spring security 如何对密码进行加密

有的时候博客内容会有变动,首发博客是最新的,其他博客地址可能会未同步, 认准 https://blog.zysicyj.top

全网最细面试题手册,支持艾宾浩斯记忆法。这是一份最全面、最详细、最高质量的 java 面试题,不建议你死记硬背,只要每天复习一遍,有个大概印象就行了。https://store.amazingmemo.com/chapterDetail/1685324709017001`

Spring Security 密码加密

Spring Security 提供了多种密码加密方式,来保护应用程序中用户的密码。以下是通过PasswordEncoder 接口来对密码进行加密的常用方法。

BCryptPasswordEncoder

BCryptPasswordEncoder使用 BCrypt 强散列方法存储密码。BCrypt 是根据 Blowfish 密码算法实现的,它可以自动生成盐(salt)来与密码结合,增加破解难度。

基本配置

1
2
3
4
5
6
7
8
import org.springframework.context.annotation.Bean;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

使用 @Bean 修饰 passwordEncoder 方法,可以在 Spring 容器中注册一个 PasswordEncoder 的 bean 实例,并使用 BCryptPasswordEncoder 作为实现。

密码加密

1
2
3
4
5
6
7
@Autowired
private PasswordEncoder passwordEncoder;

public void createUserAccount(String username, String rawPassword) {
    String encodedPassword = passwordEncoder.encode(rawPassword);
    // 存储用户名和加密后的密码到数据库等
}

当创建用户账号时,你需要先对原始密码进行加密,然后将加密后的结果存储起来。

配置 Spring Security 使用 PasswordEncoder

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
            .passwordEncoder(passwordEncoder)
            .withUser("user")
            .password(passwordEncoder.encode("password"))
            .roles("USER");
    }
}

WebSecurityConfig 配置类中,你需要确保 Spring Security 使用你配置的PasswordEncoder

其他 PasswordEncoder 实现

Spring Security 还提供了其他几种 PasswordEncoder 的实现,包括:

  • NoOpPasswordEncoder:它不对密码进行任何操作,即明文存储,不建议使用。
  • Pbkdf2PasswordEncoder:使用 PBKDF2 算法加密。
  • SCryptPasswordEncoder:使用 scrypt 散列算法。
  • StandardPasswordEncoder:使用 SHA-256 散列算法。

结论

通过使用 Spring Security 中的 PasswordEncoder,你可以有效地提高应用程序中密码的安全性。BCryptPasswordEncoder 是一个广泛使用并且被认为非常安全的选项。在实现时,PasswordEncoder提供了一个标准方式,使得应用可以轻松地更改所使用的具体密码编码策略。