深入浅析Spring Security5中默认密码编码器
1.概述
在Spring Security 4中,可以使用内存中身份验证以纯文本格式存储密码。
对版本5中的密码管理过程进行了重大改进,为密码编码和解码引入了更安全的默认机制。这意味着如果您的Spring应用程序以纯文本格式存储密码,升级到Spring Security 5可能会导致问题。
在这个简短的教程中,我们将描述其中一个潜在的问题,并展示该问题的解决方案。
2. Spring Security 4
我们首先展示一个标准的安全配置,它提供简单的内存中身份验证(适用于Spring 4):
@Configuration
public class InMemoryAuthWebSecurityConfigurer
extends WebSecurityConfigurerAdapter {
@Override
protected void configure(AuthenticationManagerBuilder auth)
throws Exception {
auth.inMemoryAuthentication()
.withUser("spring")
.password("secret")
.roles("USER");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/private/**")
.authenticated()
.antMatchers("/public/**")
.permitAll()
.and()
.httpBasic();
}
}
此配置定义所有/私有/映射方法的身份验证以及/ public /下所有内容的公共访问。
如果我们在Spring Security 5下使用相同的配置,我们会收到以下错误:
java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"
该错误告诉我们由于没有为我们的内存中身份验证配置密码编码器,因此无法解码给定的密码。
3. Spring Security 5
我们可以通过使用PasswordEncoderFactories类定义DelegatingPasswordEncoder来解决此错误。
我们使用此编码器通过AuthenticationManagerBuilder配置我们的用户:
@Configuration
public class InMemoryAuthWebSecurityConfigurer
extends WebSecurityConfigurerAdapter {
@Override
protected void configure(AuthenticationManagerBuilder auth)
throws Exception {
PasswordEncoder encoder = PasswordEncoderFactories.createDelegatingPasswordEncoder();
auth.inMemoryAuthentication()
.withUser("spring")
.password(encoder.encode("secret"))
.roles("USER");
}
}
现在,通过这种配置,我们使用BCrypt以以下格式存储我们的内存中密码:
{bcrypt}$2a$10$MF7hYnWLeLT66gNccBgxaONZHbrSMjlUofkp50sSpBw2PJjUqU.zS
虽然我们可以定义自己的一组密码编码器,但建议坚持使用PasswordEncoderFactories中提供的默认编码器。
3.1.迁移现有密码
我们可以通过以下方式将现有密码更新为推荐的Spring Security 5标准:
更新纯文本存储密码及其编码值:
String encoded = new BCryptPasswordEncoder().encode(plainTextPassword);
前缀散列存储的密码及其已知的编码器标识符:
{bcrypt}$2a$10$MF7hYnWLeLT66gNccBgxaONZHbrSMjlUofkp50sSpBw2PJjUqU.zS
{sha256}97cde38028ad898ebc02e690819fa220e88c62e0699403e94fff291cfffaf8410849f27605abcbc0
当存储密码的编码机制未知时,请求用户更新其密码
4.结论
在这个快速示例中,我们使用新的密码存储机制将有效的Spring 4内存中认证配置更新到Spring 5。
与往常一样,您可以在GitHub项目中找到源代码。
总结
以上所述是小编给大家介绍的Spring Security 5中默认密码编码器,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对脚本之家网站的支持!
如果你觉得本文对你有帮助,欢迎转载,烦请注明出处,谢谢!
相关文章
这篇文章主要介绍了java double类型相加精度问题的解决,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧2021-01-01
这篇文章主要介绍了简单了解java数组传递方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2019-10-10
这篇文章主要介绍了详解RestTemplate的三种使用方式,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2018-10-10
这篇文章主要为大家详细介绍了win7 64bit下JDK 1.8 安装配置教程,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2018-08-08
这篇文章主要介绍了Jdk1.8 HashMap实现原理详细介绍的相关资料,需要的朋友可以参考下2016-12-12
这篇文章主要介绍了Java泛型之上界下界通配符详解,学习使用泛型编程时,更令人困惑的一个方面是确定何时使用上限有界通配符以及何时使用下限有界通配符。本文提供一些设计代码时要遵循的一些准则。,需要的朋友可以参考下2019-06-06
Spring Boot中除了对常用的关系型数据库提供了优秀的自动化支持之外,对于很多NoSQL数据库一样提供了自动化配置的支持。本篇文章主要介绍了Spring Boot中Redis的使用实例代码,有兴趣的开业了解一下。2017-04-04
这篇文章主要介绍了Java中String创建的字符串对象内存分配测试,给大家详细介绍了在创建String对象的两种常用方法比较,通过示例代码给大家介绍的非常详细,需要的朋友可以参考下2021-07-07
学习JAVA这门面向对象的语言,实质就是不断地创建类,并把类实例化为对象并调用方法。对于初学JAVA的人总搞清楚对象是如何实例化的,假如类之间存在继承关系,那就更糊涂了。下面我们通过两个例题来说明对象的实例化过程。2016-03-03
springboot2.2 集成 activity6实现请假流程(示例详解)
这篇文章主要介绍了springboot2.2 集成 activity6实现请假完整流程示例详解,本文通过示例代码图文相结合给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2020-07-07
最新评论