网站首页 > 文章精选 正文
昨天介绍了SpringSecurity快速入门,经过昨天的入门案例,我们对SpringSecurity的使用有了一定的了解,但是在入门程序中存在两个问题:
- 用户的认证密码采用是明文处理的,不安全 ;
- 用户名的密码直接通过程序硬编码,不够灵活 ; 今天介绍密码加密方式
1.可逆加密算法
加密后, 密文可以反向解密得明文原文;
1.1. 对称加密
对称加密:是指加密和解密使用相同密钥的加密算法。
对称加密优缺点
- 优点: 对称加密算法的优点是算法公开、计算量小、加密速度快、加密效率高。
- 缺点: 没有非对称加密安全。
常见的对称加密算法:DES、3DES、DESX、Blowfish、RC4、RC5、RC6和AES
说白了加密和解密都使用同一个秘钥处理
1.2.非对称加密
非对称加密:指加密和解密使用不同密钥的加密算法,也称为公私钥加密。假设两个用户要加密交换数据,双方交换公钥,使用时一方用对方的公钥加密,另一方即可用自己的私钥解密。
加密和解密:
- 私钥加密,持有私钥或公钥才可以解密
- 公钥加密,持有私钥才可解密
非对称加密优缺点
- 优点: 非对称加密与对称加密相比,其安全性更好;
- 缺点: 非对称加密的缺点是加密和解密花费时间长、速度慢,只适合对少量数据进行加密
2. 不可逆加密算法
一旦加密就不能反向解密得到密码原文 。通常用于密码数据加密。
常见的不可逆加密算法有: MD5 、SHA、HMAC
2.1. MD5
MD5是比较常见的加密算法,广泛的应用于软件开发中的密码加密,通过MD5生成的密文,是无法解密得到明文密码的。但是现在在大数据背景下,很多的网站通过大数据可以将简单的MD5加密的密码破解。
可以在用户注册时,限制用户输入密码的长度及复杂度,从而增加破解难度。
2.2.Bcrypt(重点)
用户表的密码通常使用 MD5 等不可逆算法加密后存储,为防止破解,会先使用一个特定的字符串(如域名)加密,然后再使用一个随机的 salt(盐值)加密。 特定字符串是程序代码中固定的,salt 是每个密码单独随机,一般给用户表加一个字段单独存储,比较麻烦。
BCrypt 算法将 salt 随机并混入最终加密后的密码,验证时也无需单独提供之前的salt,从而无需单独处理 salt 问题
Bcrypt有四个变量:
- saltRounds:正数,表示哈希杂凑次数,数值越高越安全,默认10次
- password:明文密码
- slat:盐,一个128bits的随机字符串,长度为22字符
- hash:精美Bcrypt加密的哈希结果Bcrypt加密后的密码三部分,使用$分割:
$2a表示Bcrypt算法
10表示哈希杂凑次数
inu5rGPTEGyh1Vu3Ey8Q.e表示随机生成的盐,长度22字符3. SpringSecurity配置密码Bcrypt加密匹配器
在SecurityConfig配置类配置密码加密匹配器
@Bean
public BCryptPasswordEncoder bCryptPasswordEncoder(){
return new BCryptPasswordEncoder();
}3.1. 加密密码
创建测试方法,对明文密码进行加密
@SpringBootTest
public class SecurityTest {
@Autowired
private BCryptPasswordEncoder bCryptPasswordEncoder;
@Test
public void test01(){
for (int i = 0; i < 5; i++) {
System.out.println("======================================");
System.out.println(bCryptPasswordEncoder.encode("123456"));
}
}
}结果如下:
======================================
$2a$10$lJoLnVMmrVAB.eOr8uPqjeRed5oRrzoJ4ZwujrLYnPpAES3tP.uce
======================================
$2a$10$IVwev75YNKrNBATIfQUR/uAaeKEezrasKLTBbgVLHtEoOJApBR7vO
======================================
$2a$10$sjMCbfSQpVMPao0Y.du1duPeBdGp2B7Af3YCDrZQiNpoGKliDeshe
======================================
$2a$10$ikXeEG75ggMc6MN6XADoiOVxONEyvNNw/vEgK2FQ7eO5UmGQ8EnWa
======================================
$2a$10$inu5rGPTEGyh1Vu3Ey8Q.eEyOwj2sAUzXigsVvJYzKdL6n0wSDgda验证密码
@Test
public void test02(){
boolean matches =
bCryptPasswordEncoder.matches("123456", "$2a$10$inu5rGPTEGyh1Vu3Ey8Q.eEyOwj2sAUzXigsVvJYzKdL6n0wSDgda");
System.out.println(matches);//返回值为true, 则代表验证通过; 反之, 验证不通过
}猜你喜欢
- 2024-12-30 简单的使用SpringBoot整合SpringSecurity
- 2024-12-30 Spring Security 整合OAuth2 springsecurity整合oauth2+jwt+vue
- 2024-12-30 DeepSeek-Coder-V2震撼发布,尝鲜体验
- 2024-12-30 一个数组一行代码,Spring Security就接管了Swagger认证授权
- 2024-12-30 简单漂亮的(图床工具)开源图片上传工具——PicGo
- 2024-12-30 Spring Boot(十一):Spring Security 实现权限控制
- 2024-12-30 绝了!万字搞定 Spring Security,写得太好了
- 2024-12-30 SpringBoot集成Spring Security springboot集成springsecurity
- 2024-12-30 Spring cloud Alibaba 从入门到放弃
- 2024-12-30 基于Spring Security OAuth2认证中心授权模式扩展
- 最近发表
- 标签列表
-
- newcoder (56)
- 字符串的长度是指 (45)
- drawcontours()参数说明 (60)
- unsignedshortint (59)
- postman并发请求 (47)
- python列表删除 (50)
- 左程云什么水平 (56)
- 计算机网络的拓扑结构是指() (45)
- 稳压管的稳压区是工作在什么区 (45)
- 编程题 (64)
- postgresql默认端口 (66)
- 数据库的概念模型独立于 (48)
- 产生系统死锁的原因可能是由于 (51)
- 数据库中只存放视图的 (62)
- 在vi中退出不保存的命令是 (53)
- 哪个命令可以将普通用户转换成超级用户 (49)
- noscript标签的作用 (48)
- 联合利华网申 (49)
- swagger和postman (46)
- 结构化程序设计主要强调 (53)
- 172.1 (57)
- apipostwebsocket (47)
- 唯品会后台 (61)
- 简历助手 (56)
- offshow (61)