,或者用户修改密码的时候,我们需要使用密码编码器把密码加密后再写入数据库。当用户登录时,输入的密码要和后台已加密的密码进行比对时,密码编码器提供比对的功能,判断两个密码是否匹配。

Spring Security为我们准备了多种密码编码器,我们可以尝试一下:

public static void main(String[] args) 
	BCryptPasswordEncoder encoder = new BCryptPasswordEncoder(10);
	System.out.println(encoder.encode("123"));

运行输出,可以看到BCryptPasswordEncoder编码器对“123”进行加密,而且每次输出的结果是不一样的:

除了BCryptPasswordEncoder之外,Spring Security还提供了其他几种密码编码器,使用大同小异。

我们可以尝试进行密码的比对:

public static void main(String[] args) 
	BCryptPasswordEncoder encoder = new BCryptPasswordEncoder(10);
	System.out.println(encoder.matches("123", encoder.encode("123")));

这段输出结果为true,代表匹配成功。

 

默认的密码编码器

回到我们上一篇文章的问题。为什么我们之前数据库存储的密码,要在前面加上noop?因为Spring Security使用的默认的密码编码器是DelegatingPasswordEncoder,它是通过策略模式选择密码比对时使用哪个密码编码器。比如密码前缀是noop,则会使用NoOpPasswordEncoder进行比对。如果是bcrypt前缀,则使用BCryptPasswordEncoder。我们可以测试一下效果:

public static void main(String[] args) 
	PasswordEncoder passwordEncoder =
			PasswordEncoderFactories.createDelegatingPasswordEncoder();
	
	BCryptPasswordEncoder BCryptEncoder = new BCryptPasswordEncoder();
	Pbkdf2PasswordEncoder PbkdEncoder = new Pbkdf2PasswordEncoder();
	
	System.out.println(passwordEncoder.matches("123", "noop123"));
	System.out.println(passwordEncoder.matches("123", "bcrypt"+BCryptEncoder.encode("123")));
	System.out.println(passwordEncoder.matches("123", "pbkdf2"+PbkdEncoder.encode("123")));

运行正常的话,这里应该输出三个true。密码前面加了前缀是为了DelegatingPasswordEncoder解密使用的。同样道理,如果用DelegatingPasswordEncoder进行加密,则密码的前面会加上前缀。

为Spring Security配置密码编码器

通常我们存储密码不需要加上加密的前缀,我们只需要指定Spring Security使用哪个密码编码器就好了,在项目中增加配置类:

package com.sadoshi.springsecurity.config;

import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@EnableWebSecurity
public class WebSecurityConfig 

	@Bean
	public PasswordEncoder passwordEncoder() 
		return new BCryptPasswordEncoder();
	

这里指定使用BCryptPasswordEncoder。之后我们把前面使用BCryptPasswordEncoder加密的字符串替换调目前数据库sys_user里面的密码,然后重新启动程序,并进行登录,输入密码"123",就可以成功登陆。这样我们就不需要在密码前面加上前缀了。

小结

本文介绍了Spring Security的密码编码器,解释了上一篇文章密码前缀的问题,并且在项目中配置了默认的密码编码器。

以上是关于Spring Security学习——密码加密的主要内容,如果未能解决你的问题,请参考以下文章

Spring Security学习——使用数据库保存密码

Spring Security学习——使用数据库保存密码

Spring Security PasswordEncoder 密码校验和密码加密

Spring Security-用户密码自定义加密

spring security 5.0 密码未加密报错

Spring Security with Hibernate,存储加密密码