Spring Security中的Password Encoding

最新推荐文章于 2025-04-16 09:50:16 发布
最新推荐文章于 2025-04-16 09:50:16 发布
阅读量2.6k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: Spring Security 文章标签: Spring SpringSecurity PasswordEncoder Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/baiyejianxin/article/details/82865896
本文探讨了Spring Security中关于密码编码的重要概念,包括NoOpPasswordEncoder的弃用原因,推荐的BCryptPasswordEncoder、Pbkdf2PasswordEncoder和SCryptPasswordEncoder,以及如何使用DelegatingPasswordEncoder实现密码算法升级。通过DelegatingPasswordEncoder,可以支持多种密码加密算法并进行匹配,确保项目中的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

【目录】

  1. 背景
  2. 关于NoOpPasswordEncoding
  3. 其它Pasword Encoder
  4. 关于DelegatingPasswordEncoding
  5. 收获

0. 背景

在自定义配置Spring Security时,你或许会注意到这段代码。

	@Bean
	public static PasswordEncoder passwordEncoder() {
		return NoOpPasswordEncoder().getInstance();
	}

代码中提到的NoOpPasswordEncoder是什么?

关于NoOpPasswordEncoder

字面理解它是一个某某密码编译器(No Operate Password Encoder,即:无任何操作的密码密码编译器)。

看一下NoOpPasswordEncoder类的代码,通过注释了解到,该类已经弃用且不安全。它并不会对密码做什么操作,只是为了测试为目的的。也就是说在encode、matches过程中密码都是明文的。

所以在Spring文档中见到它,不足为奇了,因为它容易理解,但是真的在项目中使用Spring Security时不应该是NoOpPasswordEncoder.

其它Password Encoder

NoOpPasswordEncoder的注释中推荐我们有针对性的选择使用BCryptPasswordEncoder、Pbkdf2PasswordEncoder、SCryptPasswordEncoder中的一种。并推荐最好使用DelegatingPasswordEncoder,因为它支持密码升级。

暂时可以先这样理解:前三种都是根据某个算法对PasswordEncoder接口的具体实现,DelegatingPasswordEncoder是N种具体算法的代理实现。

通过这几个类的注释了解到BCryptPasswordEncoder、Pbkdf2PasswordEncoder、SCryptPasswordEncoder都是基于某种算法的PasswordEncoder接口的实现类。使用时需要根据需要,有选择的使用其中的一种即可。

比如我们想使用BCrypt算法来对密码加密,我们需要指定使用的PasswordEncoder是BCryptPasswordEncoder:

	@Bean
	public static PasswordEncoder passwordEncoder () {
		return new BCryptPasswordEncoder();
	}

在设定密码的,我们需要手动对明文的密码进行encode:

	String password = "123456";
	
	String encodedPassword = new BCryptPasswordEncoder().encode(password)

然后将encodedPassword密码进行保存。

如果我的项目开始选择A算法,后面改为B算法怎么办?如果A算法encode之后生成的密码是不可逆的,那么就自己编写这样一个逻辑:验证时先用A算法encode并match,成功后在用B算法encode并保存。好的事情Spring Security提供了现成的功能,那就是DelegatingPasswordEncoder。

关于DelegatingPasswordEncoder

DelegatingPasswordEncoder是N种算法实现的代理,通过DelegatingPasswordEncoder的实例,我们能够使用指定的算法进行encode,同时支持对旧的密码进行match。

你可以通过DelegatingPasswordEncoder的构造函数来实例化它:

String idForEncode = "bcrypt"; // 默认使用的encode算法的id

Map<String, PasswordEncoder> encoders = new HashMap<>();
encoders.put(idForEncoder, new BCryptPasswordEncoder());
encoders.put("noop", NoOpPasswordEncoder.getInstance());
encoders.put("pykdf2", new Pbkdf2PasswordEncoder());
encoders.put("scrypt", new SCryptPasswordEncoder());
encoders.put("sha256", new StandardPasswordEncoder());

PasswordEncoder passwordEncoder = new DelegatingPasswordEncoder(idForEncoder, encoders);

也可以使用PasswordEncoderFactories来获取DelegatingPasswordEncoder的一个实例。

PasswordEncoder passwordEncoder = PasswordEncoderFactories.createDelegatingPasswordEncoder();

要使用DelegatingPasswordEncoder,还需要了解一下3件事情:

  • 生成的密码结构
  • 如何利用密码结构来进行密码匹配
  • 如何指定当前要用的加密算法

下面逐一说明:

1,生成的密码结构如下:

{算法ID}加密后的内容

例如:

{bcrypt}$2a$10$lkbmWQlpkNpuVoYas5ZKl.zP.4F21IWeQAL4SSL.aEIb036o6vp3G

{}中的bcrypt就是算法的ID

{}后面的字符串就是加密后的字符串

2,如何利用密码结构来进行密码匹配?

如果你使用A算法加密,生成的密码是

{A}adfadfadsfsdf

那么DelegatingPasswordEncoder就会根据算法ID({}中的值)来获取当前密码中使用的算法A,并用算法A对密码进行加密后在匹配。

如果原本使用A算法,后来改进使用了B算法,那么在DelegatingPasswordEncoder实例中添加B算法后。对旧密码(使用A算法生成的密码),通过算法ID,知道旧密码使用了A算法,并用A算法去加密匹配。对于新的密码,则直接使用B算法来进行加密、匹配。这样就支持了算法的升级。

3,如何指定当前使用哪种算法?

在DelegatingPasswordEncoder的有餐构造函数中,我们可以传递两个值来构造DelegatingPasswordEncoder的实例,如下:

new DelegatingPasswordEncoder(idForEncoder, encoders);

idForEncoder:DelegatingPasswordEncoder默认使用的算法ID

encoders:DelegatingPasswordEncoder中包含哪些PasswordEncoder

收获

通过浏览Spring Security中的PasswordEncoder代码,最终了解了PasswordEncoder这种密码升级的解决方案的一种良好的代码实现。

【Final】

建议阅读下面的参考,获取想要了解的更多细节。

【参考】

  1. 《Spring Security Reference》
  2. 《Spring Security 5.0的DelegatingPasswordEncoder详解》
  3. 《什么是框架》
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security 6.x 系列(1)—— 初识Spring Security
热门推荐
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
Spring-SecurityPassword Encoding
小木公会
01-11 1316
  详细文档参考官方说明https://docs.spring.io/spring-security/site/docs/5.0.9.RELEASE/reference/htmlsingle/#core-services-password-encoding     PasswordEncoderspring-security的一个接口,主要用于对密码进行编码或加密,它有什么用途呢?说白了就是...
Spring-Security-passwordEncode密码加密02
Hpeacheng的博客
11-24 2412
【1】之前我们的Spring-Security没有进行加密操作,现在我们为了满足需求,添加上这个操作 【2】我们把<securitypassword-encode>配置上,然后写一个bean,配置BCryptPasswordEncoder的类 【3】在存入数据的时候,我们就应该把密码加密,这样我们数据库中的密码也是加密过后的 @Override public void saveUser(UserInfo userInfo) { //进...
springSecurityPasswordEncoder
梦想是很难很难的,所以先勇敢一点
02-05 5774
密码存储演进史 自从互联网有了用户的那一刻起,存储用户密码这件事便成为了一个健全的系统不得不面对的一件事。 远古时期,明文存储密码可能还不被认为是一个很大的系统缺陷(事实上这是一件很恐怖的事)。提及明文存储密码,我立刻联想到的是 优快云 社区在 2011 年末发生的 600 万用户密码泄露的事件,谁也不会想到这个和程序员密切相关的网站会犯如此低级的错误。 明文存储密码使得恶意用户可以通过 sql 注入等攻击方式来获取用户名和密码,虽然安全框架和良好的编码规范可以规避很多类似的攻击,但依旧避免不了系统管理员
SpringSecurity-02】PasswordEncoding
weixin_45717355的博客
11-25 226
PasswordEncoding的加密算法 Hash算法 单向算法 hash值(密码)不可逆 下面是PasswordEncoding接口的源码 package org.springframework.security.crypto.password; public interface PasswordEncoder { String encode(CharSequence var1); //用于给密码加密 boolean matches(CharSequence var1, Stri
Spring Security(三十三):10.3 Password Encoding
weixin_30443731的博客
12-19 206
Spring Security’sPasswordEncoderinterface is used to support the use of passwords which are encoded in some way in persistent storage. You should never store passwords in plain text. Always use a on...
Spring框架中的过滤器、拦截器与Spring Security:深入比较与应用实践
最新发布
m0_75236543的博客
04-16 1315
Spring框架是一个轻量级的开源Java平台,它为现代Java应用程序开发提供了全面的基础设施支持。Spring的核心特性包括依赖注入(DI)、面向切面编程(AOP)、事务管理、数据访问等,这些特性使得开发者能够构建松耦合、易于测试和维护的企业级应用。:提供IoC容器和依赖注入功能Spring AOP:提供面向切面编程实现Spring MVC:基于模型-视图-控制器模式的Web框架:认证和授权框架:简化数据访问操作:快速应用开发的约定优于配置解决方案。
Spring SecuritySpring Security 使用案例详细教程
weixin_44814196的博客
11-07 1022
和生成的密码后,可以成功通过身份验证。若请求的资源不存在,Spring Boot 将返回。通过未验证身份直接访问受保护的路径时,Spring Security 会拒绝访问,并返回。的用户,并生成随机密码。该密码只用于开发环境,生产环境应自定义更安全的认证方式。的情况下,Spring Security 默认创建一个用户名为。,可以通过 Java 配置来自定义用户信息。命令行工具模拟 HTTP 请求,验证不同用户权限。无需额外的配置,就可以体验基本的用户认证。注解来模拟不同角色的用户进行权限验证。
Spring Security和自定义密码编码
最佳 Java 编程
06-04 480
在上一篇文章中,我们使用jdbc和md5密码编码将密码编码添加到了我们的spring安全配置中。 但是,在定制UserDetailsS​​ervices的情况下,我们需要对安全配置进行一些调整。 我们需要创建一个DaoAuthenticationProvider bean,并将其设置为AuthenticationManagerBuilder。 由于我们需要一个Custom User...
Spring Security 5的默认PasswordEncoding
weixin_51294987的博客
12-04 367
我们可以通过使用PasswordEncoderFactories类定义DelegatingPasswordEncoder来解决此错误。 我们使用此编码器通过AuthenticationManagerBuilder配置我们的用户: @Configuration public class InMemoryAuthWebSecurityConfigurer extends WebSecurityConfigurerAdapter { @Override protected void
Spring安全性和密码编码
最佳 Java 编程
06-04 225
在以前的文章中,我们深入探讨了Spring安全性。 我们实现了由jdbc支持的安全性,基于自定义 jdbc查询的安全性以及从nosql数据库检索安全性的信息。 通过足够小心,我们会发现密码为纯文本格式。 尽管这在实际环境中可以很好地用于示例目的,但密码始终会进行编码并以编码方式存储在数据库中。 Spring Security以一种非常方便的方式支持密码编码。 它带有自己的预配置密码编...
Spring Security系列之PasswordEncoder
lonelymanontheway的博客
06-07 2255
加密算法种类、反查表、彩虹表、加密算法配置类实例、PasswordEncoder、BCryptPasswordEncoderPasswordEncoderFactories、DelegatingPasswordEncoder、自定义加密方案。
一文搞懂SpringSecurity---[Day02] PasswordEncoder详解
风归去.
06-26 940
Spring Security 中内置了很多解析器。 BCryptPasswordEncoderSpring Security 官方推荐的密码解析器,平时多使用这个解析器。BCryptPasswordEncoder 是对强散列方法的具体实现。是基于Hash算法实现的单向加密。可以通过strength控制加密强度,默认 10..........
Spring Security PasswordEncoder 密码校验和密码加密流程
hdfg159的专栏
05-29 1万+
Spring Security PasswordEncoder 密码校验和密码加密流程 本文使用的源码是 Spring Security 5.1.2 http://central.maven.org/maven2/org/springframework/security/spring-security-core/5.1.2.RELEASE/spring-security-core-5.1.2.R...
Spring SecurityPasswordEncoder密码加密匹配操作
席木木的博客
01-02 4297
Spring Security:`PasswordEncoder`与`BCryptPasswordEncoder`密码加密匹配操作,包含:SpringBoot中注入BCryptPasswordEncoder实例的配置方法,以及BCryptPasswordEncoder与父接口详解、测试方法。
SpringSecurity--密码加密、方法安全
吴声子夜歌的博客
02-08 2828
密码加密 Spring Security提供了多种密码加密方案,官方推荐使用BCryptPasswordEncoder,BCryptPasswordEncoder使用BCrypt强哈希函数,开发者在使用时可以选择提供strength和SecureRandom实例。strength越大,密钥的迭代次数越多,密钥迭代次数为2^strength。strength取值在4~31之间,默认为10. 在Spr...
(3)spring security - 认识PasswordEncoder
drsonxu的博客
12-14 1611
本章以(2)Spring Security - 了解UserDetailsService的代码为基础,通过调试代码,简单学习了spring security的认证流程和密码的验证流程。
spring security(2)自定义认证类+密码加密与识别
远行的博客
11-24 3010
不可逆加密(hush算法) 可逆(密钥) md5不可逆,但在线解密,是通过海量大数据里查出来,伪显示 bcrypt自动默认给你加盐(附加随机的随机数,同样的密码,但他能产生不同的密码串) 目录结构: spring-security.xml配置文件: <?xml version="1.0" encoding="UTF-8"?> <!--doubo有doubo的前缀...
SpringSecurity中文文档及视频教程详解
提供的SpringSecurity中文文档可能详细介绍了上述概念以及如何配置和使用Spring Security来保护Spring应用程序。文档可能包括了基于security3版本的介绍和使用示例。 - **视频教程** 视频教程可能涉及通过URL实现...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值