转载

[译] 学习 Spring Security(六):密码编码

本文将讨论注册流程中的一个关键部分 — 密码编码 (以非明文方式存储密码)。

Spring Security 支持一部分编码机制 — 本文将使用 BCrypt 编码方式,因为它通常被作为最佳的解决方案。

大多数其他机制,如 MD5PasswordEncoderShaPasswordEncoder 使用了较弱算法的编码方式,现在已被弃用了。

2、定义密码编码器

我们首先在配置中将 BCryptPasswordEncoder 定义为一个 bean: 

@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

一些旧的实现方式,比如 SHAPasswordEncoder ,会要求客户端在编码密码时传入一个 salt 值(又称盐值)。

然而 BCrypt 方式不同,它会在内部产生一个随机盐值。这很重要,因为这意味着每次调用都会有不同的结果,因此我们只需要对密码进行一次编码。

另外请注意, BCrypt 算法会生成一个长度为 60 的字符串,因此我们需要确保存储密码的列有足够的空间。一个常见的错误是创建一个长度不足的列,然后在验证时得到一个无效的用户名或密码错误。

3、在注册时编码密码

在用户注册流程中,我们使用 UserService 中的 PasswordEncoder 对密码进行散列处理:

示例 3.1 — UserService 对密码散列处理

@Autowired
private PasswordEncoder passwordEncoder;
 
@Override
public User registerNewUserAccount(UserDto accountDto) throws EmailExistsException {
    if (emailExist(accountDto.getEmail())) {
        throw new EmailExistsException(
          "There is an account with that email adress:" + accountDto.getEmail());
    }
    User user = new User();
    user.setFirstName(accountDto.getFirstName());
    user.setLastName(accountDto.getLastName());
     
    user.setPassword(passwordEncoder.encode(accountDto.getPassword()));
     
    user.setEmail(accountDto.getEmail());
    user.setRole(new Role(Integer.valueOf(1), user));
    return repository.save(user);
}

4、在认证时编码密码

现在让我们来处理这个流程的另一半,在用户认证时对密码进行编码。

首先,我们需要将之前定义的密码编码器 bean 注入到身份验证提供器中:

@Autowired
private UserDetailsService userDetailsService;
 
@Bean
public DaoAuthenticationProvider authProvider() {
    DaoAuthenticationProvider authProvider = new DaoAuthenticationProvider();
    authProvider.setUserDetailsService(userDetailsService);
    authProvider.setPasswordEncoder(encoder());
    return authProvider;
}

security 配置很简单:

  • 注入 UserDetailsService 实现类
  • 定义一个认证提供器,引用了 UserDetailsService
  • 启用了密码编码器

最后,我们需要在 security XML 配置中引用这个认证提供器:

<authentication-manager>
    <authentication-provider ref="authProvider" />
</authentication-manager>

或者,您也可以使用 Java 配置:

@Configuration
@ComponentScan(basePackages = { "org.baeldung.security" })
@EnableWebSecurity
public class SecSecurityConfig extends WebSecurityConfigurerAdapter {
 
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(authProvider());
    }
     
    ...
}

5、结论

本教程继上一篇的注册流程,通过利用简单却非常强大的 BCrypt 实现展示了如何正确地存储密码到数据库中。

该注册流程在 Spring Security 教程中已经完全实现,您可以在 GitHub 项目中找到 — 这是一个 Eclipse 项目,应该很容易导入和运行。

原文  https://juejin.im/post/5a5c8886518825732b19d1df
正文到此结束
所属分类: 编程技术 Spring

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
springboot-demo Java入门教程 bootstrap3 CSS Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 MongoDB教程 Struts2教程 Redis教程 Spring教程 Git教程 Jenkins进阶系列 openfire参考指南 Java设计模式 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 Hive教程 Ant教程 ANTLR教程 SpringCloud java实例教程 springcloud-demo XStream教程 Hazelcast教程 Elastic-Job-Lite 深入浅出MyBatis SVN教程 ibaties教程 rabittmq教程 solr教程 Hadoop教程 WebService CXF学习 JPA教程 ActiveMQ中文指南 java-demo Java内存模型 dubbo教程 python3-demo Linux入门视频教程
近期评论
  1. 1 Spring Cloud Consul实现选举机制
  2. 2 Spring Boot集成ShedLock实现分布式定时任务
  3. 3 利用oss进行数据库和网站图片备份
  4. 4 Spring Cloud Stream实现数据流处理
  5. 5 Python3访问MySQL数据库快速入门Demo
  6. 6 Github开源项目作者可以免费申请 JetBrains 全家桶
  7. 7 Spring Cloud Vault快速入门Demo
  8. 8 Spring Cloud Gateway快速入门Demo
  9. 9 Spring Cloud Contract快速入门Demo
  10. 10 Spring Cloud Consul快速入门Demo
网站信息
  • 文章总数:82,714 篇
  • 文件总数:284,287 个
  • 标签总数:2,393 个
  • 分类总数:85 个
  • 留言数量:2,560 条
  • 在线人数:669 人
  • 运行天数:4,409天
  • 最后更新:2024年11月22日05点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG