2. 程式人生 > >SpringSecurity學習筆記(四)——更改SpringSecurity加密方式

SpringSecurity學習筆記(四)——更改SpringSecurity加密方式

阿新 發佈:2019-02-10

在前面幾篇部落格中我們瞭解瞭如何自定義介面以及如何訪問資料庫中的使用者並驗證許可權等,那麼在驗證使用者以及密碼是否正確時,SpringSecurity是如何做的呢?如果想更改SpringSecurity的加密方式又該怎麼做呢?

SpringSecurity驗證密碼正確主要是MessageDigestPasswordEncoder這個類在做,其中isPasswordValid方法便是驗證密碼是否正確,與傳統的加密方式不同,SpringSecurity中加入了salt(鹽),能夠使破解的風險大大降低。

更改SpringSecurity加密方式有多種,我這邊大致介紹兩種比較常用的

注:案例均以簡單的MD5加密為例(與原來的區別在於不加鹽)


方法一:繼承MessageDigestPasswordEncoder

老的PasswordEncoder與其關係圖如下


spring-security.xml

<authentication-manager alias="authenticationManager">
		<authentication-provider user-service-ref="myUserDetailsService">
			<password-encoder  ref="myMessageDigestPasswordEncoder">  
	            <salt-source user-property="username"/>  
	        </password-encoder> 
        </authentication-provider>
	</authentication-manager>
	<beans:bean class="com.springsecurity.service.MyMessageDigestPasswordEncoder" id="myMessageDigestPasswordEncoder">
		<beans:constructor-arg value="md5"></beans:constructor-arg>
	</beans:bean>

MyMessageDigestPasswordEncoder.java

package com.springsecurity.service;

import org.apache.log4j.Logger;
import org.springframework.security.authentication.encoding.MessageDigestPasswordEncoder;
import com.springsecurity.utils.MD5;

/**
 * @作者:JackHisen(GWD)
 * @專案名:core
 * @時間:2017-7-2 下午8:24:41
 * @version 1.0
 */
public class MyMessageDigestPasswordEncoder extends MessageDigestPasswordEncoder{
	Logger logger=Logger.getLogger(MyMessageDigestPasswordEncoder.class);
	public MyMessageDigestPasswordEncoder(String algorithm,
			boolean encodeHashAsBase64) throws IllegalArgumentException {
		super(algorithm, encodeHashAsBase64);
		// TODO Auto-generated constructor stub
	}
	public MyMessageDigestPasswordEncoder(String algorithm) {
		super(algorithm);
		// TODO Auto-generated constructor stub
	}
	public boolean isPasswordValid(String encPass, String rawPass,Object salt){
		String pass1 = "" + encPass;
		String pass2 = MD5.getMd5(rawPass);//這個類是自己編寫的一個MD5加密,官方原本是通過encodePassword加鹽加密
		logger.debug("encPass:"+encPass+";rawPass:"+rawPass+"pass1:"+pass1+";pass2:"+pass2);
		boolean bool=false;
		if(pass1.equals(pass2)){
			bool=true;
		}
		return bool;
	}


方法二.實現新的PasswordEncoder介面

PasswordEncoder介面實現類如下:


NoOpPasswordEncoder不多說了,啥也不做按原文字處理,相當於不加密。

StandardPasswordEncoder 1024次迭代的SHA-256雜湊雜湊加密實現,並使用一個隨機8位元組的salt。

BCryptPasswordEncoder 使用BCrypt的強雜湊雜湊加密實現,並可以由客戶端指定加密的強度strength,強度越高安全性自然就越高,預設為10.

Spring的註釋中,明確寫明瞭如果是開發一個新的專案,BCryptPasswordEncoder是較好的選擇。


相關推薦

SpringSecurity學習筆記()——更改SpringSecurity加密方式

在前面幾篇部落格中我們瞭解瞭如何自定義介面以及如何訪問資料庫中的使用者並驗證許可權等,那麼在驗證使用者以及密碼是否正確時,SpringSecurity是如何做的呢?如果想更改SpringSecurit

SpringSecurity學習筆記之一:SpringSecurity概述及Github專案克隆

Spring Security是一種基於Spring AOP和Servlet規範中的Filter實現的安全框架。它能夠在Web請求級別和方法呼叫級別處理身份認證和授權。 Spring Security從兩個角度來解決安全性問題。 它使用Servlet規範中的Filter保護

SpringSecurity學習筆記:攔截請求

在任何應用中,並不是所有請求都需要同等程度地保護起來。有些請求需要認證,有些則不需要。 對每個請求進行細粒度安全性控制的關鍵在於過載configure(HttpSecurity)方法。如下程式碼片段展現了過載的configure(HttpSecurity)方法,它為不同的UR

分散式學習筆記:分散式鎖的實現方式

目前幾乎很多大型網站及應用都是分散式部署的,分散式場景中的資料一致性問題一直是一個比較重要的話題。分散式的CAP理論告訴我們“任何一個分散式系統都無法同時滿足一致性(Consistency)、可用性(Availability)和分割槽容錯性(Partition tolerance),最多隻能同時滿足

SpringSecurity學習筆記之三:配置使用者儲存

沒有使用者儲存的應用相當於沒有使用者,因為任何使用者都會被拒之門外。我們所需要的是使用者儲存,也就是使用者名稱、密碼以及其他資訊儲存的地方,在進行認證決策的時候,會對其進行檢索。Spring Security非常靈活,能夠基於各種資料儲存來認證使用者。它內建了多種常見的使用者

SpringSecurity學習筆記之二:SpringSecurity結構及基本配置

Spring Security3.2分為11個模組,如下表所示: Spring Security3.2引入了新的Java配置方案,完全不在需要通過XML來配置安全性功能。如下,展現了Spring Security最簡單的Java配置: @EnableWebSecurity

SpringSecurity學習筆記之六:保護檢視

Spirng Security本身提供了一個JSP標籤庫,而Thymeleaf通過特定的方言實現了與Spring Security的整合。 Spring Security的JSP標籤庫很小,只包含是三個標籤: 為了使用JSP標籤庫,需要在JSP中宣告它: 訪問認證資訊的

如何輸出格式化的字符串(學習筆記

linux python 格式化整數 浮點數 如何輸出格式化的字符串(學習筆記四)我們經常會輸出類似 ‘親愛的xxx你好!你xx月的話費是xx,余額是xx‘ 之類的字符串,而xxx的內容都是根據變量變化的,所以,需要一種簡便的格式化字符串的方式。在Python中,采用的格式化方式和C語言是一致的,

cocos2d-x-3.1 國際化strings.xml解決亂碼問題 (coco2d-x 學習筆記)

source ron 文件 亂碼問題 resource -s type fileutil ani 今天寫程序的時候發現輸出文字亂碼,盡管在實際開發中把字符串寫在代碼裏是不好的做法。可是有時候也是為了方便,遇到此問題第一時間在腦子裏面聯想到android下的strings

【Unity 3D】學習筆記十二:粒子特效

空間 獲得 material package 一個 log 創建 spa mpi 粒子特效 粒子特效的原理是將若幹粒子無規則的組合在一起。來模擬火焰,爆炸。水滴,霧氣等效果。要使用粒子特效首先要創建,在hierarchy視圖中點擊create——particle s

Tomcat學習筆記()

客服 list illegal state oid () ons mov tom Servlet容器部分 servlet容器用來處理請求servlet資源,並為web客服端填充response對象模塊,在tomcat中,共有4種類型的容器,分別是:Engi

【ALB學習筆記】基於事件觸發方式的串行通信接口數據接收案例

except 和數 從數據 發送數據 exceptio 工作原理 實時 double 窗體 基於事件觸發方式的串行通信接口數據接收案例 廣東職業技術學院 歐浩源 1、案例背景 之前寫過一篇《基於多線程方式的串行通信接口數據接收案例》的博文,討論了采用輪詢方

JavaWeb學習筆記 request&response

cer 代碼 gbk msi 抓包工具 rom service net war HttpServletResponse 我們在創建Servlet時會覆蓋service()方法,或doGet()/doPost(),這些方法都有兩個參數,一個為代表請求的request和代表響

java 核心學習筆記() 單例類

com null tools 初始化 equal inf div 特殊 對象 如果一個類始終只能創建一個實例,那麽這個類被稱作單例類。 一些特殊的應用場景可能會用到,為了保證只能創建一個實例,需要將構造方法用private修飾,不允許在類之外的其它地方創建類的實例。 又要保

Python學習筆記()

pop rem 通過 修改 排序 python語言 創建 eve () 一、list創建   list 是Python語言中一種內置的數據類型  list 中可以存放不同類型的數據   list = [] #創建一個空列表  list = [1,2,3] #創建一個非空列

spring學習筆記:spring常用註解總結

bean logs single 配置文件 屬性註入 ring 如果 let ons 使用spring的註解,需要在配置文件中配置組件掃描器,用於在指定的包中掃描註解 <context:component-scan base-package="xxx.xxx.xxx

StackExchange.Redis學習筆記() 事務控制和Batch批量操作

成了 pan arp 展示 關於 public 連續 因此 用戶 Redis事物 Redis命令實現事務 Redis的事物包含在multi和exec(執行)或者discard(回滾)命令中 和sql事務不同的是,Redis調用Exec只是將所有的命令變成一個單元一起執行,期

Linux學習筆記()---centos7系統安裝後的一些簡單操作

完成 oss ctrl http windows images 取ip地址 fig ifconfig centos7系統安裝後的一些簡單操作 上次我們通過虛擬機已經安裝完成CentOS7。重啟系統後,進入登陸界面。系統登陸成功後,如下所示:我們虛擬機默認網絡是使用NAT,這

AWS學習筆記()--CLI創建EC2時執行腳本

scl type cycle 實例 doc settings shell腳本 system input When you launch an instance in Amazon EC2, you have the option of passing user data t

Bootstrap學習筆記()表單input

控件 屬性 icon val 制作表單 pan 選擇 提示信息 AI 單行輸入框,常見的文本輸入框,也就是input的type屬性值為text。在Bootstrap中使用input時也必須添加type類型,如果沒有指定type類型,將無法得到正確的樣式,因為Bootstra