11.PasswordEncoder详解与实战

已于 2023-06-01 22:04:50 修改
阅读量993 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Spring Security5 文章标签: java 开发语言
于 2023-06-01 22:04:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34311210/article/details/130996908
文章详细介绍了SpringSecurity中的PasswordEncoder接口,包括其主要方法如encode和matches,以及DelegatingPasswordEncoder的实现,该实现允许使用多种加密策略。默认提供多种加密方式如BCrypt、MD5等。在实战部分,展示了如何配置和使用PasswordEncoder,以及遇到登录失败时的问题分析和解决,如密码升级的必要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

security/day07

这节课我们开始讲PasswordEncoder,如果大家还有印象的话,我们前面有提到过PasswordEncoder:
为什么密码使用{noop}开头呢?我们也做出了相应的解释,这节课开始带大家真正的了解PasswordEncoder,

PassworderEncoder 详解

主要方法

  • String encode(CharSequence rawPassword): 密码加密
  • boolean matches(CharSequence rawPassword, String encodedPassword): 密码匹配
  • boolean upgradeEncoding(String encodedPassword): 升级密码,使用新规则来更新旧密码规则

主要实现

  • DelegatingPasswordEncoder 加密代理 默认的PassworderEncoder实例
  • BCryptPasswordEncoder DelegatingPasswordEncoder 中默认的加密方式
  • NoOpPasswordEncoder 不加密
  • LazyPasswordEncoder 需要用的时候才初始化
  • MessageDigestPasswordEncoder
  • Md4PasswordEncoder

默认PasswordEncoder

	public static PasswordEncoder createDelegatingPasswordEncoder() {
		String encodingId = "bcrypt";
		Map<String, PasswordEncoder> encoders = new HashMap<>();
		encoders.put(encodingId, new BCryptPasswordEncoder());
		encoders.put("ldap", new org.springframework.security.crypto.password.LdapShaPasswordEncoder());
		encoders.put("MD4", new org.springframework.security.crypto.password.Md4PasswordEncoder());
		encoders.put("MD5", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("MD5"));
		encoders.put("noop", org.springframework.security.crypto.password.NoOpPasswordEncoder.getInstance());
		encoders.put("pbkdf2", new Pbkdf2PasswordEncoder());
		encoders.put("scrypt", new SCryptPasswordEncoder());
		encoders.put("SHA-1", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-1"));
		encoders.put("SHA-256",
				new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-256"));
		encoders.put("sha256", new org.springframework.security.crypto.password.StandardPasswordEncoder());
		encoders.put("argon2", new Argon2PasswordEncoder());
		return new DelegatingPasswordEncoder(encodingId, encoders);
	}

识别密码类型核心逻辑

public boolean matches(CharSequence rawPassword, String prefixEncodedPassword) {
		if (rawPassword == null && prefixEncodedPassword == null) {
			return true;
		}
		String id = extractId(prefixEncodedPassword);
		PasswordEncoder delegate = this.idToPasswordEncoder.get(id);
		if (delegate == null) {
			return this.defaultPasswordEncoderForMatches.matches(rawPassword, prefixEncodedPassword);
		}
		String encodedPassword = extractEncodedPassword(prefixEncodedPassword);
		return delegate.matches(rawPassword, encodedPassword);
	}

主要逻辑

  • 如果密码为空,则返回true
  • 解析密码ID->{xxxx}
  • 根据ID从map中获取PassworderEncoder
  • 如果获取不到PassworderEncoder: {xxxx}为空或者不是合法的值,则跑出异常
  • 如果获取到,则使用对应的PasswordEncoder进行密码匹配

[外链图片转存中...(img-5GODA4sb-1685628041855)]

从这段源码中,我们其实就知道默认的provider提供的密码处理器逻辑

  • 如果IOC容器中有且仅有一个PasswordEncoder,那么就使用IOC中的PassworderEncoder
  • 如果没有,则使用DaoAuthenticationProvider 自己提供的,看构造方法逻辑:
    [外链图片转存中...(img-OcAHdYau-1685628041857)]

Passworder实战

验证默认的PassworderEncoder实例

分别使用BCryptPasswordEncoder、Argon2PasswordEncoder加密密码
    public static void main(String[] args) {
        System.out.println("{pbkdf2}"+new Pbkdf2PasswordEncoder().encode("123456"));
        System.out.println("{bcrypt}"+new BCryptPasswordEncoder().encode("123456"));
    }

[外链图片转存中...(img-ASlCs2Bo-1685628041857)]

基于内存模式添加用户
    @Bean
    public UserDetailsService userDetailsService(){
        UserDetails noop = User.withUsername("noop").password("{noop}123456").roles("admin").build();
        UserDetails bcypt = User.withUsername("bcrypt").password("{bcrypt}$2a$10$MI6ueeZD8uhAbCy1SH2FSuTxkARMc2x6Lzw.x4ax0ybpoXJLIrl8u").roles("admin").build();
        UserDetails pbkdf2 = User.withUsername("pbkdf2").password("{pbkdf2}ac487cc5d0df83aa3f4d130b1c94063feb6facfc597266175384b78eb432c382fe3aef332ffaff34").roles("admin").build();
        return new InMemoryUserDetailsManager(noop,bcypt,pbkdf2);
    }
验证登录


在这里插入图片描述

指定PasswordEncoder

注入Bean
    @Bean
   public PasswordEncoder passwordEncoder(){
       return new BCryptPasswordEncoder();
   }
验证登录

还是基于上面的配置,使用:
noop/123456
bcrypt/123456
pbkdf2/123456
发现全部登录失败,为什么呢

因为我们现在指定了PasswordEncoder=BcryptPasswordEncoder,替代了默认的DelegatingPasswordEncoder,所以我们只需要将密码前缀{xxx}去掉就行,但是使用其他加密方式:pbkdf2/123456 和 noop/123456 还是登录不上,因为你使用的是BcryptPasswordEncoder进行密码匹配,所以需要更新密码。

    @Bean
    public UserDetailsService userDetailsService(){
        UserDetails noop = User.withUsername("noop").password("{noop}123456").roles("admin").build();
        UserDetails bcypt = User.withUsername("bcrypt").password("$2a$10$MI6ueeZD8uhAbCy1SH2FSuTxkARMc2x6Lzw.x4ax0ybpoXJLIrl8u").roles("admin").build();
        UserDetails pbkdf2 = User.withUsername("pbkdf2").password("{pbkdf2}ac487cc5d0df83aa3f4d130b1c94063feb6facfc597266175384b78eb432c382fe3aef332ffaff34").roles("admin").build();
        return new InMemoryUserDetailsManager(noop,bcypt,pbkdf2);
    }

密码升级

这个了解即可,视频中有介绍。

BCryptPasswordEncoder的使用及原理
码农UP2U
12-04 2万+
在 Spring Security 中有一个加密的类 BCryptPasswordEncoder ,它的使用非常的简单而且也比较有趣。让我们来看看它的使用。 BCryptPasswordEncoder 的使用 首先创建一个 SpringBoot 的项目,在创建项目的时候添加 Spring Security 的依赖。然后我们添加一个测试类,写如下的代码: final private String password = "123456"; @Test public v......
Springboot +spring security,PasswordEncoder详解应用
weixin_40991408的博客
05-24 1675
Springboot +spring security,PasswordEncoder详解应用
PasswordEncoder密码编码器
weixin_60600107的博客
11-01 2905
PasswordEncoder使用哈希算法+随机盐来对字符串加密。因为哈希是一种不可逆算法,所以密码认证时需要使用相同的算法+盐值来对待校验的明文进行加密,然后比较这两个密文来进行验证。Spring Security封装了如PBKDF2 , scrypt, Argon2,bcrypt等主流适应性单向加密方法,支持不同的密码加密方式,而且根据不同的用户可以使用不同的加密方式。可以看到,下面这个encode()方法中先得到了一个盐值加盐,并且进行hash加密,所以每次得到的密文都不一样,保证了加密后的安全性。
PasswordEncoder
Leon_Jinhai_Sun的博客
05-09 823
通过对认证流程源码分析得知,实际密码比较是由PasswordEncoder完成的,因此只需要使用PasswordEncoder 不同实现就可以实现不同方式加密。 public interface PasswordEncoder { String encode(CharSequence rawPassword); boolean matches(CharSequence rawPassword, String encodedPassword); default boolean upgradeEnco
PasswordEncoder详解
tellmewhoisi的博客
05-10 2040
PasswordEncoder是一个密码解析器Spring Security封装了如bcrypt, PBKDF2, scrypt, Argon2等主流适应性单向加密方法( adaptive one-way functions),用以进行密码存储和校验。
Spring Security 中 PasswordEncoder(密码编码器) 及其实现类对比示例
最新发布
爱的叹息的专栏
04-10 660
Spring Security 中 PasswordEncoder(密码编码器) 及其实现类对比示例
Spring Boot安全管理详解实战
2301_80071233的博客
12-19 1721
定义:Spring Boot安全管理是指利用Spring Security等安全框架,为Spring Boot应用程序提供认证、授权、加密、防止跨站请求伪造(CSRF)等安全功能。重要性:在数字化时代,应用程序的安全性至关重要。Spring Boot安全管理能够确保应用程序的数据安全、用户隐私和系统的稳定运行。总结:本文详细介绍了Spring Boot安全管理的基本概念、核心功能以及实现方法,并通过实战案例展示了如何自定义用户认证授权。展望。
Spring框架详解实战:影院订票系统
# 第一章:Spring框架基础概述 ## 1.1 Spring框架介绍 Spring框架是一个轻量级的开源Java框架,旨在帮助开发...- **方便集成**:各种企业级应用技术(如Hibernate、JPA、Struts等)无缝集成。 - **简化开发**:Sp
【Spring Boot核心功能】:校园商城系统源码详解实战技巧
!... # 摘要 本文全面介绍了Spring Boot在校园商城系统开发中的应用。首先,概述了Spring Boot的基本概念及其在校园商城系统开发中的作用。随后深入探讨了Spring Boot的核心组件,包括自动配置原理、起步依赖管理以及...
Java网约车项目实战:实现抢单功能详解
weixin_43932886的博客
12-28 729
在网约车项目中,抢单功能是非常关键的一部分,它决定了司机能否及时响应乘客的订单,提高整个平台的运营效率。本文将详细介绍如何使用Java来实现网约车项目的抢单功能,并提供一个完整的代码示例,以便读者能够直接运行和参考。 一、项目背景需求分析 1.项目背景 随着移动互联网的快速发展,网约车已成为人们日常出行的重要选择。一个高...
Spring Security系列之PasswordEncoder
lonelymanontheway的博客
06-07 2252
加密算法种类、反查表、彩虹表、加密算法配置类实例、PasswordEncoder、BCryptPasswordEncoderPasswordEncoderFactories、DelegatingPasswordEncoder、自定义加密方案。
PasswordEncoder(密码解析器)
yyzz7579的博客
10-15 806
PasswordEncoder是Spring Security中用于处理密码加密和验证的重要组件,它通过散列函数和随机盐等机制确保密码的安全性。在实际应用中,应选择合适的PasswordEncoder实现类,并遵循最佳的安全实践来保护用户密码。PasswordEncoder(密码解析器)是Spring Security中用于加密和验证密码的接口。
11.SpringSecurity PasswordEncoder详解实战
05-13 1627
这节课我们开始讲PasswordEncoder,如果大家还有印象的话,我们前面有提到过PasswordEncoder:为什么密码使用{noop}开头呢?我们也做出了相应的解释,这节课开始带大家真正的了解PasswordEncoder,
如何使用 PasswordEncoder
Leon_Jinhai_Sun的博客
05-09 910
查看WebSecurityConfigurerAdapter类中源码 static class LazyPasswordEncoder implements PasswordEncoder { private ApplicationContext applicationContext; private PasswordEncoder passwordEncoder; LazyPasswordEncoder(ApplicationContext applicationContext) {
Spring Security - PasswordEncoder
风吹草动的博客
02-21 3694
SpringBoot 在认证时的密码hash的实装 Spring Security4.2.2.RELEASE的 PasswordEncoder 关系图 以前介绍过 NoOpPasswordEncoder,为了测试用的 no hash, 参照;NoOpPasswordEncoder 这次使用 BCryptPasswordEncoder BCryptPasswordEncoder 依赖关系 // A...
Spring PasswordEncoder实现
专业的开发者“讨论”
04-22 649
Spring PasswordEncoder Implementation Introduction 小号pring Security provides multiple PasswordEncoder implementations with BCRYPT as the recommended implem...
Spring Security 3.1 中功能强大的加密工具 PasswordEncoder
jsczxy2
02-25 330
好吧,这种加密机制很复杂,还是看下图比较好了解:    3.1.0版本中新的PasswordEncoder继承关系           而在Spring-Security 3.1.0 版本之后,Spring-security-crypto模块中的password包提供了更给力的加密密码的支持,这个包中也有PasswordEncoder接口,接口定义如下。      Pub...
四、PasswordEncoder详解
weixin_44684812的博客
09-02 534
四、PasswordEncoder详解PasswordEncoder接口BCryptPasswordEncoder实现 PasswordEncoder接口 PasswordEncoder是一个密码解析器 Spring Security封装了如bcrypt, PBKDF2, scrypt, Argon2等主流适应性单向加密方法( adaptive one-way functions),用以进行密码存储和校验。单向校验安全性高,但开销很大,单次密码校验耗时可能高达1秒,故针对高并发性能要求较强的大型信息系统
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乐哥聊编程

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值