Spring Security 使用MD5加盐加密和BCrypt加密密码

avatar 2018年02月22日22:03:42 6 21761 views
博主分享免费Java教学视频,B站账号:Java刘哥 ,长期提供技术问题解决、项目定制:本站商品点此
之前我们都是使用MD5 Md5PasswordEncoder 或者SHA ShaPasswordEncoder 的哈希算法进行密码加密,在spring security中依然使用只要指定使用自定义加密算法就行,现在推荐spring使用的BCrypt BCryptPasswordEncoder,一种基于随机生成salt的根据强大的哈希加密算法。


一、MD5加密

  1. package com.liuyanzhao.chuyun.util;
  4. import java.security.MessageDigest;
  6. /**
  7.  * @author 言曌
  8.  * @date 2018/2/9 下午6:11
  9.  */
  11. public class MD5Util {
  13.     private static final String SALT = "liuyanzhao.com";
  15.     /**
  16.      * MD5加盐加密
  17.      *
  18.      * @param password
  19.      * @return
  20.      */
  21.     public static String encode(String password) {
  22.         password = password + SALT;
  23.         MessageDigest md5 = null;
  24.         try {
  25.             md5 = MessageDigest.getInstance("MD5");
  26.         } catch (Exception e) {
  27.             throw new RuntimeException(e);
  28.         }
  29.         char[] charArray = password.toCharArray();
  30.         byte[] byteArray = new byte[charArray.length];
  32.         for (int i = 0; i < charArray.length; i++)
  33.             byteArray[i] = (byte) charArray[i];
  34.         byte[] md5Bytes = md5.digest(byteArray);
  35.         StringBuffer hexValue = new StringBuffer();
  36.         for (int i = 0; i < md5Bytes.length; i++) {
  37.             int val = ((int) md5Bytes[i]) & 0xff;
  38.             if (val < 16) {
  39.                 hexValue.append("0");
  40.             }
  42.             hexValue.append(Integer.toHexString(val));
  43.         }
  44.         return hexValue.toString();
  45.     }
  48.     public static void main(String[] args) {
  49.         String hashPass = MD5Util.encode("123456");
  50.         System.out.println(MD5Util.encode("123456"));//08dc78d36d1512e5a81ef05b01a37860
  51.         System.out.println("08dc78d36d1512e5a81ef05b01a37860".equals(hashPass));//true
  52.     }
  53. }

所谓加盐加密,就是在原先密码上加点“盐”然后加密。因为虽然MD5加密是不可逆的,但是别人可以根据你的MD5密码不断比较发现你的原密码,比如你的密码设置得很简单是123456,加密后是 e10adc3949ba59abbe56e057f20f883e,一旦数据库泄露,密码丢失,不法分子很容易试探出来原密码。如果加上盐,只要别人不知道盐是什么,破解难度会提高很多。


二、BCrypt加密

  1. package com.liuyanzhao.chuyun.util;
  3. import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
  5. /**
  6.  * @author 言曌
  7.  * @date 2018/2/22 下午8:39
  8.  */
  10. public class BCryptUtil {
  13.     /**
  14.      * 对密码进行加密
  15.      * @param password
  16.      * @return
  17.      */
  18.     public static String encode(String password) {
  19.         BCryptPasswordEncoder bcryptPasswordEncoder = new BCryptPasswordEncoder();
  20.         String hashPass = bcryptPasswordEncoder.encode(password);
  21.         return hashPass;
  22.     }
  24.     /**
  25.      * 对原密码和已加密的密码进行匹配,判断是否相等
  26.      * @param password
  27.      * @param encodedPassword
  28.      * @return
  29.      */
  30.     public static boolean match(String password,String encodedPassword) {
  31.         BCryptPasswordEncoder bcryptPasswordEncoder = new BCryptPasswordEncoder();
  32.         boolean result = bcryptPasswordEncoder.matches(password, encodedPassword);
  33.         return result;
  34.     }
  37.     public static void main(String[] args) {
  38.         String hashPass = encode("123456");
  39.         System.out.println(hashPass);
  40.         System.out.println(match("123456",hashPass));//true
  41.         System.out.println(match("123456","$2a$10$7wOQPHU2MfHt3X4wCFx5H.EZu.rlHMtY5HTFsqXiPd6BA5vNHJNf2"));//true
  42.         System.out.println(match("123456","$2a$10$nYQWXcY.eVUwI8kYGtMCVOD0hWE4AKjzFg0oo91qc/ECQg/DD/CpS"));//true
  43.         System.out.println(match("123456","$2a$10$9etIPtquQ3f..ACQkDHAVuBfjBoDXXWHHCOBl/RaJADxuXdSQB6I2"));//true
  44.     }
  46. }

使用 BCrypt 加密需要导入 Spring Security 的依赖。

我们发现每次运行都会得到不同的加密密码,但是这些加密后的密码都和 123456 相等。


三、Spring Security 使用 MD5 加密


SecurityConfig
  1. package com.liuyanzhao.chuyun.config;
  4. import com.liuyanzhao.chuyun.service.CustomUserService;
  5. import com.liuyanzhao.chuyun.util.MD5Util;
  6. import org.springframework.context.annotation.Bean;
  7. import org.springframework.security.authentication.dao.DaoAuthenticationProvider;
  8. import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
  9. import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
  10. import org.springframework.security.config.annotation.web.builders.HttpSecurity;
  11. import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
  12. import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
  13. import org.springframework.security.crypto.password.PasswordEncoder;
  16. /**
  17.  * 安全配置类
  18.  *
  19.  * @author 言曌
  20.  * @date 2018/1/23 上午11:37
  21.  */
  22. @EnableWebSecurity
  23. @EnableGlobalMethodSecurity(prePostEnabled = true// 启用方法安全设置
  24. public class SecurityConfig extends WebSecurityConfigurerAdapter {
  26.     private static final String KEY = "liuyanzhao.com";
  28.     /**
  29.      * 自定义用户Service验证
  30.      * @return
  31.      */
  32.     @Bean
  33.     CustomUserService customUserService() {
  34.         return new CustomUserService();
  35.     }
  38.     /**
  39.      * 核心配置
  40.      * @param auth
  41.      * @throws Exception
  42.      */
  43.     @Override
  44.     protected void configure(AuthenticationManagerBuilder auth) throws Exception {
  45.         DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider();
  46.         authenticationProvider.setUserDetailsService(customUserService());
  47.         //使用 MD5 加密
  48.         auth.userDetailsService(customUserService()).passwordEncoder(new PasswordEncoder(){
  49.             @Override
  50.             public String encode(CharSequence rawPassword) {
  51.                 return MD5Util.encode((String)rawPassword);
  52.             }
  53.             @Override
  54.             public boolean matches(CharSequence rawPassword, String encodedPassword) {
  55.                 return encodedPassword.equals(MD5Util.encode((String)rawPassword));
  56.             }}); //user Details Service验证
  57.         auth.authenticationProvider(authenticationProvider);
  58.     }
  60.     /**
  61.      * 权限访问自定义配置
  62.      */
  63.     @Override
  64.     protected void configure(HttpSecurity http) throws Exception {
  65.         http.authorizeRequests()
  66.                 .antMatchers("/css/**""/js/**","/","/fonts/**","/users").permitAll() // 都可以访问
  67.                 .antMatchers("/h2-console/**").permitAll() // 都可以访问
  68.                 .antMatchers("/admin/**").hasRole("ADMIN"// 需要相应的角色才能访问
  69.                 .antMatchers("/console/**").hasAnyRole("ADMIN","USER"// 需要相应的角色才能访问
  70.                 .and()
  71.                 .formLogin()   //基于 Form 表单登录验证
  72.                 .loginPage("/login"//登录页面
  73.                 .failureUrl("/login?error=true"// 登录错误页面
  74.                 .and().logout()
  75.                 .and().rememberMe().key(KEY) // 启用 remember me
  76.                 .tokenValiditySeconds(1209600)//记住两周
  77.                 .and().exceptionHandling().accessDeniedPage("/403");  // 处理异常,拒绝访问就重定向到 403 页面
  78.         http.csrf().ignoringAntMatchers("/h2-console/**"); // 禁用 H2 控制台的 CSRF 防护
  79.         http.headers().frameOptions().sameOrigin(); // 允许来自同一来源的H2 控制台的请求
  80.     }
  84. }

这里的 MD5Util 可以直接用上面的第一步里的


四、Spring Security 使用 BCrypt 加密


SecurityConfig
  1. package com.liuyanzhao.chuyun.config;
  4. import com.liuyanzhao.chuyun.service.CustomUserService;
  5. import org.springframework.context.annotation.Bean;
  6. import org.springframework.security.authentication.dao.DaoAuthenticationProvider;
  7. import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
  8. import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
  9. import org.springframework.security.config.annotation.web.builders.HttpSecurity;
  10. import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
  11. import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
  12. import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
  13. import org.springframework.security.crypto.password.PasswordEncoder;
  16. /**
  17.  * 安全配置类
  18.  *
  19.  * @author 言曌
  20.  * @date 2018/1/23 上午11:37
  21.  */
  22. @EnableWebSecurity
  23. @EnableGlobalMethodSecurity(prePostEnabled = true// 启用方法安全设置
  24. public class SecurityConfig extends WebSecurityConfigurerAdapter {
  26.     private static final String KEY = "liuyanzhao.com";
  28.     /**
  29.      * 自定义用户Service验证
  30.      * @return
  31.      */
  32.     @Bean
  33.     CustomUserService customUserService() {
  34.         return new CustomUserService();
  35.     }
  38.     /**
  39.      * 使用使用 BCrypt加密
  40.      * @return
  41.      */
  42.     @Bean
  43.     public PasswordEncoder passwordEncoder() {
  44.         return new BCryptPasswordEncoder();   // 使用 BCrypt 加密
  45.     }
  48.     /**
  49.      * 核心配置
  50.      * @param auth
  51.      * @throws Exception
  52.      */
  53.     @Override
  54.     protected void configure(AuthenticationManagerBuilder auth) throws Exception {
  55.         DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider();
  56.         authenticationProvider.setUserDetailsService(customUserService());
  57.         authenticationProvider.setPasswordEncoder(passwordEncoder());
  58.         auth.authenticationProvider(authenticationProvider);
  59.     }
  61.     /**
  62.      * 权限访问自定义配置
  63.      */
  64.     @Override
  65.     protected void configure(HttpSecurity http) throws Exception {
  66.         http.authorizeRequests()
  67.                 .antMatchers("/css/**""/js/**","/","/fonts/**","/users").permitAll() // 都可以访问
  68.                 .antMatchers("/h2-console/**").permitAll() // 都可以访问
  69.                 .antMatchers("/admin/**").hasRole("ADMIN"// 需要相应的角色才能访问
  70.                 .antMatchers("/console/**").hasAnyRole("ADMIN","USER"// 需要相应的角色才能访问
  71.                 .and()
  72.                 .formLogin()   //基于 Form 表单登录验证
  73.                 .loginPage("/login"//登录页面
  74.                 .failureUrl("/login?error=true"// 登录错误页面
  75.                 .and().logout()
  76.                 .and().rememberMe().key(KEY) // 启用 remember me
  77.                 .tokenValiditySeconds(1209600)//记住两周
  78.                 .and().exceptionHandling().accessDeniedPage("/403");  // 处理异常,拒绝访问就重定向到 403 页面
  79.         http.csrf().ignoringAntMatchers("/h2-console/**"); // 禁用 H2 控制台的 CSRF 防护
  80.         http.headers().frameOptions().sameOrigin(); // 允许来自同一来源的H2 控制台的请求
  81.     }
  85. }





最后,还是建议使用 BCrypt 加密,更安全,但是密码字段长度至少要60位。



本文地址:https://liuyanzhao.com/7569.html









历史上的今天
二月
22日
  • 微信
  • 交流学习,服务定制
  • weinxin
  • 个人淘宝
  • 店铺名:言曌博客咨询部

  • (部分商品未及时上架淘宝)
avatar

发表评论

avatar 登录者:匿名
匿名评论,评论回复后会有邮件通知

  

已通过评论:0   待审核评论数:0