Spring Security BCryptPasswordEncoder 密码加盐

这篇具有很好参考价值的文章主要介绍了Spring Security BCryptPasswordEncoder 密码加盐。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Spring Security BCryptPasswordEncoder 密码加盐

引入spring-boot-starter-security 的Jar包

  •     <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
    

使用 BCryptPasswordEncoder 对密码加盐加密

  • 测试类

    •         //region Description
              BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
              for (int i = 0; i < 10; i++) {
                  String admin = bCryptPasswordEncoder.encode("admin");
                  System.out.println(admin);
              }
              // 从上面的输出中随便拿一个
              System.out.println(bCryptPasswordEncoder.matches("admin",    "$2a$10$U96JT2Wzq/0w1D9XBUsXQ.s7AHgruQayc3ay2oqYkGJyJb1vZyJ0i"));
              //endregion
      
  • 上面的运行结果

    • $2a$10$w2/bCNOlrFxx.2.JP62AC.GtCGWVHuSPqqA27tcR1DxseKRebiU2G
      $2a$10$U96JT2Wzq/0w1D9XBUsXQ.s7AHgruQayc3ay2oqYkGJyJb1vZyJ0i
      $2a$10$lJTuTYwNxIecuqlvrVGmQODghl1hAOQ7RiQX5n0nAzUm/GJWo8JyW
      $2a$10$sQw2UP2PTajRgCcUTl/v8OdUrV7rCMHDpfEDDJnFHcZDTDbiDpHIO
      $2a$10$ZxBi1IS9HFA/eu/eYI.MueNT7.6FtvYWQ2SmGgIBD/Ilunj/I/oCa
      $2a$10$eIJXe5.HdLPADm5dNt2OZuHDU0Ah3pGAQJGYA5Xygzsg.TnyX0K3m
      $2a$10$bc.cR8suk4F78sxlwNyYn.wxpXBxxTIEhqzmY17F6dcPT7w72Hry2
      $2a$10$vSTY.wb3RXovBvm43KUUHucQiStV2CfQySh6LkgMztOPcIYjz2Whm
      $2a$10$/ruK9/xObSI3ogMC6ozGDeTv3SEkVuMRcqBvx6M79fiMasdMPoqwe
      $2a$10$ueyHKn/h2dyixZ2Gr7d3feXYMZvJTOXGSZFx7n/c/ROSdBf1RhfA2
      true
      
  • 可以发现对密码加密, 每次都是不一样的密文, 但是任意的一个结果密文和原文match , 得到的都是true, 这到底是是怎么回事尼?

    • 先说结论

      • BCryptPasswordEncoder的 encode 方法对 原文加密, 是会产生随机数的 盐 salt, 所以每次加密得到的密文都是不同的

      • 那么每次不同, 如何实现可以比较出原文 和密文是否相匹配尼, 重点就是在密文里面包含了随机生成的 salt, 加密和解密都是调用的一样的方法。 所以可以比较出来

      • 就拿上面生成的密文来说吧: $2a$10$ueyHKn/h2dyixZ2Gr7d3feXYMZvJTOXGSZFx7n/c/ROSdBf1RhfA2
        通过debug, 可以发现他的 salt 为$2a$10$ueyHKn/h2dyixZ2Gr7d3fe
        real_salt 为 ueyHKn/h2dyixZ2Gr7d3fe
        而 密文为 $2a$10$ueyHKn/h2dyixZ2Gr7d3feXYMZvJTOXGSZFx7n/c/ROSdBf1RhfA2  
        可以发现密文里面其实包含了盐
        我们知道 密文是由 原文 和 盐 根据算法生成的。 
        那么我们现在知道了密文, 也就是说知道了盐, 也知道了原文。 用这个原文和 盐在生成一次密文, 如果这个得出的密文等于比较的密文, 那么说明这个密文就是这个原文生成的
        
    • 跟着源码看一下

      • 加密实现

        • 	public String encode(CharSequence rawPassword) {
          		String salt;
                  // 生成随机数盐
          		if (random != null) {
          			salt = BCrypt.gensalt(version.getVersion(), strength, random);
          		} else {
          			salt = BCrypt.gensalt(version.getVersion(), strength);
          		}
                  // 根据 随机数盐 和原文, 生成密文
          		return BCrypt.hashpw(rawPassword.toString(), salt);
          	}
          
        • 	public static String hashpw(byte passwordb[], String salt) {
          ......
              .......
              // 对随机数盐做一些处理, 得到真正的盐, (前面的规则不用理会, 一些特定的分隔符而已)
              
          		real_salt = salt.substring(off + 3, off + 25);
          		saltb = decode_base64(real_salt, BCRYPT_SALT_LEN);
          
          		if (minor >= 'a') // add null terminator
          			passwordb = Arrays.copyOf(passwordb, passwordb.length + 1);
          
          		B = new BCrypt();
          		hashed = B.crypt_raw(passwordb, saltb, rounds, minor == 'x', minor == 'a' ? 0x10000 : 0);
          
          		rs.append("$2");
          		if (minor >= 'a')
          			rs.append(minor);
          		rs.append("$");
          		if (rounds < 10)
          			rs.append("0");
          		rs.append(rounds);
          		rs.append("$");
          		encode_base64(saltb, saltb.length, rs);
          		encode_base64(hashed, bf_crypt_ciphertext.length * 4 - 1, rs);
                  // 最终的密文
          		return rs.toString();
          	}
          
      • match 实现

        • 	public boolean matches(CharSequence rawPassword, String encodedPassword) {
          		if (encodedPassword == null || encodedPassword.length() == 0) {
          			logger.warn("Empty encoded password");
          			return false;
          		}
          
          		if (!BCRYPT_PATTERN.matcher(encodedPassword).matches()) {
          			logger.warn("Encoded password does not look like BCrypt");
          			return false;
          		}
          
          		return BCrypt.checkpw(rawPassword.toString(), encodedPassword);
          	}
          
        • 	public static boolean checkpw(String plaintext, String hashed) {
          		return equalsNoEarlyReturn(hashed, hashpw(plaintext, hashed));
          	}
          
          	static boolean equalsNoEarlyReturn(String a, String b) {
          		return MessageDigest.isEqual(a.getBytes(StandardCharsets.UTF_8), b.getBytes(StandardCharsets.UTF_8));
          	}
          
        • 可以发现, encode , 和 match 都是通过一样的方式生成密文, 都是通过 hashpw(原文, 盐)。 match 多了一个equal 比较方法文章来源地址https://www.toymoban.com/news/detail-510347.html

到了这里,关于Spring Security BCryptPasswordEncoder 密码加盐的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Spring Security自定义登陆界面和密码验证逻辑

    目录 1添加maven依赖 2创建配置文件处理跳转拦截等功能以及密码比对功能 3创建userservice 4自定义登陆界面login.html 上面的UserDateService 中我们固定返回一个用户名密码为admin        123的user类 然后security的configure(AuthenticationManagerBuilder auth)进行密码对比,注意这里只是比较密码

    2024年02月13日
    浏览(42)
  • 系列三、Spring Security中自定义用户名/密码

    1.1.1、配置文件中配置 1.1.2、定义基于内存的用户 1.1.3、基于UserDetailService接口定义用户 概述:         Spring Security支持多种数据源,例如内存、数据库、LDAP等,这些不同来源的数据被共同封装成了UserDetailService接口,换句话说任何实现了UserDetailService接口的对象都可以作为

    2024年01月19日
    浏览(32)
  • 新版Spring Security6.2案例 - Authentication用户名密码

    前面有翻译了新版Spring Security6.2架构,包括总体架构,Authentication和Authorization,感兴趣可以直接点链接,这篇翻译官网给出的关于Authentication的Username/Password这页。 首先呢,官网就直接给出了基于用户名和密码的认证的代码,可以说是spring security的一个入门小案例,表单登录

    2024年02月20日
    浏览(39)
  • 【Spring Security】认证&密码加密&Token令牌&CSRF的使用详解

    🎉🎉欢迎来到我的CSDN主页!🎉🎉 🏅我是Java方文山,一个在CSDN分享笔记的博主。📚📚 🌟推荐给大家我的专栏《Spring Security》。🎯🎯 👉点击这里,就可以查看我的主页啦!👇👇 Java方文山的个人主页 🎁如果感觉还不错的话请给我点赞吧!🎁🎁 💖期待你的加入,一

    2024年02月04日
    浏览(43)
  • Spring-Security+OAuth2+redis实现密码登录

    一、OAuth2认证模式         一共四种认证方式,授权码模式、密码模式、简化模式和客户端模式。实现单点登录,比较流行的方法是使用jwt方式,jwt是无状态的,其本身就能携带信息,因此服务端可以不用保存他的信息,但只要token不过期,用户就可以一直访问,这样就无

    2024年02月16日
    浏览(33)
  • 密码加盐原理及其实现

    目录 1. 背景介绍 2. MD5加密算法 2.1 MD5算法的介绍 2.2 MD5算法的缺点  3. 加盐算法 3.1 什么是加盐算法 3.2 加盐算法的演示 4. 总结 加密密码是现代计算机系统中非常重要的一环,其 主要目的是保护用户的隐私和数据安全 。在不加密密码的情况下, 用户的账户和密码等信息会以

    2024年02月14日
    浏览(33)
  • 密码加密——加盐算法(两种方式)

    密码安全是一件很重要的事情,所以一定要谨慎对待 常见的主要是3种方式 明文 MD5加密 加盐算法 首先明文肯定是不可取的,在数据库中明文存储密码风险实在是太大了 简单来说,使用MD5就是将一串字符串通过某特定的算法来将其变成另一种形式,这样子就在外观上起到了加

    2023年04月12日
    浏览(33)
  • 密码如何“加盐加密”处理?程序员一定要掌握的知识

    目录 前言 一、手写加盐算法 1.1、加密 1.1.1、加密思路 1.1.2、加密简图 1.1.3、代码实现 1.2、解密 1.2.1、解密思路 1.2.2、解密代码 1.3、验证 二、使用 Spring Security 框架实现加盐算法 为什么要使用加盐的方式对密码进行加密?我们知道传统的 md5 加密方式是可以通过 “彩虹表”

    2024年02月16日
    浏览(50)
  • Java使用MD5加盐对密码进行加密处理,附注册和登录加密解密处理

    在开发的时候,有一些敏感信息是不能直接通过明白直接保存到数据库的。最经典的就是密码了。如果直接把密码以明文的形式入库,不仅会泄露用户的隐私,对系统也是极其的不厉,这样做是非常危险的。 那么我们就需要对这些铭文进行加密。 现在市场是加密的方式已经

    2024年02月02日
    浏览(41)
  • 34、商城系统(十五):认证服务,短信验证码,密码加盐,OAuth2.0社交登录,SpringSession认证功能,单点登录

    目录 一、新建认证服务 1.后端项目启动 2.前端页面复制 3.配置域名 4.配置gateway

    2024年02月19日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包