Spring Boot 中密碼加密的兩種方法
先說一句:密碼是無法解密的。大家也不要再問鬆哥微人事專案中的密碼怎麼解密了!
密碼無法解密,還是為了確保系統安全。今天鬆哥就來和大家聊一聊,密碼要如何處理,才能在最大程度上確保我們的系統安全。
1.為什麼要加密
2011 年 12 月 21 日,有人在網路上公開了一個包含 600 萬個 CSDN 使用者資料的資料庫,資料全部為明文儲存,包含使用者名稱、密碼以及註冊郵箱。事件發生後 CSDN 在微博、官方網站等渠道發出了宣告,解釋說此資料庫系 2009 年備份所用,因不明原因洩露,已經向警方報案,後又在官網發出了公開道歉信。在接下來的十多天裡,金山、網易、京東、噹噹、新浪等多家公司被捲入到這次事件中。整個事件中最觸目驚心的莫過於 CSDN 把使用者密碼明文儲存,由於很多使用者是多個網站共用一個密碼,因此一個網站密碼洩露就會造成很大的安全隱患。由於有了這麼多前車之鑑,我們現在做系統時,密碼都要加密處理。
這次洩密,也留下了一些有趣的事情,特別是對於廣大程式設計師設定密碼這一項。人們從 CSDN 洩密的檔案中,發現了一些好玩的密碼,例如如下這些:
- ppnn13%dkstFeb.1st 這段密碼的中文解析是:娉娉嫋嫋十三餘,豆蔻梢頭二月初。
- csbt34.ydhl12s 這段密碼的中文解析是:池上碧苔三四點,葉底黃鸝一兩聲
- ...
等等不一而足,你會發現很多程式設計師的人文素養還是非常高的,讓人嘖嘖稱奇。
2.加密方案
密碼加密我們一般會用到雜湊函式,又稱雜湊演算法、雜湊函式,這是一種從任何資料中建立數字“指紋”的方法。
雜湊函式把訊息或資料壓縮成摘要,使得資料量變小,將資料的格式固定下來,然後將資料打亂混合,重新建立一個雜湊值。雜湊值通常用一個短的隨機字母和數字組成的字串來代表。好的雜湊函式在輸入域中很少出現雜湊衝突。在散列表和資料處理中,不抑制衝突來區別資料,會使得資料庫記錄更難找到。
我們常用的雜湊函式有 MD5 訊息摘要演算法、安全雜湊演算法(Secure Hash Algorithm)。
但是僅僅使用雜湊函式還不夠,單純的只使用雜湊函式,如果兩個使用者密碼明文相同,生成的密文也會相同,這樣就增加的密碼洩漏的風險。
為了增加密碼的安全性,一般在密碼加密過程中還需要加鹽,所謂的鹽可以是一個隨機數也可以是使用者名稱,加鹽之後,即使密碼明文相同的使用者生成的密碼密文也不相同,這可以極大的提高密碼的安全性。
傳統的加鹽方式需要在資料庫中有專門的欄位來記錄鹽值,這個欄位可能是使用者名稱欄位(因為使用者名稱唯一),也可能是一個專門記錄鹽值的欄位,這樣的配置比較繁瑣。
Spring Security 提供了多種密碼加密方案,官方推薦使用 BCryptPasswordEncoder,BCryptPasswordEncoder 使用 BCrypt 強雜湊函式,開發者在使用時可以選擇提供 strength 和 SecureRandom 例項。strength 越大,金鑰的迭代次數越多,金鑰迭代次數為 2^strength。strength 取值在 4~31 之間,預設為 10。
不同於 Shiro 中需要自己處理密碼加鹽,在 Spring Security 中,BCryptPasswordEncoder 就自帶了鹽,處理起來非常方便。
3.實踐
3.1 codec 加密
commons-codec 是一個 Apache 上的開源專案,用它可以方便的實現密碼加密。鬆哥在 V 部落 專案中就是採用的這種方案(https://github.com/lenve/VBlog)。在 Spring Security 還未推出 BCryptPasswordEncoder 的時候,commons-codec 還是一個比較常見的解決方案。
所以,這裡我先來給大家介紹下 commons-codec 的用法。
首先我們需要引入 commons-codec 的依賴:
<dependency> <groupId>commons-codec</groupId> <artifactId>commons-codec</artifactId> <version>1.11</version> </dependency>
然後自定義一個 PasswordEncoder:
@Component
public class MyPasswordEncoder implements PasswordEncoder {
@Override
public String encode(CharSequence rawPassword) {
return DigestUtils.md5DigestAsHex(rawPassword.toString().getBytes());
}
@Override
public boolean matches(CharSequence rawPassword,String encodedPassword) {
return encodedPassword.equals(DigestUtils.md5DigestAsHex(rawPassword.toString().getBytes()));
}
}
在 Spring Security 中,PasswordEncoder 專門用來處理密碼的加密與比對工作,我們自定義 MyPasswordEncoder 並實現 PasswordEncoder 介面,還需要實現該介面中的兩個方法:
- encode 方法表示對密碼進行加密,引數 rawPassword 就是你傳入的明文密碼,返回的則是加密之後的密文,這裡的加密方案採用了 MD5。
- matches 方法表示對密碼進行比對,引數 rawPassword 相當於是使用者登入時傳入的密碼,encodedPassword 則相當於是加密後的密碼(從資料庫中查詢而來)。
最後記得將 MyPasswordEncoder 通過 @Component 註解標記為 Spring 容器中的一個元件。
這樣使用者在登入時,就會自動呼叫 matches 方法進行密碼比對。
當然,使用了 MyPasswordEncoder 之後,在使用者註冊時,就需要將密碼加密之後存入資料庫中,方式如下:
public int reg(User user) {
...
//插入使用者,插入之前先對密碼進行加密
user.setPassword(passwordEncoder.encode(user.getPassword()));
result = userMapper.reg(user);
...
}
其實很簡單,就是呼叫 encode 方法對密碼進行加密。完整程式碼大家可以參考 V 部落(https://github.com/lenve/VBlog),我這裡就不贅述了。
3.2 BCryptPasswordEncoder 加密
但是自己定義 PasswordEncoder 還是有些麻煩,特別是處理密碼加鹽問題的時候。
所以在 Spring Security 中提供了 BCryptPasswordEncoder,使得密碼加密加鹽變得非常容易。只需要提供 BCryptPasswordEncoder 這個 Bean 的例項即可,微人事就是採用了這種方案(https://github.com/lenve/vhr),如下:
@Bean
PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder(10);
}
建立 BCryptPasswordEncoder 時傳入的引數 10 就是 strength,即金鑰的迭代次數(也可以不配置,預設為 10)。同時,配置的記憶體使用者的密碼也不再是 123 了,如下:
auth.inMemoryAuthentication()
.withUser("admin")
.password("$2a$10$RMuFXGQ5AtH4wOvkUqyvuecpqUSeoxZYqilXzbz50dceRsga.WYiq")
.roles("ADMIN","USER")
.and()
.withUser("sang")
.password("$2a$10$eUHbAOMq4bpxTvOVz33LIehLe3fu6NwqC9tdOcxJXEhyZ4simqXTC")
.roles("USER");
這裡的密碼就是使用 BCryptPasswordEncoder 加密後的密碼,雖然 admin 和 sang 加密後的密碼不一樣,但是明文都是 123。配置完成後,使用 admin/123 或者 sang/123 就可以實現登入。
本案例使用了配置在記憶體中的使用者,一般情況下,使用者資訊是儲存在資料庫中的,因此需要在使用者註冊時對密碼進行加密處理,如下:
@Service
public class RegService {
public int reg(String username,String password) {
BCryptPasswordEncoder encoder = new BCryptPasswordEncoder(10);
String encodePasswod = encoder.encode(password);
return saveToDb(username,encodePasswod);
}
}
使用者將密碼從前端傳來之後,通過呼叫 BCryptPasswordEncoder 例項中的 encode 方法對密碼進行加密處理,加密完成後將密文存入資料庫。
4.原始碼淺析
最後我們再來稍微看一下 PasswordEncoder。
PasswordEncoder 是一個介面,裡邊只有三個方法:
public interface PasswordEncoder {
String encode(CharSequence rawPassword);
boolean matches(CharSequence rawPassword,String encodedPassword);
default boolean upgradeEncoding(String encodedPassword) {
return false;
}
}
- encode 方法用來對密碼進行加密。
- matches 方法用來對密碼進行比對。
- upgradeEncoding 表示是否需要對密碼進行再次加密以使得密碼更加安全,預設為 false。
Spring Security 為 PasswordEncoder 提供了很多實現:
但是老實說,自從有了 BCryptPasswordEncoder,我們很少關注其他實現類了。
PasswordEncoder 中的 encode 方法,是我們在使用者註冊的時候手動呼叫。
matches 方法,則是由系統呼叫,預設是在 DaoAuthenticationProvider#additionalAuthenticationChecks 方法中呼叫的。
protected void additionalAuthenticationChecks(UserDetails userDetails,UsernamePasswordAuthenticationToken authentication)
throws AuthenticationException {
if (authentication.getCredentials() == null) {
logger.debug("Authentication failed: no credentials provided");
throw new BadCredentialsException(messages.getMessage(
"AbstractUserDetailsAuthenticationProvider.badCredentials","Bad credentials"));
}
String presentedPassword = authentication.getCredentials().toString();
if (!passwordEncoder.matches(presentedPassword,userDetails.getPassword())) {
logger.debug("Authentication failed: password does not match stored value");
throw new BadCredentialsException(messages.getMessage(
"AbstractUserDetailsAuthenticationProvider.badCredentials","Bad credentials"));
}
}
可以看到,密碼比對就是通過 passwordEncoder.matches 方法來進行的。
關於 DaoAuthenticationProvider 的呼叫流程,大家可以參考 SpringSecurity 自定義認證邏輯的兩種方式(高階玩法)一文。
好了,今天就和小夥伴們簡單聊一聊 Spring Security 加密問題,小夥伴們要是有收穫記得點個在看鼓勵下鬆哥哦~
以上就是Spring Boot 中密碼加密的兩種方法的詳細內容,更多關於Spring Boot 密碼加密的資料請關注我們其它相關文章!