深入浅析Spring Security5中默认密码编码器

更新时间：2019年05月27日 10:25:57 作者：程序猿Knight

这篇文章主要介绍了Spring Security5中默认密码编码器，非常不错，具有一定的参考借鉴价值 ,需要的朋友可以参考下

1.概述

在Spring Security 4中，可以使用内存中身份验证以纯文本格式存储密码。

对版本5中的密码管理过程进行了重大改进，为密码编码和解码引入了更安全的默认机制。这意味着如果您的Spring应用程序以纯文本格式存储密码，升级到Spring Security 5可能会导致问题。

在这个简短的教程中，我们将描述其中一个潜在的问题，并展示该问题的解决方案。

2. Spring Security 4

我们首先展示一个标准的安全配置，它提供简单的内存中身份验证（适用于Spring 4）：

@Configuration
public class InMemoryAuthWebSecurityConfigurer 
 extends WebSecurityConfigurerAdapter {
 
 @Override
 protected void configure(AuthenticationManagerBuilder auth) 
 throws Exception {
 auth.inMemoryAuthentication()
  .withUser("spring")
  .password("secret")
  .roles("USER");
 }
 
 @Override
 protected void configure(HttpSecurity http) throws Exception {
 http.authorizeRequests()
  .antMatchers("/private/**")
  .authenticated()
  .antMatchers("/public/**")
  .permitAll()
  .and()
  .httpBasic();
 }
}

此配置定义所有/私有/映射方法的身份验证以及/ public /下所有内容的公共访问。

如果我们在Spring Security 5下使用相同的配置，我们会收到以下错误：

java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"

该错误告诉我们由于没有为我们的内存中身份验证配置密码编码器，因此无法解码给定的密码。

3. Spring Security 5

我们可以通过使用PasswordEncoderFactories类定义DelegatingPasswordEncoder来解决此错误。

我们使用此编码器通过AuthenticationManagerBuilder配置我们的用户：

@Configuration
public class InMemoryAuthWebSecurityConfigurer 
 extends WebSecurityConfigurerAdapter {
 
 @Override
 protected void configure(AuthenticationManagerBuilder auth) 
 throws Exception {
 PasswordEncoder encoder = PasswordEncoderFactories.createDelegatingPasswordEncoder();
 auth.inMemoryAuthentication()
  .withUser("spring")
  .password(encoder.encode("secret"))
  .roles("USER");
 }
}

现在，通过这种配置，我们使用BCrypt以以下格式存储我们的内存中密码：

{bcrypt}$2a$10$MF7hYnWLeLT66gNccBgxaONZHbrSMjlUofkp50sSpBw2PJjUqU.zS

虽然我们可以定义自己的一组密码编码器，但建议坚持使用PasswordEncoderFactories中提供的默认编码器。

3.1.迁移现有密码

我们可以通过以下方式将现有密码更新为推荐的Spring Security 5标准：

更新纯文本存储密码及其编码值：

String encoded = new BCryptPasswordEncoder().encode(plainTextPassword);

前缀散列存储的密码及其已知的编码器标识符：

{bcrypt}$2a$10$MF7hYnWLeLT66gNccBgxaONZHbrSMjlUofkp50sSpBw2PJjUqU.zS
{sha256}97cde38028ad898ebc02e690819fa220e88c62e0699403e94fff291cfffaf8410849f27605abcbc0

当存储密码的编码机制未知时，请求用户更新其密码

4.结论

在这个快速示例中，我们使用新的密码存储机制将有效的Spring 4内存中认证配置更新到Spring 5。

与往常一样，您可以在GitHub项目中找到源代码。

总结

以上所述是小编给大家介绍的Spring Security 5中默认密码编码器,希望对大家有所帮助，如果大家有任何疑问请给我留言，小编会及时回复大家的。在此也非常感谢大家对脚本之家网站的支持！
如果你觉得本文对你有帮助，欢迎转载，烦请注明出处，谢谢！

您可能感兴趣的文章:

JVM进阶教程之字段访问优化浅析
这篇文章主要给大家介绍了关于JVM进阶教程之字段访问优化的相关资料，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2019-01-01
SpringMVC返回图片的几种方式(小结)
这篇文章主要介绍了SpringMVC返回图片的几种方式(小结),小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2018-01-01
Java Map的几种循环方式总结
这篇文章主要是对Java中Map的几种循环方式进行了详细的总结介绍，需要的朋友可以过来参考下，希望对大家有所帮助
2013-12-12
JDK13的新特性之AppCDS详解
AppCDS的全称是Application Class-Data Sharing。主要是用来在不同的JVM中共享Class-Data信息，从而提升应用程序的启动速度。这篇文章主要介绍了JDK13的新特性:AppCDS详解,需要的朋友可以参考下
2020-05-05
4种java复制文件的方式
本篇文章列举了4种最受欢迎的java复制文件的方式，复制文件是一个重要的操作,需要的朋友可以参考下
2015-07-07
SpringBoot中@Pattern注解对时间格式校验方式
这篇文章主要介绍了SpringBoot中@Pattern注解对时间格式校验方式，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2021-09-09
深入Sqlite多线程入库的问题
本篇文章是对Sqlite多线程入库的问题进行了详细的分析介绍，需要的朋友参考下
2013-05-05
Java利用PDFBox实现PDF文档基本操作
这篇文章主要为大家详细介绍了java如何利用PDFBox实现PDF文档基本操作,例如创建PDF文档、加载PDF文档、获取总页数等,需要的小伙伴可以参考下
2023-11-11
Java调用Python脚本传递数据并返回计算结果
实际工程项目中可能会用到Java和python两种语言结合进行,这样就会涉及到一个问题，Java如何调用Python脚本，感兴趣的可以了解一下
2021-05-05
java实现学生宿舍系统
这篇文章主要为大家详细介绍了java实现学生宿舍系统，文中示例代码介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2022-03-03