探索密码校验技术:Spring Security中的多种加密方式

GP00712024-06-27 19:10

探索密码校验技术:Spring Security中的多种加密方式

在Web应用中,密码的安全存储和验证是至关重要的。本文将通过一个具体的代码示例,介绍和总结如何在Spring Security中使用多种加密方式进行密码校验。我们将重点讲解BCrypt和MD5两种加密方式,以及如何使用代理类来统一管理这些加密方式。

示例代码

以下是我们将分析的核心代码段:

java 复制代码 
package com.example;

import org.apache.commons.codec.digest.DigestUtils;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.DelegatingPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

import java.util.HashMap;
import java.util.Map;

public class PasswordCheckExample {

  /**
   * 代理类
   */
  private static final PasswordEncoder PASSWORDENCODER;

  static {
    String defaultEncodeId = "bcrypt";
    PasswordEncoder md5 = new DigestMD5PasswordEncoder();

    Map<String, PasswordEncoder> encoders = new HashMap<>();
    encoders.put(defaultEncodeId, new BCryptPasswordEncoder());
    encoders.put("MD5", md5);

    DelegatingPasswordEncoder passwordEncoder = new DelegatingPasswordEncoder(defaultEncodeId, encoders);
    passwordEncoder.setDefaultPasswordEncoderForMatches(md5);

    PASSWORDENCODER = passwordEncoder;
  }

  public static void main(String[] args) {
    // 用户输入的明文密码
    String rawPassword = "123123";

    // 从数据库中读取的已加密的密码
    String encodedPassword = "{bcrypt}$2a$10$S9DHL4DrdO/zhJPM34lm..5CChFbmLThSPdOqweyVh6LLQG73ZeNa"; // 示例密文

    // 验证密码,返回 true 表示匹配,false 表示不匹配
    boolean matches = PASSWORDENCODER.matches(rawPassword, encodedPassword);
    System.out.println("密码匹配结果: " + matches);
  }

  /**
   * PasswordEncoder - MD5
   */
  private static class DigestMD5PasswordEncoder implements PasswordEncoder {

    @Override
    public String encode(CharSequence rawPassword) {
      return DigestUtils.md5Hex((String) rawPassword);
    }

    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
      return encodedPassword.equals(encode(rawPassword));
    }
  }
}
主要技术解析

  1. BCryptPasswordEncoder

    • Spring Security 提供的强加密算法。
    • 通过 new BCryptPasswordEncoder() 创建实例,用于密码加密和验证。
    • 优点:安全性高,包含盐值(salt),防止彩虹表攻击。

  2. DigestUtils.md5Hex

    • Apache Commons Codec 提供的MD5加密工具。
    • DigestUtils.md5Hex(String) 用于将明文密码转换为MD5加密后的字符串。
    • 优点:加密速度快;缺点:安全性相对较低,不包含盐值,容易受到彩虹表攻击。

  3. DelegatingPasswordEncoder

    • Spring Security 提供的代理类,用于支持多种密码加密方式。
    • 通过 new DelegatingPasswordEncoder(defaultEncodeId, encoders) 创建实例。
    • 可以设置默认的加密方式以及其他可选的加密方式。
示例代码解析

  1. 定义代理类

    java 复制代码 
    private static final PasswordEncoder PASSWORDENCODER;
static {
  String defaultEncodeId = "bcrypt";
  PasswordEncoder md5 = new DigestMD5PasswordEncoder();

  Map<String, PasswordEncoder> encoders = new HashMap<>();
  encoders.put(defaultEncodeId, new BCryptPasswordEncoder());
  encoders.put("MD5", md5);

  DelegatingPasswordEncoder passwordEncoder = new DelegatingPasswordEncoder(defaultEncodeId, encoders);
  passwordEncoder.setDefaultPasswordEncoderForMatches(md5);

  PASSWORDENCODER = passwordEncoder;
}
    • 定义一个静态的 PASSWORDENCODER 变量,用于统一管理密码的加密和验证。
    • 创建 BCryptPasswordEncoder 和自定义的 DigestMD5PasswordEncoder 实例。
    • 使用 DelegatingPasswordEncoder 代理类,将上述两种加密方式进行统一管理,并设置默认的加密方式为 BCrypt。
      好的,我们继续。

验证密码

java 复制代码 
     String encodedPassword = "{bcrypt}$2a$10$S9DHL4DrdO/zhJPM34lm..5CChFbmLThSPdOqweyVh6LLQG73ZeNa"; // 示例密文

     boolean matches = PASSWORDENCODER.matches(rawPassword, encodedPassword);
     System.out.println("密码匹配结果: " + matches);
   }
  • rawPassword 是用户输入的明文密码。
  • encodedPassword 是从数据库中读取的已加密的密码,格式为 {bcrypt}密文,其中 {bcrypt} 标识了使用的是 BCrypt 算法。
  • 使用 PASSWORDENCODER.matches(rawPassword, encodedPassword) 方法来验证用户输入的密码是否与数据库中的加密密码匹配。

自定义MD5加密类

java 复制代码 
  private static class DigestMD5PasswordEncoder implements PasswordEncoder {

    @Override
    public String encode(CharSequence rawPassword) {
      return DigestUtils.md5Hex((String) rawPassword);
    }

    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
      return encodedPassword.equals(encode(rawPassword));
    }
  }
  • 自定义的 DigestMD5PasswordEncoder 实现了 PasswordEncoder 接口。
  • encode 方法用于将明文密码转换为 MD5 加密后的字符串。
  • matches 方法用于验证输入的明文密码是否与加密后的密码匹配。

总结

通过上面的代码示例,我们了解了如何在Spring Security中使用多种加密方式进行密码校验,并且如何通过 DelegatingPasswordEncoder 代理类统一管理这些加密方式。以下是本文总结的主要技术点:

  1. BCryptPasswordEncoder:提供强加密和高安全性的密码加密方式。
  2. DigestUtils.md5Hex:提供快速但相对不安全的MD5加密方式。
  3. DelegatingPasswordEncoder:Spring Security提供的代理类,可以同时支持多种加密方式,并设置默认的加密方式。
  4. 自定义PasswordEncoder:可以根据需要实现自己的密码加密和验证逻辑。

结语

本文通过一个具体的代码示例,详细介绍了如何在Spring Security中实现多种加密方式的密码校验。如果你对密码加密和验证有更多的需求或问题,建议进一步阅读Spring Security的官方文档,或者参考相关的开源项目。

相关推荐
Theodore_10222 小时前
4 设计模式原则之接口隔离原则
java·开发语言·设计模式·java-ee·接口隔离原则·javaee
冰帝海岸3 小时前
01-spring security认证笔记
java·笔记·spring
世间万物皆对象4 小时前
Spring Boot核心概念:日志管理
java·spring boot·单元测试
没书读了4 小时前
ssm框架-spring-spring声明式事务
java·数据库·spring
小二·4 小时前
java基础面试题笔记(基础篇)
java·笔记·python
开心工作室_kaic5 小时前
ssm161基于web的资源共享平台的共享与开发+jsp(论文+源码)_kaic
java·开发语言·前端
懒洋洋大魔王5 小时前
RocketMQ的使⽤
java·rocketmq·java-rocketmq
武子康5 小时前
Java-06 深入浅出 MyBatis - 一对一模型 SqlMapConfig 与 Mapper 详细讲解测试
java·开发语言·数据仓库·sql·mybatis·springboot·springcloud
qq_17448285755 小时前
springboot基于微信小程序的旧衣回收系统的设计与实现
spring boot·后端·微信小程序
转世成为计算机大神5 小时前
易考八股文之Java中的设计模式?
java·开发语言·设计模式
热门推荐
01(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明02PyTorch机器学习实现液态神经网络03【HarmonyOS】HUAWEI DevEco Studio 下载地址汇总04玄机平台应急响应—webshell查杀05Coze扣子平台完整体验和实践(附国内和国际版对比)06Ubuntu 20.04使用Livox mid 360 测试 FAST_LIO07【目标跟踪】相机运动补偿08Unity中PICO实现 隔空取物 和 接触抓取物体09RAG 实践- Ollama+RagFlow 部署本地知识库10怎样让音频速度变慢?请跟随以下方法进行操作