Spring Security BCryptPasswordEncoder 密码加盐

最新推荐文章于 2024-04-17 15:50:56 发布
原创 最新推荐文章于 2024-04-17 15:50:56 发布 · 2.6k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

Spring Security BCryptPasswordEncoder 密码加盐

引入spring-boot-starter-security 的Jar包

  •     <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>

使用 BCryptPasswordEncoder 对密码加盐加密

  • 测试类

    •         //region Description
        BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
        for (int i = 0; i < 10; i++) {
       
       
            String admin = bCryptPasswordEncoder.encode("admin");
            System.out.println(admin);
        }
        // 从上面的输出中随便拿一个
        System.out.println(bCryptPasswordEncoder.matches("admin",    "$2a$10$U96JT2Wzq/0w1D9XBUsXQ.s7AHgruQayc3ay2oqYkGJyJb1vZyJ0i"));
        //endregion

  • 上面的运行结果

    • $2a$10$w2/bCNOlrFxx.2.JP62AC.GtCGWVHuSPqqA27tcR1DxseKRebiU2G
$2a$10$U96JT2Wzq/0w1D9XBUsXQ.s7AHgruQayc3ay2oqYkGJyJb1vZyJ0i
$2a$10$lJTu
最低0.47元/天 解锁文章
浅谈Spring SecurityBCryptPasswordEncoder
默默不代表沉默
11-28 4935
早些年,那会把一个老项目的登录模块重构,从Shiro转Spring Security,那时候快速换完后没多看,最近又在公司做类似同样的操作,给一个老项目加上Spring Security。所以我决定简单写点什么。 相信用过Spring Security的伙伴们,应该对这个BCryptPasswordEncoder 少了好奇。 为啥好奇, 这个家伙的加密方法encode每次生成的密后密码都不一样,但...
Spring Boot2整合Shiro:BCrypt加密密码,springsecurity+BCryptPasswordEncoder实现加密注册登录 加密问题
qq_44970883的博客
12-13 1620
Spring Boot2+Shiro:加密密码注册, 登陆验证实现 一.前言 我在这与大家分享一下登陆验证时的一些问题和实现。应用考虑到安全,绝不能明文的方式保存密码(数据库不能存看得懂的秘密,一定程度也保证了用户的安全,同时也让很多攻破数据库的程序员没法瞎搞,比如 玩游戏出现用户的账号异地登陆之类的。。。) 有很多标准的算法比如SHA或者MD5(MD5可以用彩虹表暴力破解 后面会讲解如何破解),MD5结合salt(盐)是一个不错的选择,j 项目使用Shiro框架做密码验证时的改进。 学习内容: 提示:这里
如何使用 BCryptPasswordEncoder 随机盐加密?如何应用到账号密码验证思路?
weixin_38295272的博客
06-07 1687
使用 BCryptPasswordEncoder 随机盐加密步骤: 1.导入springboot的安全框架依赖: <!-- BCryptPasswordEncoder 加密--> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-core</art
加密算法---BCryptPasswordEncoder的使用及原理
热门推荐
weixin_43811057的博客
02-08 1万+
spring security中的BCryptPasswordEncoder方法采用SHA-256 +随机盐+密钥对密码进行加密。SHA系列是Hash算法,不是加密算法,使用加密算法意味着可以解密(这个与编码/解码一样),但是采用Hash处理,其过程是不可逆的。1)加密(encode):注册用户时,使用SHA-256+随机盐+密钥把用户输入的密码进行hash处理,得到密码的hash值,然后将其存入数据库中。
Bcrypt算法(随机加盐,每次加密后的密文都是不一样的)
m0_48362854的博客
07-01 7116
这个密码是由 Spring Security 框架中内置的加密算法BCrypt生成的,号称最安全的加密算法BCrypt是由Niels Provos和David Mazières设计的密码哈希函数,他是基于Blowfish密码而来的,并于1999年在USENIX上提出。除了加盐来抵御rainbow table 攻击之外,bcrypt的一个非常重要的特征就是自适应性,可以保证加密的速度在一个特定的范围内,即使计算机的运算能力非常高,可以通过增加迭代次数的方式,使得加密速度变慢,从而可以抵御暴力搜索攻击。
SpringSecurity密码加盐SpringBoot中异常统一处理
weixin_33997389的博客
01-11 836
当前后端分离时,权限问题的处理也和我们传统的处理方式有一点差异。笔者前几天刚好在负责一个项目的权限管理模块,现在权限管理模块已经做完了,我想通过5-6篇文章,来介绍一下项目中遇到的问题以及我的解决方案,希望这个系列能够给小伙伴一些帮助。本系列文章并不是手把手的教程,主要介绍了核心思路并讲解了核心代码,完整的代码小伙伴们可以在GitHub上...
BCrypt密码加密-加盐机制
beginnerNew的博客
11-30 5201
BCrypt加密方式 用户表的密码通常使用MD5等不可逆算法加密后存储,为防止彩虹表破解更会先使用一个特定的字符串(如域名)加密,然后再使用一个随机的salt(盐值)加密。 特定字符串是程序代码中固定的,salt是每个密码单独随机,一般给用户表加一个字段单独存储,比较麻烦。 BCrypt算法将salt随机并混入最终加密后的密码,验证时也无需单独提供之前的salt,从而无需单独处理salt问题。相比...
spring security 密码加盐_神奇!自己 new 出来的对象一样也可以被 Spring 容器管理
weixin_39627201的博客
11-24 314
按理说自己 new 出来的对象和容器是没有关系的,但是在 Spring Security 框架中也 new 了很多对象出来,一样也可以被容器管理,那么它是怎么做到的?今天来和大家聊一个略微冷门的话题,Spring Security 中的 ObjectPostProcessor 到底是干嘛用的?本文是 Spring Security 系列第 32 篇,阅读前面文章有助于更好的理解本文:挖一个大坑,S...
加盐算法:手撕+Spring Security、提高密码安全性的必杀技
GoodManS的优快云
05-31 2893
本文介绍了加盐算法在密码哈希中的应用,以及如何通过手写加盐算法来增强密码安全性。同时,还介绍了如何在Spring Security中集成加盐算法以提高用户身份验证的安全性。具体内容包括MD5加密、加密解密过程、加盐算法的实现方法以及在项目中的应用。最后,作者提供了一些代码示例和操作步骤,帮助读者更好地理解和应用加盐算法。
Spring——》SpringSecurity中的BCryptPasswordEncoder算法
小仙~
03-24 2305
SpringSecurity中的BCryptPasswordEncoder方法采用SHA-256 +随机盐+密钥对密码进行加密。 SHA系列是Hash算法,不是加密算法,使用加密算法意味着可以解密(这个与编码/解码一样),但是采用Hash处理,其过程是不可逆的。 1)加密(encode):注册用户时,使用SHA-256+随机盐+密钥把用户输入的密码进行hash处理,得到密码的hash值,然后将其存入数据库中。 (2)密码匹配(matches):用户登录时,密码匹配阶段并没有进行密码解密(因为密码
BCryptPasswordEncoder进行MD5+Salt加密
lj_heaven的博客
12-26 601
【代码】BCryptPasswordEncoder进行MD5+Salt加密。
MD5&盐值加密BCryptPasswordEncoder的使用
qq_42604017的博客
08-04 2687
MD5&盐值加密
密码加密——加盐后再进行md5加密
m0_74229735的博客
04-01 7664
首先明文肯定是不可取的,在数据库中明文存储密码风险实在是太大了。MD5(Message Digest Algorithm 5)是一种常用的,用于将任意长度的数据进行不可逆的加密处理。MD5 可以将输入的任意长度的数据转换为一个128位(16字节)的哈希值,通常表示为32个十六进制数字。尽管 MD5 具有上述特点,但由于其安全性较低,已被证明容易受到)和的影响,因此在一些安全要求较高的场景中,已经不推荐单独使用 MD5 来加密密码等敏感信息。解释一下和。
Spring Security 登录注册时使用Bcrypt加盐进行加密
程序和我有一个能跑就行了
12-24 4410
对于加密来说,MD5和SHA都比较流行。所谓加盐,无非是生成一个随机的salt在数据存储时提高数据的安全性,防止不法分子盗取用户个人信息。虽然MD5进行加密是不可逆的,但还是有弊端的。 举个简单的例子来说:如果数据库当中不同用户存储了相同的密码值,那么当知道其中一个用户的密码后就可以窥探出相同密码的用户,这样是很不安全的,因此如果使用MD5加密,我们都会选择对数据进行盐值加密存储——MD5 ha...
数据库信息/密码加盐加密 —— Java代码手写+集成两种方式,手把手教学!保证能用!
dream_ready的博客
04-17 1671
在MySQL数据库中,我们常常需要对密码,⾝份证号,⼿机号等敏感信息进⾏加密,以保证数据的安全性.如果使⽤明⽂存储,当⿊客⼊侵了数据库时,就可以轻松获取到⽤⼾的相关信息,从⽽对⽤⼾或者企业造 成信息泄漏或者财产损失.⽬前我们⽤⼾的密码还是明⽂设置的,为了保护⽤⼾的密码信息,我们需要对密码进⾏加密。
SpringSecurity密码加密-咸密码-用户授权验证
weixin_44502237的博客
11-16 763
SpringSecurity的PasswordEncoder官网介绍,密码加密验证方式,盐密码概念,与用户授权
【信息安全】快速了解密码的加密加盐处理
yubao0723的专栏
03-07 1853
信息安全基础,快速了解密码的加密加盐处理
Spring Security 中的盐值加密
云游四方的技术博客
12-07 2157
原文链接:http://blog.youkuaiyun.com/simpleit/article/details/5448531  在 Spring Security 文档中有这么一句话: "盐值的原理非常简单,就是先把密码和盐值指定的内容合并在一起,再使用md5对合并后的内容进行演算,这样一来,就算密码是一个很常见的字符串,再加上用户名,最后算出来的md5值就没那么容易猜出来了。因为攻击者不知道盐
springboot+springsecurity +密码加盐
最新发布
03-11
### Spring Boot 和 Spring Security 中实现密码加盐的最佳实践 在现代Web应用程序开发中,确保用户数据的安全至关重要。为了防止存储明文密码带来的风险,在Spring Boot和Spring Security环境中采用加密技术来处理用户密码是非常必要的。 #### 使用BCryptPasswordEncoder进行密码编码 推荐的做法是利用`BCryptPasswordEncoder`类来进行密码哈希操作并自动加入随机盐值[^1]。该方法不仅能够有效增强安全性,而且简化了开发者的工作量,因为不需要手动管理盐值的生成与保存过程: ```java import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; public class PasswordEncoderExample { public static void main(String[] args) { BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder(); String rawPassword = "mySecretPassword"; String encodedPassword = passwordEncoder.encode(rawPassword); System.out.println("Encoded Password: " + encodedPassword); boolean matches = passwordEncoder.matches(rawPassword, encodedPassword); System.out.println("Does the entered password match? : " + matches); } } ``` 此代码片段展示了如何创建一个`BCryptPasswordEncoder`实例,并调用其`encode()`函数对原始字符串形式的密码执行散列运算;随后可以通过`matches()`函数验证输入的纯文本密码是否匹配已有的散列值[^2]。 #### 自定义UserDetailsService接口以支持加盐后的密码校验 当涉及到实际项目中的用户登录逻辑时,则需自定义实现`UserDetailsServiceImpl`服务层组件,以便加载数据库中存在的经过BCrypt算法处理过的密文以及相应的用户名信息返回给框架用于后续的身份验证流程[^3]。 ```java @Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { AppUser appUser = userRepository.findByUsername(username).orElseThrow(() -> new UsernameNotFoundException("User not found")); return new org.springframework.security.core.userdetails.User(appUser.getUsername(), appUser.getPassword(), true, true, true, true, getAuthorities()); } private Collection<? extends GrantedAuthority> getAuthorities() { List<GrantedAuthority> authList = new ArrayList<>(); // Add roles or permissions here as needed. return authList; } } ``` 上述例子说明了一个简单的基于JPA仓库模式获取用户的场景,其中包含了从持久化层读取到内存对象转换的过程,最终形成符合Spring Security预期的数据结构供内部使用。 #### 配置SecurityConfig类启用密码编码器 最后一步是在全局配置文件里指定所使用的密码编解码工具,这通常是在继承自`WebSecurityConfigurerAdapter`抽象基类的应用程序特定设置类完成的。这里展示了一种方式来注册前面提到的`BCryptPasswordEncoder`作为默认处理器: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Bean public PasswordEncoder getPasswordEncoder(){ return new BCryptPasswordEncoder(10); // 参数表示迭代次数,默认为10次 } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService()).passwordEncoder(getPasswordEncoder()); } } ``` 这段Java配置表明了怎样通过Spring容器注入的方式让整个应用范围内都能识别到这个强类型的工厂bean,从而保证每次涉及身份验证环节都会运用相同的策略去比较提交过来的新旧两版凭证材料之间的关系。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

BinBin_Bang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值