08 SpringSecurity-密码加密

原创 已于 2022-02-11 11:44:15 修改 · 3.5k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2022-02-11 11:42:38 首次发布

文章配套代码:https://gitee.com/lookoutthebush/spring-security-demo

一、SpringSecurity加密机制

Spring Security内置了密码加密机制,只需使用一个PasswordEncoder接口即可

public interface PasswordEncoder {
    String encode(CharSequence rawPassword);

    boolean matches(CharSequence rawPassword, String encodedPassword);

    default boolean upgradeEncoding(String encodedPassword) {
        return false;
    }
}

PasswordEncoder接口定义了encode和matches两个方法,当用数据库存储用户密码时,加密过程用 encode方法,matches方法用于判断用户登录时输入的密码是否正确。

此外,SpringSecurity还内置了几种常用的PasswordEncoder接口实现类,例如,StandardPasswordEncoder中的常规摘要算法(SHA-256等)、BCryptPasswordEncoder加密,以及类似 BCrypt的慢散列加密Pbkdf2PasswordEncoder等,官方推荐使用BCryptPasswordEncoder。

我们这里使用官方推荐的BCryptPasswordEncoder。

二、注入BCryptPasswordEncoder

/**
 * @author LookOutTheBush
 */
@Configuration
public class PasswordEncoderConfig {
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder(12);
    }
}

三、创建用户时加密

@Service
public class UserServiceImpl implements UserDetailsService {
    @Resource
    private UserDao userDao;
    @Resource
    private PasswordEncoder passwordEncoder;

    public UsersDO createUser(UsersDO usersDO){
        //参数校验 todo
        usersDO.setPassword(passwordEncoder.encode(usersDO.getPassword()));
        usersDO.setEnable(true);
        return userDao.createUser(usersDO);
    }
}

四、登录时密码校验

这部分SpringSecurity会使用我们暴露的加密方式来校验密码,不需要我们操作。

五、测试

1.直接生成加密后的密码。

    public static void main(String[] args) {
        BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder(12);
        String encode = bCryptPasswordEncoder.encode("123");
        System.out.println(encode);
    }

2.然后手动添加到数据库中 

3.启动项目测试:

 输入账号密码,登录成功。

深入了解后端 Spring Security 的密码加密方式
架构师的AI之路,分享AI应用开发架构的学习与实践。
04-14 1081
本技术手册旨在为开发人员提供 Spring Security 密码加密机制的完整解决方案,覆盖算法原理、实现细节、安全配置和性能优化等核心领域。适用版本为 Spring Security 6.x+ 和 Spring Boot 3.x+。文档采用理论结合实践的渐进式结构,首先建立密码学基础认知,继而深入算法内核,最后通过完整项目演示生产级实现方案。工作因子(Work Factor):加密算法迭代次数的控制参数彩虹表攻击(Rainbow Table Attack):使用预计算哈希值破解密码的攻击方式。
SpringSecurity-12-PasswordEncoder密码加密简介
zhoubangbang1的博客
04-01 2248
SpringSecurity-12-PasswordEncoder密码加密简介为什么密码加密? 国内的每一个开发社区在2011年发生过被黑客攻击,盗取用户信息,600多万的明文密码信息被盗取,大量用户面临着数据隐私泄露和数据安全的威胁。这警告了我们,一旦被黑客攻击用户账号信息被盗,我们该如何减少用户的损失,在我们开发者角度来看就是如何使得用户的账号密码变得安全。怎么让用户的密码变得安全呢?那就是要对用户的密码存储进行加密。MD5加密 MD5信息摘要算法,是一种密码散列函数,可以生成一个128(16字节)的散
爆破专栏丨Spring Security系列教程之SpringSecurity中的密码加密_spring(1)
2401_84102759的博客
05-14 1227
现在正是金三银四的春招高潮,前阵子小编一直在搭建自己的网站,并整理了全套的**【一线互联网大厂Java核心面试题库+解析】:包括Java基础、异常、集合、并发编程、JVM、Spring全家桶、MyBatis、Redis、数据库、中间件MQ、Dubbo、Linux、Tomcat、ZooKeeper、Netty等等**本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取//放行register接口“)
Spring security 自定义密码加密方式的使用范例。
09-15
Spring security的完整使用范例,支持自定义密码加密方式,以及成功,失败的处理。是一个完整可运行的工程,码云似乎还要注册。后期考虑下用码云
Spring security 密码加密使用
冬阳
08-27 1164
spring security 多种加密方式,基于动态配置密码使用不同的认证方式,以及自动更新密码;源码断点各种讲解
Spring Security系列教程22--Spring Security中的密码加密
一一哥
10-24 4522
前言 截止到现在,一一哥 已经带各位学习了很多关于Spring Security的知识点,但是Spring Security作为一个安全框架,其中必然就应该带有安全加密方面的内容,所以本篇文章,一一哥 就带各位来学习Spring Security中的密码加密机制。 Lets go! 一. 密码加密简介 1. 散列加密概述 我们开发时进行密码加密,可用的加密手段有很多,比如对称加密、非对称加密、信息摘要等。在一般的项目里,常用的就是信息摘要算法,也可以被称为散列加密函数,或者称为散列算法、哈希函数。
SpringSecurity 密码加密
你今天真好看呀
08-25 3494
createDelegatingPasswordEncoder() 方法中,首先定义了encoders变量,encoders中存储了每一种密码加密方案的id和所对应的加密类,例如MD4对应Md4PasswordEncoder,noop对应NoOpPasswordEncoder,其中encodingId的默认值为bcrypt,相当于默认使用的加密方案是BCryptPasswordEncoder。针对密码的所有操作,PasswordEncoder都定义好了,不同的实现类将采用不同的密码加密方案对密码进行处理。
Spring security密码加密实现代码实例
08-19
Spring Security 密码加密实现代码实例 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,它提供了一种灵活的方式来管理应用程序的安全性。密码加密是 Spring Security 中的一个关键组件,本文将...
Spring Security密码加密
大后生大大大的博客
11-25 3093
PasswordEncoder、DelegatingPasswordEncoder、PasswordEncoderFactories
Spring Security--密码加密
a2285786446的博客
06-12 2008
第二个matches方法:密码比对的方法,rawPassword是明文密码,encodedPassword是加密后的密码,你把这来个参数传进来,它会自动帮你比对,然后放回一个boolean值。可以设置密码的强度 4-31的数字,数字越大,密码强度越高,所需要的时间就越久 可以防止有人频繁去试密码,我们比对的时间会更长。项目的话,我们是继续写的,此时项目是已经实现了数据库的用户名,密码登录,且用的是自己的登录页面。对象,这里是把所有的加密方式都写出来了,匹配你的密码加密方式,默认是”bcrypt“
spring-security 登录,权限管理,密码加密-开箱即用
10-26
SpringBoot2.0+Security+Tomcat9+JDK8+Mybatis+Maven 项目启动后有HTML模板,进入后先进入的主页没有进行任何的拦截,后点击Join us 进入登录或者注册页面进行注册,数据库脚本的话可以自己根据实体类或者sqlMap文件进行自己添加,比较简单
spring security的密码加密
最新发布
LCY133的博客
04-07 1048
Spring Security 的密码加密机制通过灵活的策略和严格的验证流程,为系统安全提供了坚实基础。接口实现,其核心目标是确保用户密码安全存储和验证。在 Spring Security 中,密码加密和验证通过 PasswordEncoder。通过合理配置和持续维护,可有效防御密码泄露风险,符合 GDPR、等保2.0 等合规要求。Spring Security 自动调用。:如 MD5、SHA-1 等。:永远不要存储未加密密码。:避免在代码中写死加密密钥。在用户注册服务中调用。(默认强度 10)。
基于Spring Security对密码进行加密和校验
susjj663的博客
07-23 2597
上述代码中,返回的UserDetails或者是User都是框架提供的类,我们在项目开发的过程中,很多需求都是我们自定义的属性,我们需要扩展该怎么办?/***/@Data//固定不可更改//固定不可更改//扩展属性 昵称//角色列表@Override//把角色类型转换并放入对应的集合@Override@Override@Override@Override/***/@Component@Autowired@Override。
SpringSecurity(学习笔记) --密码强度调整及加密的多种算法以及密码升级!
TONGZHOUGONGDU的博客
04-25 2520
密码升级,密码加密算法,密码强度问题!
spring security支持的加密方式
TZN00的博客
10-29 677
MessageDigest 可以支持 MD5 和 SHA-1 等简单哈希算法,但这些算法已被证明不够安全,容易受到碰撞攻击等威胁。NoOpPasswordEncoder用于指定Spring Security不进行加密,用于测试和开发环境。Argon2是一种设计优秀的内存硬化算法,支持内存、时间和并行度的调整。尽量避免使用 MD5 加密方式,尤其是对用户密码等敏感信息的加密。生成的密码是带有盐值的哈希值,防止彩虹表攻击和暴力破解。是密码哈希竞赛的获胜算法,被认为具有较高的安全性。
spring security对登录密码加密
weixin_33675507的博客
03-10 346
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Security系列教程之SpringSecurity中的密码加密
夜空中最亮的星
05-11 258
Spring Security系列教程之SpringSecurity中的密码加密
Spring Security学习(三)——密码加密
sadoshi的专栏
10-16 2095
上一篇文章我们实现了从数据库读取用户名密码到Spring Security中,并验证登录成功。不过密码的形式有点奇怪,这篇文章我们研究一下密码加密和比对的问题。
spring-security密码加密和校验(jar内方法)
c_molione的博客
08-04 349
<dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-core</artifactId> <version>4.2.2.RELEASE</version> </dependency> ...
Spring Security-用户密码自定义国密SM2加密
01-07
### 在 Spring Security 中集成 SM2 加密 为了在 Spring Security 中实现用户密码的 SM2 国密加密,可以自定义 `PasswordEncoder` 接口来处理基于 SM2 的加密逻辑。具体来说,通过创建一个新的类继承 `PasswordEncoder` 并重写其方法以支持 SM2 算法。 #### 自定义 PasswordEncoder 类 下面展示了一个简单的例子,说明如何构建一个能够利用 SM2 对密码进行编码和匹配验证的组件: ```java import org.bouncycastle.jce.provider.BouncyCastleProvider; import org.springframework.security.crypto.password.PasswordEncoder; public class Sm2PasswordEncoder implements PasswordEncoder { static { // 注册 Bouncy Castle 提供者以便使用国密算法 if (Security.getProvider(BouncyCastleProvider.PROVIDER_NAME) == null){ Security.addProvider(new BouncyCastleProvider()); } } @Override public String encode(CharSequence rawPassword) { try { KeyPairGenerator keyGen = KeyPairGenerator.getInstance("SM2", "BC"); ECGenParameterSpec sm2Params = new ECGenParameterSpec("sm2p256v1"); SecureRandom random = new SecureRandom(); keyGen.initialize(sm2Params, random); KeyPair pair = generateKey(); // 获取公私钥对[^1] byte[] encryptedBytes = encrypt(rawPassword.toString().getBytes(), pair.getPublic()); return Base64.getEncoder().encodeToString(encryptedBytes); } catch (Exception e) { throw new RuntimeException(e.getMessage()); } } private byte[] encrypt(byte[] data, PublicKey publicKey) throws Exception{ Cipher cipher = Cipher.getInstance("SM2", "BC"); cipher.init(Cipher.ENCRYPT_MODE, publicKey); return cipher.doFinal(data); } @Override public boolean matches(CharSequence rawPassword, String encodedPassword) { try { byte[] decryptedBytes = decrypt(Base64.getDecoder().decode(encodedPassword)); return Arrays.equals(decryptedBytes, rawPassword.toString().getBytes()); } catch (Exception e) { return false; } } private byte[] decrypt(byte[] data) throws Exception{ PrivateKey privateKey = ... ;// 需要从存储介质读取对应的私钥 Cipher cipher = Cipher.getInstance("SM2", "BC"); cipher.init(Cipher.DECRYPT_MODE, privateKey); return cipher.doFinal(data); } } ``` 请注意,在实际应用环境中应当更加谨慎地管理秘钥材料的安全性和生命周期,并考虑性能优化等问题。上述代码片段仅作为概念证明用途。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

七号公园的忧伤

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值