spring security的密码加密

最新推荐文章于 2025-04-10 14:51:08 发布
最新推荐文章于 2025-04-10 14:51:08 发布
阅读量535 收藏 10
点赞数 10
分类专栏: spring后端 文章标签: spring python 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/LCY133/article/details/147034434
版权

在 Spring Security 中,密码加密和验证通过 PasswordEncoder 接口实现,其核心目标是确保用户密码的安全存储和验证。以下是密码加密的完整实现方案和最佳实践:

1. 密码加密核心组件

(1) PasswordEncoder 接口
public interface PasswordEncoder {
    // 加密原始密码(明文 → 密文)
    String encode(CharSequence rawPassword);
    
    // 验证密码是否匹配(明文 vs 密文)
    boolean matches(CharSequence rawPassword, String encodedPassword);
    
    // 是否需要对密码再次加密(用于旧密码升级)
    default boolean upgradeEncoding(String encodedPassword) { return false; }
}
(2) 常用实现类
实现类算法特点
BCryptPasswordEncoderBCrypt自动加盐,抗彩虹表攻击,推荐默认选择
Argon2PasswordEncoderArgon2内存消耗型算法,抗 GPU/ASIC 攻击,需依赖 org.bouncycastle:bcprov-jdk15on
Pbkdf2PasswordEncoderPBKDF2适合资源受限环境,需配置迭代次数和密钥长度
SCryptPasswordEncoderSCrypt高内存消耗设计,抗并行攻击
DelegatingPasswordEncoder多算法代理兼容旧系统,支持多种加密格式(如 {bcrypt}..., {sha256}...

2. 配置密码加密

(1) 基础配置

在安全配置类中定义 PasswordEncoder Bean:

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    // 推荐使用 BCrypt 作为默认编码器
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder(12); // 强度参数 4~31,默认 10
    }

    // 配置用户服务和密码编码器
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService())
            .passwordEncoder(passwordEncoder());
    }
}
(2) 多算法兼容配置(旧系统迁移)

使用 DelegatingPasswordEncoder 支持多种加密格式:

@Bean
public PasswordEncoder passwordEncoder() {
    String idForEncode = "bcrypt"; // 默认加密算法
    Map<String, PasswordEncoder> encoders = new HashMap<>();
    encoders.put(idForEncode, new BCryptPasswordEncoder());
    encoders.put("sha256", new MessageDigestPasswordEncoder("SHA-256"));
    
    return new DelegatingPasswordEncoder(idForEncode, encoders);
}

3. 密码加密实战

(1) 用户注册时加密密码

在用户注册服务中调用 encode()

@Service
public class UserService {

    @Autowired
    private PasswordEncoder passwordEncoder;

    public void registerUser(String username, String rawPassword) {
        String encodedPassword = passwordEncoder.encode(rawPassword);
        User user = new User(username, encodedPassword);
        userRepository.save(user);
    }
}
(2) 密码验证流程

Spring Security 自动调用 matches() 进行验证(以数据库认证为例):

public class DaoAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider {

    protected void additionalAuthenticationChecks(
        UserDetails userDetails, 
        UsernamePasswordAuthenticationToken authentication
    ) {
        // 自动验证密码
        if (!passwordEncoder.matches(authentication.getCredentials().toString(), userDetails.getPassword())) {
            throw new BadCredentialsException("密码错误");
        }
    }
}

4. 密码安全最佳实践

(1) 加密策略选择

新系统:使用 BCryptPasswordEncoder(默认强度 10)。
高安全需求:使用 Argon2PasswordEncoderSCryptPasswordEncoder
旧系统迁移:使用 DelegatingPasswordEncoder 兼容多种算法。

(2) 避免安全反模式

禁止明文存储:永远不要存储未加密的密码。
禁用弱哈希算法:如 MD5、SHA-1 等。
不要硬编码密钥:避免在代码中写死加密密钥。

(3) 密码更新策略

当检测到旧算法时自动升级密码:

public class UserService {
    public void login(String username, String rawPassword) {
        User user = userRepository.findByUsername(username);
        if (passwordEncoder.upgradeEncoding(user.getPassword())) {
            String newPassword = passwordEncoder.encode(rawPassword);
            user.setPassword(newPassword);
            userRepository.save(user);
        }
    }
}

5. 测试与调试

(1) 生成加密密码
@SpringBootTest
public class PasswordEncoderTest {

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Test
    public void testEncode() {
        String rawPassword = "123456";
        String encoded = passwordEncoder.encode(rawPassword);
        System.out.println("加密后密码: " + encoded);
        // 示例输出: $2a$10$X5t7JcZ8z4oKjJw8qYvQN.9q1zr7Ld3G1hJjK7lVZ1rJ2sQ8YbW7C
    }
}
(2) 验证密码匹配
@Test
public void testMatches() {
    String rawPassword = "123456";
    String encodedPassword = "$2a$10$X5t7JcZ8z4oKjJw8qYvQN.9q1zr7Ld3G1hJjK7lVZ1rJ2sQ8YbW7C";
    assertTrue(passwordEncoder.matches(rawPassword, encodedPassword));
}

6. 高级场景

(1) 多租户密码加密

不同租户使用不同加密策略:

public class TenantAwarePasswordEncoder implements PasswordEncoder {

    private Map<String, PasswordEncoder> tenantEncoders = new HashMap<>();

    @Override
    public String encode(CharSequence rawPassword) {
        String tenantId = TenantContext.getCurrentTenant();
        return tenantEncoders.get(tenantId).encode(rawPassword);
    }

    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        String tenantId = TenantContext.getCurrentTenant();
        return tenantEncoders.get(tenantId).matches(rawPassword, encodedPassword);
    }
}
(2) 密码策略强制

自定义密码复杂度规则:

@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder() {
        @Override
        public String encode(CharSequence rawPassword) {
            if (rawPassword.length() < 8) {
                throw new IllegalArgumentException("密码必须至少8位");
            }
            return super.encode(rawPassword);
        }
    };
}

总结

Spring Security 的密码加密机制通过灵活的策略和严格的验证流程,为系统安全提供了坚实基础。关键要点包括:

  1. 优先选择自适应算法(如 BCrypt)应对算力提升。
  2. 兼容旧系统时使用 DelegatingPasswordEncoder 平滑迁移。
  3. 严格测试加密和验证流程,确保全链路安全。
  4. 监控密码安全事件,及时升级加密策略。

通过合理配置和持续维护,可有效防御密码泄露风险,符合 GDPR、等保2.0 等合规要求。

Spring Security系列】Spring Security密码加密
qq_28248897的博客
07-02 2724
密码安全是互联网安全的一个缩影,我们在享受互联网服务的同时,也应当对它投入更多的关注。 1.密码安全的重要性 2011年12月,国内某开发者社区网站被黑客“拖库”,600多万个密码明文存储的用户账号被公开, 大量用户直接面临数据隐私泄露和数据安全的双重威胁。 这次事件为我们敲响了警钟,一旦发生“拖库”,如何尽可能地减少用户的损失,在每一个系统中 都不应被忽略。从开发者的角度而言,可以落实在如何安全存储用户密码上。 ...
Spring Security系列教程之SpringSecurity密码加密和解密
weixin_50965314的博客
05-09 4571
创建一个springboot工程导入相应坐标 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-crypto</artifactId> </dependency> ` ```java @Autowired private P
SpringSecurity 密码加密
你今天真好看呀
08-25 3313
createDelegatingPasswordEncoder() 方法中,首先定义了encoders变量,encoders中存储了每一种密码加密方案的id和所对应的加密类,例如MD4对应Md4PasswordEncoder,noop对应NoOpPasswordEncoder,其中encodingId的默认值为bcrypt,相当于默认使用的加密方案是BCryptPasswordEncoder。针对密码的所有操作,PasswordEncoder都定义好了,不同的实现类将采用不同的密码加密方案对密码进行处理。
Spring security 密码加密使用
冬阳
08-27 988
spring security 多种加密方式,基于动态配置密码使用不同的认证方式,以及自动更新密码;源码断点各种讲解
SpringSecurity 密码加密登录
心有—林夕的博客
01-11 783
密码加密
Spring Security密码加密
大后生大大大的博客
11-25 3013
PasswordEncoder、DelegatingPasswordEncoder、PasswordEncoderFactories
SpringSecurity密码加密存储
Leon_Jinhai_Sun的博客
06-05 589
SpringSecurity
Spring security 密码加密问题
珍惜
05-08 9739
Spring security 密码加密问题1、问题描述2、问题分析3、问题解决4、总结 1、问题描述 主要就是这句异常:There is no PasswordEncoder mapped for the id "null" 2020-05-08 20:57:05.522 ERROR 10712 --- [nio-8006-exec-7] o.a.c.c.C.[.[.[/].[dispatcherServlet] : Servlet.service() for servlet [dispatcher
7.springsecurity密码加密问题
Javaer
06-07 903
springsecurity密码加密问题 密码加密我们一般会用到散列函数,又称散列算法、哈希函数,这是一种从任何数据中创建数字“指纹”的方法。 散列函数把消息或数据压缩成摘要,使得数据量变小,将数据的格式固定下来,然后将数据打乱混合,重新创建一个散列值。散列值通常用一个短的随机字母和数字组成的字符串来代表。好的散列函数在输入域中很少出现散列冲突。在散列表和数据处理中,不抑制冲突来区别数据,会使得数据库记录更难找到。 我们常用的散列函数有 MD5 消息摘要算法、安全散列算法(Secure Hash Algor
Spring Security密码加密(AES)
酷酷的馫博客
07-09 4240
Spring Security密码加密(AES)
Spring security密码加密实现代码实例
08-19
BCryptPasswordEncoder 是 Spring Security 中的一种密码加密器,它使用 BCrypt 算法来加密密码。BCryptPasswordEncoder 提供了一个简单的方式来加密和验证密码。 BCrypt 算法 BCrypt 算法是一种基于哈希函数的...
Spring Security使用数据库认证及用户密码加密和解密功能
08-24
Spring Security 使用数据库认证及用户密码加密和解密功能 Spring Security 是一个基于 Java 的安全框架,提供了强大的身份验证、授权和访问控制功能。为了提高系统安全性,Spring Security 提供了多种身份验证机制...
关于Spring MVC中@RequestMapping注解的详细解析,涵盖其核心功能、属性、使用场景及最佳实践
爱的叹息的专栏
04-07 504
关于Spring MVC中@RequestMapping注解的详细解析,涵盖其核心功能、属性、使用场景及最佳实践
Spring其它知识点
最新发布
m0_45253972的博客
04-10 402
Spring默认的Bean作用域是单例,多个线程同时操作同一个Bean实例。若Bean包含可变成员变量,可能引发线程安全问题。
基于springboot微信小程序课堂签到及提问系统(源码+lw+部署文档+讲解),源码可白嫖!
weixin_47179923的博客
04-07 1157
在设计过程中我遇到了很多困难,包括知识上和技术上,同时由于长时间没有进行独立开发工作,编码熟练度有了明显的下降,一些常用的函数和编码技巧也变得生疏,但好在我及时做出了学习,查阅各种资料,进行广泛的钻研,多做请教,依靠互联网和书籍不断吸取知识,完善自己,最终在师生的协助下,成功完成了该系统。系统开发的意义主要在于两个方面,一方面,系统上线后,能够为课堂签到及提问系统带来很大便利,课堂签到及提问系统涉及的数据量较大,要求精度高,采用计算机系统能够很好满足此需求,并且随着目前电脑、手机的普及,方便用户的使用。
SpringBoot 项目标准目录结构规范&分层架构和对象分类
m0_63949203的博客
04-09 597
SpringBoot 项目标准目录结构规范&分层架构和对象分类
基于springboot体育俱乐部预约管理系统(源码+lw+部署文档+讲解),源码可白嫖!
weixin_47179923的博客
04-07 1093
不同角色的准入制度是有严格区别的。在搭建过程中,最开始的工作是从查阅相关资料开始的,通过在互联网对体育俱乐部预约管理系统资料进行查询和阅读,对整个体育俱乐部预约管理系统的设计与实现有了整体的概念了解,然后对本体育俱乐部预约管理系统的设计与实现进行分析设计,本次体育俱乐部预约管理系统的设计与实现的诉求是实现管理员、用户的基本需求,所以在设计时,整个系统功能模块十分简洁,系统为管理员、用户两大结构模块。传统体育俱乐部预约管理系统的设计与实现的管理采用的手工记录信息的方式,给工作人员的匹配工作造成很大的困难。
spring mvc中不同服务调用类型(声明式(Feign)、基于模板(RestTemplate)、基于 SDK、消息队列、gRPC)对比详解
爱的叹息的专栏
04-09 786
spring mvc中不同服务调用类型(声明式(Feign)、基于模板(RestTemplate)、基于 SDK、消息队列、gRPC)对比详解
深入探讨:Spring 如何接入 DeepSeek​
qq_20294455的博客
04-08 1045
开发者只需修改少量的配置信息,而无需对业务代码进行大规模修改,就能实现灵活的 AI 服务切换,以适应不同的场景需求。比如,当业务从使用 OpenAI 模型切换到 DeepSeek 模型时,只需在配置文件中更改相关的模型地址和密钥等信息,Spring AI 就能自动适配新的模型,确保业务的连续性和稳定性。以配置 DeepSeek 的 API 密钥为例,开发者只需在配置文件中添加相应的密钥信息,Spring AI 会自动识别并应用该密钥进行服务连接,避免了手动在代码中硬编码密钥带来的安全风险和维护不便。
spring security密码加密
07-25
Spring Security中,可以使用多种方式对密码进行加密。以下是其中一种常见的方式: 1. 使用BCryptPasswordEncoder: ```java import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; String password = "123456"; BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder(); String encodedPassword = passwordEncoder.encode(password); System.out.println("原始密码:" + password); System.out.println("加密后的密码:" + encodedPassword); ``` 输出结果: ``` 原始密码:123456 加密后的密码:$2a$10$0WvZOoGK0MkJqBKz9XcZo.jzPb7t8wZr4xwQemjqn0hJb7.7eWk4. ``` 在上述示例中,我们使用了`BCryptPasswordEncoder`来进行密码加密。`BCryptPasswordEncoder`使用了bcrypt算法,它是一种基于哈希的密码加密算法,具有很高的安全性。 你可以将加密后的密码存储到数据库中,然后在验证密码时使用`BCryptPasswordEncoder`进行解密和比较。 除了`BCryptPasswordEncoder`,Spring Security还提供了其他一些密码加密方式,如`StandardPasswordEncoder`和`NoOpPasswordEncoder`。你可以根据具体需求选择适合的加密方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值