第6章 Spring Security 密码加密器

最新推荐文章于 2025-04-07 08:49:11 发布
原创 最新推荐文章于 2025-04-07 08:49:11 发布 · 404 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #数据库

本文介绍了Spring Security中PasswordEncoder接口及其代理类DelegatingPasswordEncoder的使用,详细讲解了如何对旧系统的明文密码进行安全升级,通过实现特定的加密器改造UserService,确保用户信息安全。

Spring Security内置许多密码加密器

PasswordEncoder接口

PasswordEncoder 接口表示密码器,负责密码校验、加密。

public interface PasswordEncoder {
    // 加密
    String encode(CharSequence var1);
	// 密码比对
    boolean matches(CharSequence var1, String var2);
	
    // 是否需要对密码进行升级
    default boolean upgradeEncoding(String encodedPassword) {
        return false;
    }
}
PasswordEncoder代理类之DelegatingPasswordEncoder

DelegatingPasswordEncoder 类使用代理模式,内部维护一系列 PasswordEncoder 的实现类。它加密密码的格式是 {id}encodepassword 。我们可以通过 id 找到对应 PasswordEncoder加密器。

public String encode(CharSequence rawPassword) {
 return "{" + this.idForEncode + "}" + this.passwordEncoderForEncode.encode(rawPassword);
}
对密码进行升级

假设我们有个需求:以前旧系统存储密码的方式是基于明文的,这样会很不安全。现在需要对密码的安全进行升级,也就是对明文进行加密存储,这样可以保证用户信息的安全。那该如何实现呢?

答案是:PasswordEncoder 接口和 UserDetailsPasswordService 接口。

public interface UserDetailsPasswordService {
    // 更新密码
    UserDetails updatePassword(UserDetails var1, String var2);
}

基于前面数据库登录认证进行改造,我们只需要更改几处地方即可。我就列出关键的地方。

加密器改造

之前加密器是明文比对,现在我们使用 BCryptPasswordEncoder 加密器,并重现 upgradeEncoding 方法

@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder() {
        @Override
        public boolean upgradeEncoding(String encodedPassword) {
            return encodedPassword.length() <= 10;
        }
    };
}
UserService改造

我们需要把升级后的密码更新到数据库去,我们需要让 UserService 实现 UserDetailsPasswordService 接口。

@Override
public UserDetails updatePassword(UserDetails userDetails, String newPassword) {
    String username = userDetails.getUsername();
    userMapper.updatePasswordByUsername(newPassword, username);

    ((User) userDetails).setPassword(newPassword);
    return userDetails;
}

这样,我们就完成对旧系统密码升级的工作了。

备注
本系列都是学习《深入浅出Spring Security》的笔记

循序渐进学spring security 第八篇,如何配置密码加密?是否支持多种加密方案?
huangxuanheng的专栏
07-29 1206
目录回顾密码明文会带来什么问题?如何加密?PasswordEncoder 加密接口如何配置?加密的密码在登录的时候是怎么校验的?默认的加密是什么?DaoAuthenticationProvider 是怎么初始化的?怎么设置用户配置的PasswordEncoder? 回顾 前面我们介绍了spring security的登录验证,涉及到密码的都是明文存储,明文匹配的,这在企业项目开发中是不允许的,要是不小心被客户知道了,会投诉企业,指不定会破产,好了,在阅读本文之前,建议先看我之前的文,方便更好的理解!
SpringSecurity登录中的密码加密与验证
南风的博客
08-04 8925
PasswordEncoder是Spring Security提供的一个接口,称它为密码解析器,这个接口主要是处理密码的。源码如下: public interface PasswordEncoder { /** * Encode the raw password. Generally, a good encoding algorithm applies a SHA-1 or * greater hash combined with an 8-byte or greater randomly ge
Spring 加密工具包(kylin密码加密工具包)
04-09
使用方法:用java命令 java -jar encryption.jar admin
密码加密器
09-23
作为一个编程员,总是有很多的帐号,很的帐号有的有不好都背下来,下在txt里面有怕被看见。现在你可以使用这个工具,把密码都写进去,之后保存起来,当然是加密的喽!不过是简单加密而已,适合小孩玩玩 哈哈
spring-security 登录,权限管理,密码加密-开箱即用
10-26
SpringBoot2.0+Security+Tomcat9+JDK8+Mybatis+Maven 项目启动后有HTML模板,进入后先进入的主页没有进行任何的拦截,后点击Join us 进入登录或者注册页面进行注册,数据库脚本的话可以自己根据实体类或者sqlMap文件进行自己添加,比较简单
Spring Security系列教程22--Spring Security中的密码加密
一一哥
10-24 4582
前言 截止到现在,一一哥 已经带各位学习了很多关于Spring Security的知识点,但是Spring Security作为一个安全框架,其中必然就应该带有安全加密方面的内容,所以本篇文,一一哥 就带各位来学习Spring Security中的密码加密机制。 Lets go! 一. 密码加密简介 1. 散列加密概述 我们开发时进行密码加密,可用的加密手段有很多,比如对称加密、非对称加密、信息摘要等。在一般的项目里,常用的就是信息摘要算法,也可以被称为散列加密函数,或者称为散列算法、哈希函数。
SpringSecurity密码加密器的使用
python15397的博客
07-31 517
方式一、直接向IOC容器注入一个指定的密码加密器。方式二、通过加密器工厂创建委托加密器
Spring security密码加密实现代码实例
08-19
BCryptPasswordEncoder 是 Spring Security 中的一种密码加密器,它使用 BCrypt 算法来加密密码。BCryptPasswordEncoder 提供了一个简单的方式来加密和验证密码。 BCrypt 算法 BCrypt 算法是一种基于哈希函数的...
Spring Security特性(密码)
₍˄·͈༝·͈˄*₎◞ ̑̑的博客
11-07 1476
Spring Security提供了对 认证(authentication) 的全面支持。认证是指我们如何验证试图访问特定资源的人的身份。一个常见的验证用户的方法是要求用户输入用户名和密码。一旦进行了认证,我们就知道了身份并可以执行授权。Spring Security提供了对用户认证的内置支持。本节专门介绍通用的认证支持,适用于Servlet和WebFlux环境。请参阅 Servlet 和WebFlux的认证部分,了解每个技术栈所支持的细节。
Spring Security密码加密
大后生大大大的博客
11-25 3103
PasswordEncoder、DelegatingPasswordEncoder、PasswordEncoderFactories
Spring security 自定义密码加密方式的使用范例。
09-15
Spring security的完整使用范例,支持自定义密码的加密方式,以及成功,失败的处理。是一个完整可运行的工程,码云似乎还要注册。后期考虑下用码云
SpringSecurity 密码加密
你今天真好看呀
08-25 3533
createDelegatingPasswordEncoder() 方法中,首先定义了encoders变量,encoders中存储了每一种密码加密方案的id和所对应的加密类,例如MD4对应Md4PasswordEncoder,noop对应NoOpPasswordEncoder,其中encodingId的默认值为bcrypt,相当于默认使用的加密方案是BCryptPasswordEncoder。针对密码的所有操作,PasswordEncoder都定义好了,不同的实现类将采用不同的密码加密方案对密码进行处理。
Spring Security--密码加密
a2285786446的博客
06-12 2021
第二个matches方法:密码比对的方法,rawPassword是明文密码,encodedPassword是加密后的密码,你把这来个参数传进来,它会自动帮你比对,然后放回一个boolean值。可以设置密码的强度 4-31的数字,数字越大,密码强度越高,所需要的时间就越久 可以防止有人频繁去试密码,我们比对的时间会更长。项目的话,我们是继续写的,此时项目是已经实现了数据库的用户名,密码登录,且用的是自己的登录页面。对象,这里是把所有的加密方式都写出来了,匹配你的密码的加密方式,默认是”bcrypt“
spring security密码加密
最新发布
LCY133的博客
04-07 1078
Spring Security密码加密机制通过灵活的策略和严格的验证流程,为系统安全提供了坚实基础。接口实现,其核心目标是确保用户密码的安全存储和验证。在 Spring Security 中,密码加密和验证通过 PasswordEncoder。通过合理配置和持续维护,可有效防御密码泄露风险,符合 GDPR、等保2.0 等合规要求。Spring Security 自动调用。:如 MD5、SHA-1 等。:永远不要存储未加密的密码。:避免在代码中写死加密密钥。在用户注册服务中调用。(默认强度 10)。
Spring Security —09—密码加密
weixin_48994585的博客
08-25 896
整个事件中最触目惊心的莫过于 优快云 把用户密码明文存储,由于很多用户是多个网站共用一个密码,因此一个网站密码泄漏就会造成很大的安全隐患。用户注册成功后,保存在数据库中不再是用户的明文密码,而是经过 SHA-256 加密计算的一个字符串,当用户进行登录时,用户输入的明文密码用 SHA-256 进行加密,加密完成之后,再和存储在数据库中的密码进行比对,进而确定用户登录信息是否有效。在前面的案例中,凡是涉及密码的地方,我们都采用明文存储,在实际项目中这肯定是不可取的,因为这会带来极高的安全风险。
spring security对登录密码加密
weixin_33675507的博客
03-10 349
2019独角兽企业重金招聘Python工程师标准>>> ...
08 SpringSecurity-密码加密
02-11 3533
配套代码:https://gitee.com/lookoutthebush/spring-security-demo 一、SpringSecurity加密机制 Spring Security内置了密码加密机制,只需使用一个PasswordEncoder接口即可 public interface PasswordEncoder { String encode(CharSequence rawPassword); boolean matches(CharSequence rawPa
Spring Security系列教程之SpringSecurity中的密码加密
夜空中最亮的星
05-11 260
Spring Security系列教程之SpringSecurity中的密码加密
Spring Security学习(三)——密码加密
sadoshi的专栏
10-16 2104
上一篇文我们实现了从数据库读取用户名密码Spring Security中,并验证登录成功。不过密码的形式有点奇怪,这篇文我们研究一下密码加密和比对的问题。
Spring Security学习进阶指南第二课
知识点六:Spring SecuritySpring Boot的集成 Spring Boot简化了Spring应用的配置和部署,与Spring Security集成时,可以带来以下便利: 1. 自动配置:Spring Boot可以自动配置Spring Security的相关组件。 2. ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值