Spring Security 6 【3-密码解析器】

原创 于 2025-06-29 08:42:23 发布 · 507 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #security

Spring Security 6 密码解析器详解与代码实现

Spring Security 6 提供了多种密码解析器(PasswordEncoder),用于安全地存储和验证用户密码。下面我将详细介绍常用的密码解析器及其实现代码。

一、常用密码解析器类型

解析器类型描述安全性适用场景
BCryptPasswordEncoder使用 bcrypt 强哈希算法,可配置强度参数★★★★★推荐用于生产环境
Argon2PasswordEncoder使用 Argon2 算法,内存密集型哈希,抵抗GPU/ASIC攻击★★★★★高安全性要求系统
Pbkdf2PasswordEncoder基于密码的密钥派生函数2,可配置迭代次数和密钥长度★★★★☆兼容性要求高的系统
SCryptPasswordEncoder使用 scrypt 算法,内存密集型,增加硬件攻击成本★★★★☆需要高安全性的系统
DelegatingPasswordEncoder委托模式,根据前缀选择具体解析器,支持多种格式共存★★★★☆旧系统迁移或多种算法并存
NoOpPasswordEncoder明文存储,仅用于测试☆☆☆☆☆绝对不要用于生产

二、核心代码实现

1. BCryptPasswordEncoder (推荐)

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

// 配置BCrypt密码解析器
@Bean
public PasswordEncoder passwordEncoder() {
    // 强度参数:4-31,默认为10(值越大越安全但越慢)
    int strength = 12; 
    return new BCryptPasswordEncoder(strength);
}

// 使用示例
public class UserService {
    private final PasswordEncoder passwordEncoder;
    
    public UserService(PasswordEncoder passwordEncoder) {
        this.passwordEncoder = passwordEncoder;
    }
    
    public void registerUser(String username, String rawPassword) {
        // 编码密码
        String encodedPassword = passwordEncoder.encode(rawPassword);
        
        // 存储用户信息(包含encodedPassword)
        User user = new User(username, encodedPassword);
        userRepository.save(user);
    }
    
    public boolean authenticate(String username, String rawPassword) {
        User user = userRepository.findByUsername(username);
        if (user == null) return false;
        
        // 验证密码
        return passwordEncoder.matches(rawPassword, user.getPassword());
    }
}

2. 委托密码解析器(支持多格式)

import org.springframework.security.crypto.factory.PasswordEncoderFactories;
import org.springframework.security.crypto.password.DelegatingPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Bean
public PasswordEncoder passwordEncoder() {
    // 创建委托解析器,默认使用bcrypt
    DelegatingPasswordEncoder encoder = 
        (DelegatingPasswordEncoder) PasswordEncoderFactories.createDelegatingPasswordEncoder();
    
    // 添加其他支持的解析器
    encoder.setDefaultPasswordEncoderForMatches(new BCryptPasswordEncoder());
    
    return encoder;
}

// 使用不同格式的密码存储
public void migrateOldPasswords() {
    // 旧系统迁移:MD5密码
    String md5Password = "5f4dcc3b5aa765d61d8327deb882cf99"; 
    String encodedPassword = "{MD5}" + md5Password;
    
    // 新密码使用bcrypt
    String newPassword = passwordEncoder.encode("newPassword");
    
    // 验证混合格式
    boolean matches = passwordEncoder.matches("password", encodedPassword); // true
}

3. Argon2PasswordEncoder (高安全性)

import org.springframework.security.crypto.argon2.Argon2PasswordEncoder;

@Bean
public PasswordEncoder passwordEncoder() {
    // 参数说明:
    // saltLength: 盐值长度 (bytes)
    // hashLength: 哈希长度 (bytes)
    // parallelism: 并行度
    // memory: 内存使用量 (KB)
    // iterations: 迭代次数
    return new Argon2PasswordEncoder(
        16,     // saltLength
        32,     // hashLength
        1,      // parallelism
        16384,  // memory (16MB)
        2       // iterations
    );
}

4. 自定义密码解析器

import org.springframework.security.crypto.password.PasswordEncoder;

public class LegacySha256PasswordEncoder implements PasswordEncoder {
    
    @Override
    public String encode(CharSequence rawPassword) {
        // 自定义编码逻辑(示例:SHA-256 + 盐)
        String salt = generateSalt();
        return "sha256:" + salt + ":" + sha256(rawPassword + salt);
    }
    
    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        // 解析存储的密码
        String[] parts = encodedPassword.split(":");
        if (parts.length != 3 || !"sha256".equals(parts[0])) {
            return false;
        }
        
        String salt = parts[1];
        String storedHash = parts[2];
        
        // 计算并比较哈希值
        String computedHash = sha256(rawPassword + salt);
        return storedHash.equals(computedHash);
    }
    
    private String sha256(String input) {
        // 实现SHA-256哈希计算
        try {
            MessageDigest digest = MessageDigest.getInstance("SHA-256");
            byte[] hash = digest.digest(input.getBytes(StandardCharsets.UTF_8));
            return HexFormat.of().formatHex(hash);
        } catch (NoSuchAlgorithmException e) {
            throw new IllegalStateException("SHA-256 algorithm not available", e);
        }
    }
    
    private String generateSalt() {
        // 生成16字节随机盐
        SecureRandom random = new SecureRandom();
        byte[] salt = new byte[16];
        random.nextBytes(salt);
        return HexFormat.of().formatHex(salt);
    }
}

// 注册自定义解析器
@Bean
public PasswordEncoder passwordEncoder() {
    return new LegacySha256PasswordEncoder();
}

三、密码策略配置

1. 密码强度验证

import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.crypto.password.Pbkdf2PasswordEncoder;

@Bean
public PasswordEncoder passwordEncoder() {
    // 创建密码编码器
    Pbkdf2PasswordEncoder encoder = new Pbkdf2PasswordEncoder();
    
    // 设置编码器参数
    encoder.setAlgorithm(Pbkdf2PasswordEncoder.SecretKeyFactoryAlgorithm.PBKDF2WithHmacSHA256);
    encoder.setIterations(100000);  // 迭代次数
    encoder.setSecret("system-secret".getBytes());  // 系统级密钥
    
    return encoder;
}

// 密码策略服务
@Service
public class PasswordPolicyService {
    
    public void validatePassword(String password) {
        if (password.length() < 12) {
            throw new WeakPasswordException("Password must be at least 12 characters");
        }
        
        if (!password.matches(".*[A-Z].*")) {
            throw new WeakPasswordException("Password must contain uppercase letters");
        }
        
        if (!password.matches(".*[a-z].*")) {
            throw new WeakPasswordException("Password must contain lowercase letters");
        }
        
        if (!password.matches(".*\\d.*")) {
            throw new WeakPasswordException("Password must contain digits");
        }
        
        if (!password.matches(".*[!@#$%^&*()].*")) {
            throw new WeakPasswordException("Password must contain special characters");
        }
    }
}

2. 密码自动升级

@Configuration
@EnableWebSecurity
public class SecurityConfig {
    
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .formLogin(withDefaults())
            .authenticationProvider(authenticationProvider());
        return http.build();
    }
    
    @Bean
    public DaoAuthenticationProvider authenticationProvider() {
        DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
        provider.setUserDetailsService(userDetailsService());
        provider.setPasswordEncoder(passwordEncoder());
        provider.setPreAuthenticationChecks(preAuthenticationChecks());
        return provider;
    }
    
    @Bean
    public PreAuthenticationChecks preAuthenticationChecks() {
        return new PreAuthenticationChecks();
    }
    
    // 自定义前置检查(密码升级)
    public static class PreAuthenticationChecks implements UserDetailsChecker {
        
        @Autowired
        private PasswordEncoder passwordEncoder;
        
        @Autowired
        private UserRepository userRepository;
        
        @Override
        public void check(UserDetails user) {
            if (user instanceof CustomUser customUser) {
                // 检查是否需要升级密码编码
                if (needsPasswordUpgrade(customUser.getPassword())) {
                    // 在认证后触发密码升级
                    SecurityContextHolder.getContext().addAuthentication(
                        new UpgradePasswordAuthenticationToken(customUser)
                    );
                }
            }
        }
        
        private boolean needsPasswordUpgrade(String encodedPassword) {
            // 检查密码编码格式是否需要升级
            return encodedPassword.startsWith("{noop}") || 
                   encodedPassword.startsWith("{SHA-256}");
        }
    }
    
    // 自定义认证令牌(用于密码升级)
    public static class UpgradePasswordAuthenticationToken 
        extends UsernamePasswordAuthenticationToken {
        
        public UpgradePasswordAuthenticationToken(CustomUser user) {
            super(user, null, user.getAuthorities());
        }
        
        @Override
        public Object getCredentials() {
            return null; // 不需要凭证
        }
    }
}

// 密码升级监听器
@Component
public class PasswordUpgradeListener {
    
    @Autowired
    private PasswordEncoder passwordEncoder;
    
    @Autowired
    private UserRepository userRepository;
    
    @EventListener
    public void onAuthenticationSuccess(AuthenticationSuccessEvent event) {
        if (event.getAuthentication() instanceof 
            SecurityConfig.UpgradePasswordAuthenticationToken token) {
            
            CustomUser user = (CustomUser) token.getPrincipal();
            String rawPassword = "temporary-password"; // 实际应用中应从安全上下文获取
            
            // 升级密码
            String newPassword = passwordEncoder.encode(rawPassword);
            user.setPassword(newPassword);
            userRepository.save(user);
        }
    }
}

四、最佳实践与安全建议

1. 密码编码器选择指南

  • 新项目:优先使用 BCryptPasswordEncoderArgon2PasswordEncoder
  • 旧系统迁移:使用 DelegatingPasswordEncoder 支持多种格式
  • 高安全性要求:选择 Argon2PasswordEncoderSCryptPasswordEncoder
  • 兼容性要求:使用 Pbkdf2PasswordEncoder

2. 安全配置建议

@Bean
public PasswordEncoder passwordEncoder() {
    // 生产环境推荐配置
    return new BCryptPasswordEncoder(12); // 强度12
    
    // 或者使用Argon2(需要更多内存)
    // return Argon2PasswordEncoder.defaultsForSpringSecurity_v5_8();
}

// 禁用危险编码器
@Bean
public InitializingBean disableWeakEncoders() {
    return () -> {
        // 防止意外使用不安全的编码器
        System.setProperty(
            "spring.security.passwordencoder.allow-weak", 
            "false"
        );
    };
}

3. 密码策略实施

@Configuration
public class PasswordPolicyConfig {
    
    @Bean
    public PasswordPolicy passwordPolicy() {
        return new PasswordPolicy()
            .minLength(12)                   // 最小长度
            .requireUppercase()              // 必须包含大写字母
            .requireLowercase()              // 必须包含小写字母
            .requireDigit()                  // 必须包含数字
            .requireSpecialChar()            // 必须包含特殊字符
            .maxConsecutiveRepeating(3)      // 最大连续重复字符
            .denyCommonPasswords()           // 拒绝常见密码
            .historySize(5);                 // 记住最近5个密码
    }
}

// 在用户服务中应用
@Service
public class UserService {
    
    @Autowired
    private PasswordPolicy passwordPolicy;
    
    public void changePassword(String username, String newPassword) {
        // 验证密码策略
        passwordPolicy.validate(newPassword);
        
        // 检查历史密码
        if (isPasswordInHistory(username, newPassword)) {
            throw new PasswordReuseException();
        }
        
        // 更新密码...
    }
}

4. 密码重置流程安全实现

@Service
public class PasswordResetService {
    
    @Autowired
    private PasswordEncoder passwordEncoder;
    
    @Autowired
    private TokenService tokenService;
    
    @Autowired
    private PasswordPolicy passwordPolicy;
    
    public void initiateReset(String email) {
        // 1. 生成并存储安全令牌(JWT或随机令牌)
        String token = tokenService.generatePasswordResetToken(email);
        
        // 2. 发送包含令牌的重置链接到用户邮箱
        emailService.sendPasswordResetEmail(email, token);
    }
    
    public void resetPassword(String token, String newPassword) {
        // 1. 验证令牌有效性
        String email = tokenService.validatePasswordResetToken(token);
        
        // 2. 检查密码策略
        passwordPolicy.validate(newPassword);
        
        // 3. 获取用户并更新密码
        User user = userRepository.findByEmail(email);
        user.setPassword(passwordEncoder.encode(newPassword));
        
        // 4. 使令牌失效
        tokenService.invalidateToken(token);
        
        // 5. 发送密码已更改通知
        emailService.sendPasswordChangedConfirmation(email);
    }
}

五、性能与安全权衡

1. 强度参数建议

编码器类型推荐参数单次验证时间
BCryptPasswordEncoderstrength: 10-12~250-500ms
Argon2PasswordEncodermemory: 16-64MB, iterations: 2-4~300-1000ms
Pbkdf2PasswordEncoderiterations: 100,000-600,000~100-600ms
SCryptPasswordEncodercpuCost: 16384, memoryCost: 8~500-1500ms

2. 性能优化技巧

// 在资源受限环境中调整参数
@Bean
@Profile("embedded")
public PasswordEncoder embeddedPasswordEncoder() {
    // 使用稍低的强度
    return new BCryptPasswordEncoder(8);
}

// 在WebFlux中配置并行度
@Bean
public PasswordEncoder reactivePasswordEncoder() {
    return new Argon2PasswordEncoder(
        16, 32, 4,  // 增加并行度
        65536, 3     // 减少内存和迭代
    );
}

六、总结

Spring Security 6 提供了灵活的密码解析器体系,关键点如下:

  1. 生产环境推荐

    • 首选 BCryptPasswordEncoder(强度12)
    • 高安全性场景用 Argon2PasswordEncoder

  2. 迁移策略

    • 使用 DelegatingPasswordEncoder 支持旧密码格式
    • 实现密码自动升级机制

  3. 安全增强

    • 实施强密码策略(长度、复杂度)
    • 防止密码重用
    • 安全实现密码重置流程

  4. 性能考虑

    • 根据硬件能力调整强度参数
    • 在资源受限环境中适当降低强度

通过合理选择和配置密码解析器,可以显著提升系统的安全性,有效保护用户凭证不被泄露。

Spring Security 6.x 系列(1)—— 初识Spring Security
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
密码解析软件
03-08
密码解析软件
密码分析工具 cap4
01-12
经典密码与现代密码 密码分析工具 很好的密码算法的分析工具哦
密码分析及破解
02-10
此工具包仅限于银牌VIP以上会员所有,包内所有工具经过免杀处理,安全工具均为注册版。
PasswordEncoder(密码解析器
最新发布
yyzz7579的博客
10-15 937
PasswordEncoder是Spring Security中用于处理密码加密和验证的重要组件,它通过散列函数和随机盐等机制确保密码的安全性。在实际应用中,应选择合适的PasswordEncoder实现类,并遵循最佳的安全实践来保护用户密码。PasswordEncoder(密码解析器)是Spring Security中用于加密和验证密码的接口。
Spring Security(六)--密码处理
学习不止境的博客
10-08 2508
一般而言,系统并不以明文形式管理密码,印此密码通常要经过某种转换,这使得读取和窃取密码变得较为困难。对于这一职责,Spring Security定义了一个单独的契约—PasswordEncoder。实现这个契约是为了告知Spring Security如何验证用户的密码。在身份验证过程中,PasswordEncoder会判定密码是否有效。每个系统都会存储以某种方式编码过的密码。最好把密码哈希话存储起来,这样别人就不会读到明文密码了。
spring-security-jwt-auth:JWT的Spring Security培训资源-S2IT孵化器
05-19
5. **授权**:一旦令牌被验证,Spring Security解析JWT中的权限信息,用以决定用户是否有权访问特定的资源。 在"spring-security-jwt-auth"项目中,你可能会找到以下关键组件和配置: - **TokenProvider**:这是...
SpringSecurity OAuth2.0-3章: spring mvc集成spring security
健康平安的活着的专栏
07-31 4044
spring security spring security是一个封装比较完整安全的认证授权框架。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架,在spring boot项目中加入spring security更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码的工作。 ...
spring-security-jwt-demo.zip
11-19
3. Spring Security与JWT整合: - 配置JWT过滤器:首先,我们需要创建一个JWT过滤器,它将在每个HTTP请求中检查JWT,并处理认证和授权。 - 生成JWT:当用户成功登录后,服务器会生成一个JWT并返回给客户端。JWT...
spring-security【2022-3-18更新】
m0_53964515的博客
03-14 5002
话不多说导包本质上主要是使用了AOP 和 拦截器! 导包 <!-- spring security 包含下面两个注释掉的包 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- &l
springSecurity6】用户名密码登陆校验,后台只能收到用户名字段,收不到密码pwd字段
hfssss的博客
01-23 608
用户名字段username,密码是pwd(问题就在这,跟往常password不同):前台输入用户名和密码之后,后台只能接收到用户名,接收不到前台输入的密码(pwd)字段:取名尽量还是要规范,不然会导致框架识别不到这个字段的值。
Spring Security Crypto 简单实现AES加解密
u012173417的博客
06-13 3941
通过Spring Security Crypto 的 Encryptors接口实现AES加解密 // 密钥 private final static String secretKey = "5S1WQVMKCHt8w4LydcWl4CGFYoH2tgtmMDzd955KySY="; /** * 加密 * * @param plainString 明文 * @ret...
PasswordEncoder详解
tellmewhoisi的博客
05-10 2203
PasswordEncoder是一个密码解析器Spring Security封装了如bcrypt, PBKDF2, scrypt, Argon2等主流适应性单向加密方法( adaptive one-way functions),用以进行密码存储和校验。
介绍6密码暴力破解工具
logic1001的博客
04-06 1万+
暴力破解就是通过不断穷举可能的密码,直至密码验证成功,暴力破解分为密码爆破和密码喷洒,密码爆破就是不断的去尝试不同的密码密码喷洒就是通过已知密码不断去尝试账号。下面介绍6款常见的暴力破解工具。01hydraHydra(九头蛇)是THC组织开发的,是一款非常流行的密码破解工具,可以对多种服务的账号和密码进行爆破,包括 Web 登录、数据库、 SSH、 FTP 等服务,支持 Linux、Windows、 Mac 平台安装,其中 Kali Linux中自带 Hydra。
宇宙最快最高级且开源的密码破解利器 —— Hashcat
热门推荐
qq_32445015的博客
06-17 1万+
Hashcat 软件是一款非常强大的、开源的、号称世界上最快的密码破解软件,配合强大的字典,可以破译超过百分之九十的密码。Hashcat 目前支持各类公开算法高达240+类,市面上公开的密码加密算法基本都支持,有 Microsoft LM 哈希、MD4、MD5、SHA 系列,Unix 加密格式,MySQL 和 Cisco PIX 等!是安全测试中经常用到的密码解密神器之一。作为新手,可以使用 Hashcat 工具 CPU 模式破解,电脑机型高端可以使用 GPU 破解。内存的大小也影响工具破解的成功率。
Spring Security加密解密
程序员一博
08-03 8712
我们开发时进行密码加密,可用的加密手段有很多,比如对称加密、非对称加密、信息摘要等。在一般的项目里,常用的就是信息摘要算法,也可以被称为散列加密函数,或者称为散列算法、哈希函数。这是一种可以从任何数据中创建数字“指纹”的方法,常用的散列函数有 MD5 消息摘要算法、安全散列算法(Secure Hash Algorithm)等。散列函数通过把消息或数据压缩成摘要信息,使得数据量变小,将数据的格式固定下来,然后将数据打乱混合,再重新创建成一个散列值,从而达到加密的目的。散列值通常用一个短的随机字母和数字组成的字
密码破译主流工具和口令库,赶紧收藏!
logic1001的博客
04-12 6862
1.密码口令库在现代信息社会中, 各种密码伴随着我们的日常生活, 如果设置简单了, 容易被黑客破译;如果设置复杂了, 时间久了自己记不住, 所以很多人都选择一种折中的方式: 使用自己熟悉、容易记忆的特征信息来作为密码。而更多的人为了图一时的方便, 直接使用一些简单重复的数字作为密码, 为了防止大范围弱口令造成的安全隐患, 现代网站注册账号一般都对密码的复杂性有要求, 不满足要求无法注册。
探秘SharpDecryptPwd:一款强大的密码解密工具
gitblog_00093的博客
04-22 466
探秘SharpDecryptPwd:一款强大的密码解密工具 项目简介 是一个开源项目,由RcoIl开发并维护。它是一个使用C#编写的密码解密工具,主要针对Windows系统中加密的密码进行解析和还原。无论是为了解密保存在配置文件中的复杂密码,还是为了恢复忘记的本地账户密码,SharpDecryptPwd都能提供有效的解决方案。 技术分析 解密算法 SharpDecryptPwd的核心是其密码解密算...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值