Spring Security保护用户密码常用方法详解

  • 更新时间:2022-06-10 22:02:42
  • 编辑:扶永年
本站收集了一篇Spring Security相关的编程文章,网友桓听云根据主题投稿了本篇教程内容,涉及到Spring、Security、保护、密码、Spring Security保护密码相关内容,已被100网友关注,相关难点技巧可以阅读下方的电子资料。
《Spring Boot从入门到实战》源代码
《Spring Boot从入门到实战》源代码
  • 大小:4.2 MB
  • 发布人:弘崇芳
  • 下载:Spring Boot

Spring Security保护密码

1. 前言

本节将对 Spring Security 中的密码编码进行一些探讨。

2. 不推荐使用md5

首先md5 不是加密算法,是哈希摘要。以前通常使用其作为密码哈希来保护密码。由于彩虹表的出现,md5 和sha1之类的摘要算法都已经不安全了。如果有不相信的同学 可以到一些解密网站 如 cmd5 网站尝试解密 你会发现 md5 和 sha1 是真的非常容易被破解。

3. Spring Security中的密码算法

ObjectProvider<PasswordEncoder>参数。这里的PasswordEncoder`就是我们对密码进行编码的工具接口。该接口只有两个功能:一个是匹配验证。另一个是密码编码。

上图就是Spring Security 提供的org.springframework.security.crypto.password.PasswordEncoder一些实现,有的已经过时。其中我们注意到一个叫委托密码编码器的实现 。

3.1 委托密码编码器 DelegatingPasswordEncoder

什么是委托(Delegate)?就是甲方交给乙方的活。乙方呢手里又很多的渠道,但是乙方光想赚差价又不想干活。所以乙方根据一些规则又把活委托给了别人,让别人来干。这里的乙方就是DelegatingPasswordEncoder 。该类维护了以下清单:

  • final String idForEncode 通过id来匹配编码器,该id不能是{} 包括的。DelegatingPasswordEncoder 初始化传入,用来提供默认的密码编码器。
  • final PasswordEncoder passwordEncoderForEncode 通过上面idForEncode所匹配到的PasswordEncoder 用来对密码进行编码。
  • final Map&lt;String, PasswordEncoder&gt; idToPasswordEncoder 用来维护多个idForEncode与具体PasswordEncoder的映射关系。DelegatingPasswordEncoder 初始化时装载进去,会在初始化时进行一些规则校验。
  • PasswordEncoder defaultPasswordEncoderForMatches = new UnmappedIdPasswordEncoder() 默认的密码匹配器,上面的Map中都不存在就用它来执行matches方法进行匹配验证。这是一个内部类实现。

DelegatingPasswordEncoder 编码方法:

  @Override
  public String encode(CharSequence rawPassword) {
    return PREFIX + this.idForEncode + SUFFIX + this.passwordEncoderForEncode.encode(rawPassword);
  }

从上面源码可以看出来通过DelegatingPasswordEncoder 编码后的密码是遵循一定的规则的,遵循{idForEncode}encodePassword 。也就是前缀{} 包含了编码的方式再拼接上该方式编码后的密码串。

DelegatingPasswordEncoder 密码匹配方法:

  @Override
  public boolean matches(CharSequence rawPassword, String prefixEncodedPassword) {
    if (rawPassword == null && prefixEncodedPassword == null) {
      return true;
    }
    String id = extractId(prefixEncodedPassword);
    PasswordEncoder delegate = this.idToPasswordEncoder.get(id);
    if (delegate == null) {
      return this.defaultPasswordEncoderForMatches
        .matches(rawPassword, prefixEncodedPassword);
    }
    String encodedPassword = extractEncodedPassword(prefixEncodedPassword);
    return delegate.matches(rawPassword, encodedPassword);
  }

密码匹配通过传入原始密码和遵循{idForEncode}encodePassword规则的密码编码串。通过获取编码方式id (idForEncode) 来从 DelegatingPasswordEncoder中的映射集合idToPasswordEncoder中获取具体的PasswordEncoder进行匹配校验。找不到就使用UnmappedIdPasswordEncoder 。

这就是 DelegatingPasswordEncoder 的工作流程。那么DelegatingPasswordEncoder 在哪里实例化呢?

3.2 密码器静态工厂PasswordEncoderFactories

从名字上就看得出来这是个工厂啊,专门制造 PasswordEncoder 。而且还是个静态工厂只提供了初始化DelegatingPasswordEncoder的方法:

  @SuppressWarnings("deprecation")
  public static PasswordEncoder createDelegatingPasswordEncoder() {
    String encodingId = "bcrypt";
    Map<String, PasswordEncoder> encoders = new HashMap<>();
    encoders.put(encodingId, new BCryptPasswordEncoder());
    encoders.put("ldap", new org.springframework.security.crypto.password.LdapShaPasswordEncoder());
    encoders.put("MD4", new org.springframework.security.crypto.password.Md4PasswordEncoder());
    encoders.put("MD5", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("MD5"));
    encoders.put("noop", org.springframework.security.crypto.password.NoOpPasswordEncoder.getInstance());
    encoders.put("pbkdf2", new Pbkdf2PasswordEncoder());
    encoders.put("scrypt", new SCryptPasswordEncoder());
    encoders.put("SHA-1", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-1"));
    encoders.put("SHA-256", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-256"));
    encoders.put("sha256", new org.springframework.security.crypto.password.StandardPasswordEncoder());

    return new DelegatingPasswordEncoder(encodingId, encoders);
  }

从上面可以非常具体地看出来DelegatingPasswordEncoder提供的密码编码方式。默认采用了bcrypt 进行编码。我们可终于明白了为什么上一文中我们使用 {noop12345} 能和我们前台输入的12345匹配上。这么搞有什么好处呢?这可以实现一个场景,如果有一天我们对密码编码规则进行替换或者轮转。现有的用户不会受到影响。 那么Spring Security 是如何配置密码编码器PasswordEncoder 呢?

4. Spring Security 加载 PasswordEncoder 的规则

我们在Spring Security配置适配器WebSecurityConfigurerAdapter(该类我以后的文章会仔细分析 可通过https://felord.cn 来及时获取相关信息)找到了引用PasswordEncoderFactories的地方,一个内部 PasswordEncoder实现 LazyPasswordEncoder。从源码上看该类是懒加载的只有用到了才去实例化。在该类的内部方法中发现了 PasswordEncoder 的规则。

    // 获取最终干活的PasswordEncoder
    private PasswordEncoder getPasswordEncoder() {
      if (this.passwordEncoder != null) {
        return this.passwordEncoder;
      }
      PasswordEncoder passwordEncoder = getBeanOrNull(PasswordEncoder.class);
      if (passwordEncoder == null) {
        passwordEncoder = PasswordEncoderFactories.createDelegatingPasswordEncoder();
      }
      this.passwordEncoder = passwordEncoder;
      return passwordEncoder;
    }
    // 从Spring IoC容器中获取Bean 有可能获取不到
    private <T> T getBeanOrNull(Class<T> type) {
      try {
        return this.applicationContext.getBean(type);
      } catch(NoSuchBeanDefinitionException notFound) {
        return null;
      }
    }

上面的两个方法总结:如果能从从Spring IoC容器中获取PasswordEncoder的Bean就用该Bean作为编码器,没有就使用DelegatingPasswordEncoder 。默认是 bcrypt 方式。文中多次提到该算法。而且还是Spring Security默认的。那么它到底是什么呢?

5. bcrypt 编码算法

这里简单提一下bcrypt, bcrypt使用的是布鲁斯·施内尔在1993年发布的 Blowfish 加密算法。bcrypt 算法将salt随机并混入最终加密后的密码,验证时也无需单独提供之前的salt,从而无需单独处理salt问题。加密后的格式一般为:

$2a$10$/bTVvqqlH9UiE0ZJZ7N2Me3RIgUCdgMheyTgV0B4cMCSokPa.6oCa
其中:$是分割符,无意义;2a是bcrypt加密版本号;10是cost的值;而后的前22位是salt值;再然后的字符串就是密码的密文了。

5.1 bcrypt 特点

bcrypt有个特点就是非常慢。这大大提高了使用彩虹表进行破解的难度。也就是说该类型的密码暗文拥有让破解者无法忍受的时间成本。同时对于开发者来说也需要注意该时长是否能超出系统忍受范围内。通常是MD5的数千倍。
同样的密码每次使用bcrypt编码,密码暗文都是不一样的。 也就是说你有两个网站如果都使用了bcrypt 它们的暗文是不一样的,这不会因为一个网站泄露密码暗文而使另一个网站也泄露密码暗文。
所以从bcrypt的特点上来看,其安全强度还是非常有保证的。

6. 总结

今天我们对Spring Security中的密码编码进行分析。发现了默认情况下使用bcrypt进行编码。而密码验证匹配则通过密码暗文前缀中的加密方式id控制。你也可以向Spring IoC容器注入一个PasswordEncoder类型的Bean 来达到自定义的目的。我们还对bcrypt算法进行一些简单了解,对其特点进行了总结。后面我们会Spring Security进行进一步学习。关于上一篇文章的demo我也已经替换成了数据库管理用户。

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持java学习网。

相关下载

  • Servlet JSP和Spring MVC初学指南

    大小:5.88 MB
  • 《Spring实战(第4版)》配套资源

    大小:1.59 MB
  • Spring实战(中文4,5版)

    大小:16.4 MB
  • 重新定义spring cloud实战

    大小:62.42 MB
  • Spring Boot 2+Thymeleaf企业应用实战

    大小:215.6 MB

相关教程

  • Spring Boot实现邮件发送功能

    Spring Boot实现邮件发送功能

    为网友们分享了关于Spring Boot的教程,这篇文章主要为大家详细介绍了Spring Boot实现邮件发送功能,具有一定的参考价值,感兴趣的小伙伴们可以参考一下

    发布时间:2022-06-10主题:

    查看详情
  • sentinel整合spring cloud限流的过程解析

    sentinel整合spring cloud限流的过程解析

    给网友们整理关于spring cloud的教程,这篇文章主要介绍了sentinel 整合spring cloud限流,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下

    发布时间:2022-06-10主题:sentinel 整合spring cloud限流

    查看详情
  • SpringMvc获取请求头请求体消息过程解析

    给网友们整理关于Spring Mvc的教程,这篇文章主要介绍了SpringMvc获取请求头请求体消息过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下

    发布时间:2022-06-10主题:SpringMvc获取请求头

    查看详情
  • SpringMVC Mock测试实现原理及实现过程详解

    给大家整理一篇关于Spring MVC的教程,这篇文章主要介绍了SpringMVC Mock测试实现原理及实现过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下

    发布时间:2022-06-10主题:SpringMVC Mock测试

    查看详情
  • SpringBoot中自定义注解实现参数非空校验的示例

    给网友朋友们带来一篇关于SpringBoot的教程,这篇文章主要介绍了SpringBoot中自定义注解实现参数非空校验,帮助大家更好的理解和使用springboot框架,感兴趣的朋友可以了解下

    发布时间:2022-06-10主题:SpringBoot 参数非空校验

    查看详情
  • Spring Boot集成springfox-swagger2构建restful API的方法教程

    Spring Boot集成springfox-swagger2构建restful API的方法教程

    给网友们整理关于Spring Boot的教程,这篇文章主要给大家介绍了关于Spring Boot集成springfox-swagger2构建restful API的相关资料,文中介绍的非常详细,对大家具有一定的参考学习价值,需要的朋友们下面跟着小编一起来学习学习吧。

    发布时间:2022-06-10主题:

    查看详情

用户留言