Spring Boot 中密码加密的两种姿势!

安全 数据安全
先说一句:密码是无法解密的。大家也不要再问松哥微人事项目中的密码怎么解密了!密码无法解密,还是为了确保系统安全。今天松哥就来和大家聊一聊,密码要如何处理,才能在最大程度上确保我们的系统安全。

 先说一句:密码是无法解密的。大家也不要再问松哥微人事项目中的密码怎么解密了!

密码无法解密,还是为了确保系统安全。今天松哥就来和大家聊一聊,密码要如何处理,才能在最大程度上确保我们的系统安全。

[[330519]]

1.为什么要加密

2011 年 12 月 21 日,有人在网络上公开了一个包含 600 万个 CSDN 用户资料的数据库,数据全部为明文储存,包含用户名、密码以及注册邮箱。事件发生后 CSDN 在微博、官方网站等渠道发出了声明,解释说此数据库系 2009 年备份所用,因不明原因泄露,已经向警方报案,后又在官网发出了公开道歉信。在接下来的十多天里,金山、网易、京东、当当、新浪等多家公司被卷入到这次事件中。整个事件中最触目惊心的莫过于 CSDN 把用户密码明文存储,由于很多用户是多个网站共用一个密码,因此一个网站密码泄露就会造成很大的安全隐患。由于有了这么多前车之鉴,我们现在做系统时,密码都要加密处理。

这次泄密,也留下了一些有趣的事情,特别是对于广大程序员设置密码这一项。人们从 CSDN 泄密的文件中,发现了一些好玩的密码,例如如下这些:

  • ppnn13%dkstFeb.1st 这段密码的中文解析是:娉娉袅袅十三余,豆蔻梢头二月初。
  • csbt34.ydhl12s 这段密码的中文解析是:池上碧苔三四点,叶底黄鹂一两声
  • ...

等等不一而足,你会发现很多程序员的人文素养还是非常高的,让人啧啧称奇。

2.加密方案

密码加密我们一般会用到散列函数,又称散列算法、哈希函数,这是一种从任何数据中创建数字“指纹”的方法。

散列函数把消息或数据压缩成摘要,使得数据量变小,将数据的格式固定下来,然后将数据打乱混合,重新创建一个散列值。散列值通常用一个短的随机字母和数字组成的字符串来代表。好的散列函数在输入域中很少出现散列冲突。在散列表和数据处理中,不抑制冲突来区别数据,会使得数据库记录更难找到。

我们常用的散列函数有 MD5 消息摘要算法、安全散列算法(Secure Hash Algorithm)。

但是仅仅使用散列函数还不够,单纯的只使用散列函数,如果两个用户密码明文相同,生成的密文也会相同,这样就增加的密码泄漏的风险。

为了增加密码的安全性,一般在密码加密过程中还需要加盐,所谓的盐可以是一个随机数也可以是用户名,加盐之后,即使密码明文相同的用户生成的密码密文也不相同,这可以极大的提高密码的安全性。

传统的加盐方式需要在数据库中有专门的字段来记录盐值,这个字段可能是用户名字段(因为用户名唯一),也可能是一个专门记录盐值的字段,这样的配置比较繁琐。

Spring Security 提供了多种密码加密方案,官方推荐使用 BCryptPasswordEncoder,BCryptPasswordEncoder 使用 BCrypt 强哈希函数,开发者在使用时可以选择提供 strength 和 SecureRandom 实例。strength 越大,密钥的迭代次数越多,密钥迭代次数为 2^strength。strength 取值在 4~31 之间,默认为 10。

不同于 Shiro 中需要自己处理密码加盐,在 Spring Security 中,BCryptPasswordEncoder 就自带了盐,处理起来非常方便。

3.实践

3.1 codec 加密

commons-codec 是一个 Apache 上的开源项目,用它可以方便的实现密码加密。松哥在 V 部落 项目中就是采用的这种方案(https://github.com/lenve/VBlog)。在 Spring Security 还未推出 BCryptPasswordEncoder 的时候,commons-codec 还是一个比较常见的解决方案。

所以,这里我先来给大家介绍下 commons-codec 的用法。

首先我们需要引入 commons-codec 的依赖:

  1. <dependency> 
  2.  <groupId>commons-codec</groupId> 
  3.  <artifactId>commons-codec</artifactId> 
  4.  <version>1.11</version> 
  5. </dependency> 

然后自定义一个 PasswordEncoder:

  1. @Component 
  2. public class MyPasswordEncoder implements PasswordEncoder { 
  3.     @Override 
  4.     public String encode(CharSequence rawPassword) { 
  5.         return DigestUtils.md5DigestAsHex(rawPassword.toString().getBytes()); 
  6.     } 
  7.  
  8.     @Override 
  9.     public boolean matches(CharSequence rawPassword, String encodedPassword) { 
  10.         return encodedPassword.equals(DigestUtils.md5DigestAsHex(rawPassword.toString().getBytes())); 
  11.     } 

在 Spring Security 中,PasswordEncoder 专门用来处理密码的加密与比对工作,我们自定义 MyPasswordEncoder 并实现 PasswordEncoder 接口,还需要实现该接口中的两个方法:

  • encode 方法表示对密码进行加密,参数 rawPassword 就是你传入的明文密码,返回的则是加密之后的密文,这里的加密方案采用了 MD5。
  • matches 方法表示对密码进行比对,参数 rawPassword 相当于是用户登录时传入的密码,encodedPassword 则相当于是加密后的密码(从数据库中查询而来)。

最后记得将 MyPasswordEncoder 通过 @Component 注解标记为 Spring 容器中的一个组件。

这样用户在登录时,就会自动调用 matches 方法进行密码比对。

当然,使用了 MyPasswordEncoder 之后,在用户注册时,就需要将密码加密之后存入数据库中,方式如下:

  1. public int reg(User user) { 
  2.     ... 
  3.     //插入用户,插入之前先对密码进行加密 
  4.     user.setPassword(passwordEncoder.encode(user.getPassword())); 
  5.     result = userMapper.reg(user); 
  6.     ... 

其实很简单,就是调用 encode 方法对密码进行加密。完整代码大家可以参考 V 部落(https://github.com/lenve/VBlog),我这里就不赘述了。

3.2 BCryptPasswordEncoder 加密

但是自己定义 PasswordEncoder 还是有些麻烦,特别是处理密码加盐问题的时候。

所以在 Spring Security 中提供了 BCryptPasswordEncoder,使得密码加密加盐变得非常容易。只需要提供 BCryptPasswordEncoder 这个 Bean 的实例即可,微人事就是采用了这种方案(https://github.com/lenve/vhr),如下:

  1. @Bean 
  2. PasswordEncoder passwordEncoder() { 
  3.     return new BCryptPasswordEncoder(10); 

创建 BCryptPasswordEncoder 时传入的参数 10 就是 strength,即密钥的迭代次数(也可以不配置,默认为 10)。同时,配置的内存用户的密码也不再是 123 了,如下:

  1. auth.inMemoryAuthentication() 
  2. .withUser("admin"
  3. .password("$2a$10$RMuFXGQ5AtH4wOvkUqyvuecpqUSeoxZYqilXzbz50dceRsga.WYiq"
  4. .roles("ADMIN""USER"
  5. .and() 
  6. .withUser("sang"
  7. .password("$2a$10$eUHbAOMq4bpxTvOVz33LIehLe3fu6NwqC9tdOcxJXEhyZ4simqXTC"
  8. .roles("USER"); 

这里的密码就是使用 BCryptPasswordEncoder 加密后的密码,虽然 admin 和 sang 加密后的密码不一样,但是明文都是 123。配置完成后,使用 admin/123 或者 sang/123 就可以实现登录。

本案例使用了配置在内存中的用户,一般情况下,用户信息是存储在数据库中的,因此需要在用户注册时对密码进行加密处理,如下:

  1. @Service 
  2. public class RegService { 
  3.     public int reg(String username, String password) { 
  4.         BCryptPasswordEncoder encoder = new BCryptPasswordEncoder(10); 
  5.         String encodePasswod = encoder.encode(password); 
  6.         return saveToDb(username, encodePasswod); 
  7.     } 

用户将密码从前端传来之后,通过调用 BCryptPasswordEncoder 实例中的 encode 方法对密码进行加密处理,加密完成后将密文存入数据库。

4.源码浅析

最后我们再来稍微看一下 PasswordEncoder。

  1. public interface PasswordEncoder { 
  2.  String encode(CharSequence rawPassword); 
  3.  boolean matches(CharSequence rawPassword, String encodedPassword); 
  4.  default boolean upgradeEncoding(String encodedPassword) { 
  5.   return false
  6.  } 
  • encode 方法用来对密码进行加密。
  • matches 方法用来对密码进行比对。
  • upgradeEncoding 表示是否需要对密码进行再次加密以使得密码更加安全,默认为 false。

Spring Security 为 PasswordEncoder 提供了很多实现:

但是老实说,自从有了 BCryptPasswordEncoder,我们很少关注其他实现类了。

PasswordEncoder 中的 encode 方法,是我们在用户注册的时候手动调用。

matches 方法,则是由系统调用,默认是在 DaoAuthenticationProvider#additionalAuthenticationChecks 方法中调用的。

  1. protected void additionalAuthenticationChecks(UserDetails userDetails, 
  2.   UsernamePasswordAuthenticationToken authentication) 
  3.   throws AuthenticationException { 
  4.  if (authentication.getCredentials() == null) { 
  5.   logger.debug("Authentication failed: no credentials provided"); 
  6.   throw new BadCredentialsException(messages.getMessage( 
  7.     "AbstractUserDetailsAuthenticationProvider.badCredentials"
  8.     "Bad credentials")); 
  9.  } 
  10.  String presentedPassword = authentication.getCredentials().toString(); 
  11.  if (!passwordEncoder.matches(presentedPassword, userDetails.getPassword())) { 
  12.   logger.debug("Authentication failed: password does not match stored value"); 
  13.   throw new BadCredentialsException(messages.getMessage( 
  14.     "AbstractUserDetailsAuthenticationProvider.badCredentials"
  15.     "Bad credentials")); 
  16.  } 

可以看到,密码比对就是通过 passwordEncoder.matches 方法来进行的。

本文转载自微信公众号「 江南一点雨」,可以通过以下二维码关注。转载本文请联系 江南一点雨公众号。

 

责任编辑:武晓燕 来源: 江南一点雨
相关推荐

2020-08-05 08:30:25

Spring BootJavaSE代码

2019-04-25 09:13:33

解密恶意驱动字串

2011-06-23 09:07:16

2009-09-08 15:22:20

Spring依赖注入

2014-03-06 17:52:25

2021-01-25 14:10:49

Spring BootVueJava

2009-06-23 18:18:13

SpringHibernate

2010-11-19 11:57:15

Oracle密码丢失

2009-06-15 15:02:48

Spring定时器

2021-09-15 16:20:02

Spring BootFilterJava

2009-06-19 17:05:08

MVC框架Struts和Spri

2009-06-29 18:11:40

JSP设计模式

2010-08-20 13:51:44

路由器密码

2010-08-13 15:12:05

CISCO密码

2009-09-14 19:25:09

Ruby form

2015-05-06 10:05:22

javajava框架spring aop

2011-03-03 17:00:37

pure-ftpdchroot

2010-03-16 15:23:32

java动态载入

2009-12-07 13:42:24

WCF框架

2010-07-02 10:28:41

虚拟化桌面虚拟化
点赞
收藏

51CTO技术栈公众号