[译] 学习 Spring Security(六):密码编码

栏目: Java · 发布时间: 8年前

内容简介:[译] 学习 Spring Security(六):密码编码

本文将讨论注册流程中的一个关键部分 — 密码编码 (以非明文方式存储密码)。

Spring Security 支持一部分编码机制 — 本文将使用 BCrypt 编码方式,因为它通常被作为最佳的解决方案。

大多数其他机制,如 MD5PasswordEncoderShaPasswordEncoder 使用了较弱算法的编码方式,现在已被弃用了。

2、定义密码编码器

我们首先在配置中将 BCryptPasswordEncoder 定义为一个 bean: 

@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

一些旧的实现方式,比如 SHAPasswordEncoder ,会要求客户端在编码密码时传入一个 salt 值(又称盐值)。

然而 BCrypt 方式不同,它会在内部产生一个随机盐值。这很重要,因为这意味着每次调用都会有不同的结果,因此我们只需要对密码进行一次编码。

另外请注意, BCrypt 算法会生成一个长度为 60 的字符串,因此我们需要确保存储密码的列有足够的空间。一个常见的错误是创建一个长度不足的列,然后在验证时得到一个无效的用户名或密码错误。

3、在注册时编码密码

在用户注册流程中,我们使用 UserService 中的 PasswordEncoder 对密码进行散列处理:

示例 3.1 — UserService 对密码散列处理

@Autowired
private PasswordEncoder passwordEncoder;
 
@Override
public User registerNewUserAccount(UserDto accountDto) throws EmailExistsException {
    if (emailExist(accountDto.getEmail())) {
        throw new EmailExistsException(
          "There is an account with that email adress:" + accountDto.getEmail());
    }
    User user = new User();
    user.setFirstName(accountDto.getFirstName());
    user.setLastName(accountDto.getLastName());
     
    user.setPassword(passwordEncoder.encode(accountDto.getPassword()));
     
    user.setEmail(accountDto.getEmail());
    user.setRole(new Role(Integer.valueOf(1), user));
    return repository.save(user);
}

4、在认证时编码密码

现在让我们来处理这个流程的另一半,在用户认证时对密码进行编码。

首先,我们需要将之前定义的密码编码器 bean 注入到身份验证提供器中:

@Autowired
private UserDetailsService userDetailsService;
 
@Bean
public DaoAuthenticationProvider authProvider() {
    DaoAuthenticationProvider authProvider = new DaoAuthenticationProvider();
    authProvider.setUserDetailsService(userDetailsService);
    authProvider.setPasswordEncoder(encoder());
    return authProvider;
}

security 配置很简单:

  • 注入 UserDetailsService 实现类
  • 定义一个认证提供器,引用了 UserDetailsService
  • 启用了密码编码器

最后,我们需要在 security XML 配置中引用这个认证提供器:

<authentication-manager>
    <authentication-provider ref="authProvider" />
</authentication-manager>

或者,您也可以使用 Java 配置:

@Configuration
@ComponentScan(basePackages = { "org.baeldung.security" })
@EnableWebSecurity
public class SecSecurityConfig extends WebSecurityConfigurerAdapter {
 
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(authProvider());
    }
     
    ...
}

5、结论

本教程继上一篇的注册流程,通过利用简单却非常强大的 BCrypt 实现展示了如何正确地存储密码到数据库中。

该注册流程在 Spring Security 教程中已经完全实现,您可以在 GitHub 项目中找到 — 这是一个 Eclipse 项目,应该很容易导入和运行。


以上所述就是小编给大家介绍的《[译] 学习 Spring Security(六):密码编码》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

码农书籍
新媒体营销概论

新媒体营销概论

秋叶、刘勇 / 人民邮电出版社 / 2016-12-1 / 36.00

本书共分6章。第1章重点介绍了新媒体的概念和特征,引导读者全面认识新媒体所处的行业;第2章用历史发展的眼光,介绍了不同类型的新媒体,让读者不仅能看到最新的新媒体模式,也能看到这个模式发展背后的脉络;第3章重点介绍了新媒体广告投放载体,便于读者选择适合自己的新媒体运营方式;第4章介绍了新媒体运营的策划思维;第5章介绍了新媒体舆情管理知识;第6章选取了可口可乐、海底捞、恒大冰泉等的新媒体助力传统行业转......一起来看看 《新媒体营销概论》 这本书的介绍吧!

码农工具
MD5 加密
MD5 加密

MD5 加密工具

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具

  • New
  • 文章
  • 话题
  • 教程
    • 关注 码农网 公众号
    版权所有,保留一切权利!© 2018-2026 码农网 粤ICP备17054400号-3