SpringSecurity中BCryptPasswordEncoder加密原理

最新推荐文章于 2025-03-08 22:37:39 发布
最新推荐文章于 2025-03-08 22:37:39 发布
阅读量1.6k 收藏 2
点赞数 5
分类专栏: Java基础 文章标签: java 算法 springsecurity passwordencoder
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/numbbe/article/details/119303638
版权
本文详细探讨了Spring Boot (SB) 中的密码加密机制,重点介绍了其使用哈希算法(如BCrypt)进行密码保护的方式。哈希算法虽然不可逆,但SB通过在加密过程中引入盐值,使得在验证密码时能够匹配原始输入。BCryptPasswordEncoder实现了PasswordEncoder接口,用于密码的加密和匹配。加密过程包括生成随机盐并结合明文密码进行哈希运算,而匹配过程则是重新使用相同算法和盐值加密前端输入的明文,再与存储的密文对比。这种方法确保了即使密码被泄露,也无法直接还原原始密码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SB相关问题

想对SB中的密码进行解密,就去了解了一下怎么解密。

SB中的加密方式,是哈希算法,听说这种算法是不可逆的。

那SB是怎么对密码进行验证的。

百度一下,我就知道

百度出来了两个名词,加密算法和哈希算法。

他们都说加密算法和哈希算法是不同的概念,因为加密算法,可解密,而哈希算法,不可逆。

但是SB就是用哈希算法加密的,所以说,哈希算法是加密算法。没毛病。

actually,加密算法,包罗万象。

加密算法包括哈希算法,对称加密算法,非对称加密算法。

即:

哈希算法是加密算法,但是加密算法不是哈希算法。

严格意义上讲,使用MD5、SHA等算法获取数据摘要值的过程应该称为哈希而不是加密,常用于签名,但是大家习惯用加密来说,也就是加密算法了。

常用的三类算法:

哈希加密:MD5、SHA1、HMAC

对称加密:DES、3DES、AES(加密解密使用同一个密钥)

非对称加密:RSA(私钥加密,公钥解密)

MD5安全性低,说是哈希算法不可逆,但解密也轻轻松松的。

言归正传,搜索了很多SB是怎么解密的,都是纯文字,说的有鼻子有眼的,也不知道是不是在忽悠我,还是直接看源码,比较有安全感。

PasswordEncoder接口

BCryptPasswordEncoder类实现了PasswordEncoder接口,接口里有两个方法,encode用于加密,matches用于匹配验证。

package org.springframework.security.crypto.password;

public interface PasswordEncoder {
    String encode(CharSequence var1);

    boolean matches(CharSequence var1, String var2);

    default boolean upgradeEncoding(String encodedPassword) {
        return false;
    }
}

BCryptPasswordEncoder类实现

endode


// 按照一定规则生成盐,然后执行hashpw(明文,盐)方法。
// 记住这个方法,到匹配校对的时候,还会用到它,第一个参数是前端传入的明文,第二个参数是按照规则生成的盐。
public String encode(CharSequence rawPassword) {
        String salt;
        if (this.strength > 0) {
            if (this.random != null) {
                salt = BCrypt.gensalt(this.strength, this.random);
            } else {
                salt = BCrypt.gensalt(this.strength);
            }
        } else {
            salt = BCrypt.gensalt();
        }

        return BCrypt.hashpw(rawPassword.toString(), salt);
    }



  

// 生成盐
public static String gensalt(int log_rounds, SecureRandom random) {
        if (log_rounds >= 4 && log_rounds <= 31) {
            StringBuilder rs = new StringBuilder();
            byte[] rnd = new byte[16];
            random.nextBytes(rnd);
            rs.append("$2a$");
            if (log_rounds < 10) {
                rs.append("0");
            }
            rs.append(log_rounds);
            rs.append("$");
            encode_base64(rnd, rnd.length, rs);
            return rs.toString();
        } else {
            throw new IllegalArgumentException("Bad number of rounds");
        }
    }

// hashpw(明文,盐)方法中,对salt进行二次加工,生成real_salt,这个是最终的盐,之后生成加密字符串。
public static String hashpw(String password, String salt) throws IllegalArgumentException {
        char minor = 0;
        int off = false;
        StringBuilder rs = new StringBuilder();
        if (salt == null) {
            throw new IllegalArgumentException("salt cannot be null");
        } else {
            int saltLength = salt.length();
            if (saltLength < 28) {
                throw new IllegalArgumentException("Invalid salt");
            } else if (salt.charAt(0) == '$' && salt.charAt(1) == '2') {
                byte off;
                if (salt.charAt(2) == '$') {
                    off = 3;
                } else {
                    minor = salt.charAt(2);
                    if (minor != 'a' || salt.charAt(3) != '$') {
                        throw new IllegalArgumentException("Invalid salt revision");
                    }

                    off = 4;
                }

                if (saltLength - off < 25) {
                    throw new IllegalArgumentException("Invalid salt");
                } else if (salt.charAt(off + 2) > '$') {
                    throw new IllegalArgumentException("Missing salt rounds");
                } else {
                    int rounds = Integer.parseInt(salt.substring(off, off + 2));
                    String real_salt = salt.substring(off + 3, off + 25);

                    byte[] passwordb;
                    try {
                        passwordb = (password + (minor >= 'a' ? "\u0000" : "")).getBytes("UTF-8");
                    } catch (UnsupportedEncodingException var13) {
                        throw new AssertionError("UTF-8 is not supported");
                    }

                    byte[] saltb = decode_base64(real_salt, 16);
                    BCrypt B = new BCrypt();
                    byte[] hashed = B.crypt_raw(passwordb, saltb, rounds);
                    rs.append("$2");
                    if (minor >= 'a') {
                        rs.append(minor);
                    }

                    rs.append("$");
                    if (rounds < 10) {
                        rs.append("0");
                    }

                    rs.append(rounds);
                    rs.append("$");
                    encode_base64(saltb, saltb.length, rs);
                    encode_base64(hashed, bf_crypt_ciphertext.length * 4 - 1, rs);
                    return rs.toString();
                }
            } else {
                throw new IllegalArgumentException("Invalid salt version");
            }
        }
    }

matches

// 匹配时,传入参数:前端传入的明文,数据库中的密文。
// 首先校验密文是否BCrypt加密以及是否为空,之后执行checkpw(明文,密文)方法。
  public boolean matches(CharSequence rawPassword, String encodedPassword) {
        if (encodedPassword != null && encodedPassword.length() != 0) {
            if (!this.BCRYPT_PATTERN.matcher(encodedPassword).matches()) {
                this.logger.warn("Encoded password does not look like BCrypt");
                return false;
            } else {
                return BCrypt.checkpw(rawPassword.toString(), encodedPassword);
            }
        } else {
            this.logger.warn("Empty encoded password");
            return false;
        }
    }

// 执行equalsNoEarlyReturn(数据库中密文,hashpw(前端明文,数据库中密文))方法。
// 上边已经说过,hashpw()方法是最终获取加密字符串的。
// 就很清楚了,SB匹配逻辑,是将前端明文加密(采用同样的算法规则,同样的盐),然后与数据库中密文进行比较验证。
// hashpw(明文,盐),可以看到第二个参数是盐耶,可是匹配的时候,数据库中的密文是作为第二个参数(盐)传进去的。
// 所以可以得到我们库中的加密字符串中是存在盐的,这样匹配验证的时候,从加密字符串(salt)中获取到最终盐(real_salt),然后再对前端传入明文加密验证比对。
    public static boolean checkpw(String plaintext, String hashed) {
        return equalsNoEarlyReturn(hashed, hashpw(plaintext, hashed));
    }

    static boolean equalsNoEarlyReturn(String a, String b) {
        char[] caa = a.toCharArray();
        char[] cab = b.toCharArray();
        if (caa.length != cab.length) {
            return false;
        } else {
            byte ret = 0;

            for(int i = 0; i < caa.length; ++i) {
                ret = (byte)(ret | caa[i] ^ cab[i]);
            }

            return ret == 0;
        }
    }
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
深入了解后端 Spring Security 的密码加密方式
最新发布
后端开发笔记博客记录
04-14 951
本技术手册旨在为开发人员提供 Spring Security 密码加密机制的完整解决方案,覆盖算法原理、实现细节、安全配置和性能优化等核心领域。适用版本为 Spring Security 6.x+ 和 Spring Boot 3.x+。文档采用理论结合实践的渐进式结构,首先建立密码学基础认知,继而深入算法内核,最后通过完整项目演示生产级实现方案。工作因子(Work Factor):加密算法迭代次数的控制参数彩虹表攻击(Rainbow Table Attack):使用预计算哈希值破解密码的攻击方式。
BCryptPasswordEncoder的使用及原理
码农UP2U
12-04 2万+
在 Spring Security 中有一个加密的类 BCryptPasswordEncoder ,它的使用非常的简单而且也比较有趣。让我们来看看它的使用。 BCryptPasswordEncoder 的使用 首先创建一个 SpringBoot 的项目,在创建项目的时候添加 Spring Security 的依赖。然后我们添加一个测试类,写如下的代码: final private String password = "123456"; @Test public v......
加密算法---BCryptPasswordEncoder的使用及原理
weixin_43811057的博客
02-08 1万+
spring security中的BCryptPasswordEncoder方法采用SHA-256 +随机盐+密钥对密码进行加密。SHA系列是Hash算法,不是加密算法,使用加密算法意味着可以解密(这个与编码/解码一样),但是采用Hash处理,其过程是不可逆的。1)加密(encode):注册用户时,使用SHA-256+随机盐+密钥把用户输入的密码进行hash处理,得到密码的hash值,然后将其存入数据库中。
BcryptPasswordEncoder加密过程
weixin_45486992的博客
03-08 475
通常为了使用户密码存储更安全,会在数据库存储加密后的密码,在SpringSecurity中常使用BcryptPasswordEncoder加密算法
SpringSecurity——BCryptPasswordEncoder加密和对密码验证的原理
HD243608836的博客
04-21 3743
BCryptPasswordEncoder使用哈希算法+随机盐来对字符串加密。因为哈希是一种不可逆算法,所以密码认证时需要使用相同的算法+盐值来对待校验的明文进行加密,然后比较这两个密文来进行验证。BCryptPasswordEncoder加密时通过从传入的salt中获取real_salt用来加密,保证了这一点。
BCryptPasswordEncoder加密原理
qq_37550867的博客
04-09 906
BCryptPasswordEncoder是如何进行加密和校验的
BCryptPasswordEncoder原理分析
weixin_42324471的博客
03-01 2041
首先我们需要知道 BCryptPasswordEncoder 类其实是 Spring Security一个加密类 下面我们下来探究下 BCryptPasswordEncoder 我们在SpringBoot中新建一个测试类 @RunWith(SpringRunner.class) public class PasswordEncoderTest { @Test public void encode() { BCryptPasswordEncoder bCryptPasswor
Spring security BCryptPasswordEncoder密码验证原理详解
08-24
在 Spring Security 中,可以使用 BCryptPasswordEncoder 对密码进行加密和验证。例如: @Autowired private BCryptPasswordEncoder passwordEncoder; String password = "mysecretpassword"; String encoded...
Spring security 自定义密码加密方式的使用范例。
09-15
在Spring Security中,默认使用的是BCryptPasswordEncoder或者PBEWithMD5AndDES等加密算法。但为了满足特定需求,我们可以自定义密码编码器。下面是如何实现的步骤: 1. **创建自定义PasswordEncoder**:你需要创建...
【Spring Security系列】Spring Security密码加密
qq_28248897的博客
07-02 2737
密码安全是互联网安全的一个缩影,我们在享受互联网服务的同时,也应当对它投入更多的关注。 1.密码安全的重要性 2011年12月,国内某开发者社区网站被黑客“拖库”,600多万个密码明文存储的用户账号被公开, 大量用户直接面临数据隐私泄露和数据安全的双重威胁。 这次事件为我们敲响了警钟,一旦发生“拖库”,如何尽可能地减少用户的损失,在每一个系统中 都不应被忽略。从开发者的角度而言,可以落实在如何安全存储用户密码上。 ...
spring security的BCryptPasswordEncoder加密和对密码验证的原理
qq_34297563的博客
03-29 2154
一、加密算法和hash算法,很多项目中有些机密的信息需要进行加密来保护用户或者公司的信息安全,这时这些信息会采用加密以密文的形式暴露在外面。加密算法是一种可逆的算法,是通过一定的规则对明文进行各种计算的到的密文从而实现加密的效果。hash算法是不可逆的,常见的MD5加密采用的就是hash的算法进行加密加密算法是可逆的,所以很多情况下加密规则是很重要的,一旦暴露就可以根据规则进行逆推得到明文,所以...
BCryptPasswordEncoder密码校验原理解析
咘噜biu的博客
06-01 3211
BCryptPasswordEncoder加密和密码校验原理解析
BCryptPasswordEncoder加密和匹配的原理springsecurity 的 rememberme原理
乐于分享,共同成长
05-09 1231
只知道这个的用法,心里着实难受,所以看了看底层,简单做下总结。 BCryptPasswordEncoder算法和shiro的区别: 其实和shiro中区别就是shiro 中的salt是自己指定的,然后存到数据库,BCryptPasswordEncoder加密算法是随机生成的和加密后的密码一起拼接到一起存到数据库。 举个我调试的时候的例子: 注册时候调用encode(明文密码) 首先第一次注册的时候,会从后台先获取随机盐VM/wbXrA4UYbITsQKOHNF. 这个每一次的不一定因为随机的。 对明文密码
SpringSecurity中的密码加密算法BCryptPasswordEncoder
y449739776的博客
11-27 1541
BCryptPasswordEncoder spring security中的BCryptPasswordEncoder方法采用SHA-256 +随机盐+密钥对密码进行加密。SHA系列是Hash算法,不是加密算法,使用加密算法意味着可以解密(这个与编码/解码一样),但是采用Hash处理,其过程是不可逆的。 1)加密(encode):注册用户时,使用SHA-256+随机盐+密钥把用户输入的密码进行hash处理,得到密码的hash值,然后将其存入数据库中。 (2)密码匹配(matches):用户登录时,密码
BCryptPasswordEncoder加密
热门推荐
superxmh的博客
07-05 3万+
一. BCryptPasswordEncoder介绍 BCryptPasswordEncoder是Spring Security中的一个加密方法。BCryptPasswordEncoder方法采用了SHA-256+随机盐+密钥对密码进行加密。 SHA:安全Hash函数(SHA)是使用最广泛的Hash函数 加密算法与hash算法的区别: 加密算法是可逆的,加密算法的基本过程是对原来为明文的数据按某种算法进行处理,使其成为不可读的一段代码为“密文”,但在用相应的密钥进行操作之后就可以得到原来的内容。..
BCryptPasswordEncoder加密、验证策略
qq_39009944的博客
02-19 2977
通过查看源码,了解PasswordEncoder加密以及验证密码(数据库存储的加密密码与用户输入的密码比较)的流程、方式。 加密: public String encode(CharSequence rawPassword) { String salt; if (random != null) { salt = BCrypt.gensalt(version.getVersion(),...
PasswordEncoder原理
0
01-30 1380
Hash算法特别的地方在于它是一种单向算法,用户可以通过hash算法对某个数据生成一段特定长度的唯一hash值,却不能通过这个hash值逆向获取原始数据。因此Hash算法常用在不可还原的密码存储、数据完整性校验等领域。BCryptPasswordEncoder 是Spring Security推荐使用的PasswordEncoder接口实现类。(盐的作用就是每次做出来的菜味道都不一样)。PasswordEncoder 是Spring Scurity框架内处理密码加密与校验的接口。
Spring Security权限系统快速上手指南
Spring Security是Java平台中一个强大的、可高度定制的身份验证和访问控制框架,它最初是为Spring项目提供安全服务的框架。为了帮助理解Spring Security的基本概念和配置方法,下面将详细阐述标题和描述中所涉及的...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值