springsecurity更换加密方式

原创 已于 2025-12-04 13:59:54 修改 · 994 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring

于 2025-12-03 14:30:00 首次发布

目录


随着现在对软件系统安全性要求的越来越严苛,对于很多项目,升级密码都是势在必行的,若项目使用Spring Security框架,只需稍作修改,便可达到更换加密方式,且自动更新存量数据的密码加密放肆。在Spring Security中更换密码加密方式,通常涉及迁移旧有用户密码并配置新的加密策略。以下是完整步骤和示例代码:

1. 理解Spring Security的加密接口

核心接口是PasswordEncoder,常用实现类:

  • BCryptPasswordEncoder (推荐)
  • SCryptPasswordEncoder
  • Pbkdf2PasswordEncoder
  • Argon2PasswordEncoder
  • NoOpPasswordEncoder (明文,仅测试用)

2. 迁移方案(新旧密码共存)

使用DelegatingPasswordEncoderDelegatingPasswordEncoder 是 Spring Security 中用于密码加密的核心组件,主要用于代理多种加密策略,兼容旧密码格式并支持升级加密方式,支持多种加密格式自动适配:

先来看DelegatingPasswordEncoder的构造方法:

public DelegatingPasswordEncoder(String idForEncode, Map<String, PasswordEncoder> idToPasswordEncoder) {
        if (idForEncode == null) {
            throw new IllegalArgumentException("idForEncode cannot be null");
        } else if (!idToPasswordEncoder.containsKey(idForEncode)) {
            throw new IllegalArgumentException("idForEncode " + idForEncode + "is not found in idToPasswordEncoder " + idToPasswordEncoder);
        } else {
            for(String id : idToPasswordEncoder.keySet()) {
                if (id != null) {
                    if (id.contains("{")) {
                        throw new IllegalArgumentException("id " + id + " cannot contain " + "{");
                    }

                    if (id.contains("}")) {
                        throw new IllegalArgumentException("id " + id + " cannot contain " + "}");
                    }
                }
            }

            this.idForEncode = idForEncode;
            this.passwordEncoderForEncode = (PasswordEncoder)idToPasswordEncoder.get(idForEncode);
            this.idToPasswordEncoder = new HashMap(idToPasswordEncoder);
        }
    }

其中参数idForEncode决定了密码编码器的类型,而idToPasswordEncoder决定了匹配密码时的兼容的密码编码器的类型,且idToPasswordEncoder中必须包含idForEncode,否则新密码加密后将无法匹配。

查看DelegatingPasswordEncoder类的类图可知,DelegatingPasswordEncoder类是PasswordEncoder的实现类。

在这里插入图片描述

根据DelegatingPasswordEncoder的构造器,定义PasswordEncoder密码编码器:

@Bean
public PasswordEncoder passwordEncoder() {
    String idForEncode = "bcrypt"; // 默认使用BCrypt
    Map<String, PasswordEncoder> idToPasswordEncoder = new HashMap<>();
    idToPasswordEncoder.put(idForEncode, new BCryptPasswordEncoder());
    idToPasswordEncoder.put("sha256", new MessageDigestPasswordEncoder("SHA-256")); // 旧系统加密方式
    
    return new DelegatingPasswordEncoder(idForEncode, idToPasswordEncoder);
}

3. 密码存储格式要求

认证时根据前缀匹配加密器:

存储格式示例:
{bcrypt}$2a$10$dXJ3SW6G7P50lGmMkkmwe.20cQQubK3.HZWzG3YB1tlRy.fqvM/BG 
{sha256}5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

4. 数据库密码迁移脚本

-- 将旧密码加前缀
UPDATE t_user SET password = CONCAT('{sha256}', password) 
WHERE password NOT LIKE '{_}%';

5. 安全配置示例

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.jdbcAuthentication()
            .dataSource(dataSource)
            .passwordEncoder(passwordEncoder())
            .usersByUsernameQuery("SELECT username, password, enabled FROM users WHERE username=?")
            .authoritiesByUsernameQuery("SELECT username, authority FROM authorities WHERE username=?");
    }
    
    @Bean
    public PasswordEncoder passwordEncoder() {
        // 委托式编码器配置
        String idForEncode = "bcrypt"; // 默认使用BCrypt
        Map<String, PasswordEncoder> idToPasswordEncoder = new HashMap<>();
        idToPasswordEncoder.put(idForEncode, new BCryptPasswordEncoder());
        idToPasswordEncoder.put("sha256", new MessageDigestPasswordEncoder("SHA-256")); // 旧系统加密方式

        return new DelegatingPasswordEncoder(idForEncode, idToPasswordEncoder);
    }
}

6. 密码自动升级策略(可选)

密码自动升级策略,适用于用户登录时自动更新密码格式,需要自定义PasswordEncoder的实现类,并在第5点安全配置中使用,可参照BCryptPasswordEncoder进行实现。

public class AutoUpgradePasswordEncoder implements PasswordEncoder {
    
    private final PasswordEncoder currentEncoder;
    private final PasswordEncoder newEncoder;
    
    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        if (currentEncoder.matches(rawPassword, encodedPassword)) {
            // 匹配成功且是旧编码时,触发密码升级
            if (encodedPassword.startsWith("{sha256}")) {
                String newPass = newEncoder.encode(rawPassword);
                // 调用DAO更新数据库密码...
            }
            return true;
        }
        return newEncoder.matches(rawPassword, encodedPassword);
    }
    
    // encode()方法需实现...
}

7. 注意事项

  1. 前缀不可省略{id}encodedPassword格式是识别关键
  2. 加密强度
    // 调整BCrypt强度 (默认10)
new BCryptPasswordEncoder(12)
  3. 禁用弱加密:避免使用MD5/SHA-1等已被破解的算法
  4. 密码迁移:在系统低负载时段执行数据库更新
  5. 测试策略:保留旧密码的用户测试账号

8. 最佳实践

  1. 主推算法:BCrypt(自适应强度抗GPU破解)

  2. 过渡方案

    SHA-256/MD5
    匹配成功
    旧系统
    DelegatingPasswordEncoder
    密码验证
    升级为BCrypt存储

  3. 安全规范

    • 密码强度要求:至少10位(字母+数字+特殊字符)
    • 定期轮换:每90天提示修改密码(配合密码历史策略)

9.总结

Spring Security项目的密码升级主要是通过配置PasswordEncoder进行实现,但需要注意需要进行密码的迁移(旧密码添加前缀)。

- 密码强度要求:至少10位(字母+数字+特殊字符)
- 定期轮换:每90天提示修改密码(配合密码历史策略)

通过上述设计,系统可以同时支持新旧用户认证,并逐步将旧密码升级到更安全的加密方式,整个过程对用户几乎无感知。

Spring Security 详解
wynn的博客
08-10 2266
Spring Security是一个高度自定义的安全框架。利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。使用Spring Secruity的原因有很多,但大部分都是发现了javaEE的Servlet规范或EJB规范中的安全功能缺乏典型企业应用场景。同时认识到他们在WAR或EAR级别无法移植。因此如果你更换服务器环境,还有大量工作去重新配置你的应用程序。
SpringSecurity配置MD5加密方式
黄团团的个人博客
03-06 800
SpringSecurity默认提供的加密类型是强散列哈希加密实现:BCryptPasswordEncoder,在实际开发中需要配置自定义的加密方式
SpringSecurity学习笔记(四)——更改SpringSecurity加密方式
热门推荐
东天里的冬天
07-03 1万+
在前面几篇博客中我们了解了如何自定义界面以及如何访问数据库中的用户并验证权限等,那么在验证用户以及密码是否正确时,SpringSecurity是如何做的呢?如果想更改SpringSecurity加密方式又该怎么做呢? SpringSecurity验证密码正确主要是MessageDigestPasswordEncoder这个类在做,其中isPasswordValid方法便是验证密码是否正确,与传
修改Spring Security默认解密方式(使用AES加密替换)
lxl的博客
02-24 6627
AES工具类 package com.house.common.utils; import com.house.common.exception.UtilException; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.factory.annotation.Value; import org.springframework.security.crypto.password
Spring Security(五)密码加密与更新密码
weixin_43189971的博客
07-18 2723
密码加密 方法1.securityconfig中加入代理方法passwordEncoder 方法2.数据库中加入前缀 密码的自动更新: 步骤1.前置需要代理方法 步骤2.实现service继承类UserDetailsPasswordService 步骤3.覆写更新密码的方法updatePassword...
Spring Security(三) —— 加密系统
eyes++的博客
07-24 2410
一般来说,即使SpringSecurity提供的加密算法很安全,但我们仍然有自己定义加密算法的需求,此时我们就需要自定义PasswordEncoder的实现类了在WebSecurityConfigurerAdapter中有这样两个静态内部类和/***构造方法,默认创建一个defaultPasswordEncoder*而defaultPasswordEncoder是由LazyPasswordEncoder设置的,可以往下看通过源码可以知道,默认的passwordEncoder是通过。...
SpringSecurity自定义数据库认证和密码加密
2301_76385684的博客
06-10 1467
自定义数据库登录认证流程,基于过滤器的底层流程分析,和密码加密
Spring Security】认证&密码加密&Token令牌&CSRF的使用详解
万维网连五洲,二进制写尽天下事,喜欢结识新伙伴寻找志同道合的朋友,欢迎一起探讨学习
12-21 6654
我们都知道Spring Security是做认证的,那它到底是怎么认证的呢?它是怎么将明文密码加密的呢?Token令牌的使用与CSRF跨域请求伪造是什么等等我们都不知道,但是通过这篇文章我相信你会有所了解有所收获!!!创建自定义MD5加密类并实现@Override//对密码进行 md5 加密​@Override// 通过md5校验修改@Bean// 自定义MD5加密方式:数据库中的用户密码也需要更换成对应自定义MD5//MD5自定义加密方式:最后,将生成的MD5。
springboot 用springsecurity来登录,重写密码加密用md5的加密方法
飞火龙在天的博客
05-29 7183
修改WebSecurityConfig.java 文件只需要修改 configure(AuthenticationManagerBuilder auth) 方法 @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetails...
Spring Security-用户密码自定义国密SM2加密
weixin_34032792的博客
01-17 3470
为什么80%的码农都做不了架构师?>>> ...
【第3期】Springboot集成SpringSecurity+RSA+ECS免密登录
因为热爱,所以付出
12-16 2192
本期要点: 1. 如何生成RSA公钥文件和私钥文件 2. 获取公钥文件和私钥文件转换成JDK的密钥文件对象 3. 简单的验证加密和解密 4. 与Springboot、SpringSecurity如何集成 5. 集成后验证用户注册的加密存储 6. 集成后验证用户登录的解密验证 7. 实现ECS的免密登录
Spring Boot AOP (六)架构落地与最佳实践
Java、Python、AI、前沿技术等领域的技术总结和经验分享。
12-29 2917
摘要: 本文详细介绍了Spring Boot AOP在企业级项目中的架构落地与最佳实践。通过分析切面分层设计、顺序控制和性能优化等关键点,文章展示了如何构建统一治理横切关注点的核心架构。重点内容包括方法调用链的完整流程(日志、事务、限流、异常处理、性能监控)、切面组合策略(@Order控制执行顺序)以及高级实战示例。文章强调切面单一职责、异常安全和可组合性等设计原则,为企业级AOP应用提供了清晰的技术路线图。
java入门到放弃】网络
WZDBXHNL的博客
12-28 1261
防火墙既可以是硬件,也可以是软件,本质上是一种,而不是只能对应某一种形态。
【线程池 + Socket 服务器】
最新发布
2401_86718044的博客
01-01 614
通过线程池 + Socket 的组合,我们可以轻松构建高并发、可扩展的网络服务器。Flush 机制看似小细节,却直接影响数据是否及时、正确到达客户端。掌握自动与手动两种方式,就能应对从简单聊天到文件上传的各种场景。这两个示例代码都已经过完整测试,直接复制运行即可。欢迎在评论区分享你的实践经验,或者提出想看的进阶话题(如 NIO、非阻塞、HTTP 协议解析)
抽象类和接口的区别
tryxr的博客
12-27 1236
本文对比了Java中接口(Interface)与抽象类(AbstractClass)的8个核心区别。主要差异包括:抽象类使用abstract class定义,支持单继承,可包含实例字段和构造器,体现"is-a"关系;接口使用interface定义,允许多实现,仅包含常量,体现"can-do"能力。抽象类适合共享代码和状态,接口适合定义跨类能力。建议优先使用接口定义能力,仅在需要共享状态或实现模板方法时使用抽象类,并考虑组合优于继承。二者可结合使用,如Shape抽象类实
blob是啥
wniuniu_的博客
12-28 946
Onode: 代表一个 Ceph 对象(如Extent: 逻辑段,表示对象内某个偏移量(Offset)到长度(Length)的区间。Blob物理存储单元的抽象。它代表磁盘上的一组块,是 BlueStore 执行**压缩(Compression)和校验(Checksum)**的最小独立边界。简单类比:如果 Onode 是“一本书”,Extent 是“书页的页码”,那么Blob 就是“装订在一起的一叠纸”。这叠纸不仅存了文字(数据),边缘还盖了防伪印章(Checksum)。你说得对,
Linux进程通信---3---System V 共享内存
我的博客主要是用来给我自己复习的,主要是上传一些知识点,小型的项目和功能模块,如果有什么问题或错误麻烦联系我!
12-30 1392
System V 共享内存是性能最高的 IPC 机制,核心是 “内核物理内存映射到进程虚拟地址空间”,实现零拷贝数据共享;ftok()生成键值 →shmget()创建 / 获取段 →shmat()映射到进程空间 → 读写数据 →shmdt()解除映射 →删除段;关键要点:必须配合信号量 / 互斥锁实现同步,避免竞态条件;内存大小按页对齐,按需申请避免浪费;用完必须调用,防止内核资源泄漏;现代开发中,POSIX 共享内存(shm_openmmap。
全局异常处理器(Global Exception Handler)
u010448530的博客
12-31 423
/ 统一返回结构// getter/setter 省略// getter优势说明✅ 统一错误格式前端无需处理各种异常结构✅ 解耦业务逻辑Controller 只关注业务,不写 try-catch✅ 提升可维护性异常处理集中管理✅ 增强安全性避免敏感信息泄露通过全局异常处理器,你的 Spring Boot 应用将具备更专业、稳定的 API 行为。建议结合自定义异常 + 参数校验 + 日志监控构建完整异常体系。
SpringSecurity3.0入门与核心概念解析
除了基本的认证和授权功能,Spring Security 还涵盖了其他安全相关的特性,如会话管理(防止会话固定攻击和会话劫持)、CSRF防护、密码加密存储、以及基于URL、方法级别或细粒度对象级别的访问控制。它还可以与其他...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值