使用spring security BCryptPasswordEncoder接入系统

更新时间：2023年08月25日 10:31:58 作者：kaili230

这篇文章主要介绍了使用spring security BCryptPasswordEncoder接入系统方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教

spring security BCryptPasswordEncoder接入系统

通常情况下，在新系统中使用BCrypt加密不需要考虑太多，但老系统由于存在大量旧数据，草率接入会导致老用户无法登录，这种情况该怎么解决？

很简单，我们自己实现一个PasswordEncoder 并继承BCrpytPasswordEncoder即可。

@Component
public class MyPasswordEncoder extends BCryptPasswordEncoder {
    private final Log logger = LogFactory.getLog(this.getClass());
    // BCrypt 密文的正则表达式
    private Pattern BCRYPT_PATTERN = Pattern.compile("\\A\\$2(a|y|b)?\\$(\\d\\d)\\$[./0-9A-Za-z]{53}");
    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        if (rawPassword == null) {
            throw new IllegalArgumentException("rawPassword cannot be null");
        } else if (encodedPassword != null && encodedPassword.length() != 0) {
            if (!this.BCRYPT_PATTERN.matcher(encodedPassword).matches()) {
                // TODO 如果密码不是BCrypt 密文 do something
                return ...;
            } else {
                return BCrypt.checkpw(rawPassword.toString(), encodedPassword);
            }
        } else {
            this.logger.warn("Empty encoded password");
            return false;
        }
    }
}

在这个PasswordEncoder中，只有当密码不是BCrypt密文时，才启用自定义的匹配逻辑，

其余还是沿用原来的方案，即可轻松达到兼容的目的。

再进一步，如果我们不仅想要兼容，还想将不安全的旧密码无缝修改成BCrypt密文，该如何操作呢？这是个很好的问题。

如果旧密码都是未经任何加密的明文，也许“跑库”修改是非常好的一种选择，但并非所有系统都有这么理想的状态。

假如旧密码都是被散列加密过的，那么可以使用下列两种选择：

1.使用增量更新的方法。当用户输入的密码正确时，判断数据库中的密码是否为BCrypt密文，如果不是，则尝试使用用户输入的密码重新生成BCrpyt密文并写回数据库。

2.以旧的加密方案作为基础接入BCrpyt加密，eg: 旧的方案是MD5加密，即数据库中的所有密码都是MD5形式的密码，那么直接把这些密码当作明文，先“跑库”生成BCrypt密文，再使用encode和matches两个方法在执行BCrypt加密之前都先用MD5运算一遍即可。

spring security的BCryptPasswordEncoder问题

早些年，那会把一个老项目的登录模块重构，从Shiro转Spring Security，那时候快速换完后没多看，最近又在公司做类似同样的操作，给一个老项目加上Spring Security。所以我决定简单写点什么。相信用过Spring Security的伙伴们，应该对这个BCryptPasswordEncoder 都有好奇。为啥好奇，这个家伙的加密方法encode每次生成的密后密码都不一样，但是校验方法matches却能准确地去检验匹配。

不多说，现在一起来看看。

1. 先看encode这个方法

不用细看，我们看两个关键信息：

BCrypt.gensalt
BCrypt.hashpw

没错，这个加密算法其实是强哈希+盐+密钥（默认用密码）。因为使用到了哈希，所以是不可逆。

这也就能初步明白matches 为什么只能用来做校验匹配，而不是直接解密。 这点意味着就算你加密后的密码泄露了，别人想直接得到明文几乎是不可能的。

接下来，有必要看hashpw么，放到下面一起看。

2. 接下来看matches这个方法

关注点：

BCrypt.checkpw(rawPassword.toString(), encodedPassword);

没错，因为哈希无法逆操作，所以匹配过程中也是用了hashpw 。可以看到了checkpw这个方法，我们传入的密文其实命名已经是 hashed ，没错，这个密文就是一个带有盐值的哈希。

hashpw 里面，前面一大堆都是在校验密文格式对不对，因为可以看到我们的加密后得到的密文格式是不是有点像？

符合格式了就开始截取：

明文有了，盐值也有了，那么匹配就跟我们一般接口的sign认证一样了。

简单的了解就到此吧。

PS：这个BCryptPasswordEncoder加密&校验方法当个工具类，导包+启动类屏蔽Security默认自动装配，用起来也是可以的。

@SpringBootApplication(exclude = {SecurityAutoConfiguration.class})

总结

以上为个人经验，希望能给大家一个参考，也希望大家多多支持脚本之家。

您可能感兴趣的文章:

Spring 框架中注入或替换方法实现
这篇文章主要介绍了Spring 框架中注入或替换方法实现,非常不错,具有参考借鉴价值,感兴趣的朋友跟随脚本之家小编一起学习吧
2018-05-05
手把手教你搭建第一个Spring Batch项目的步骤
这篇文章主要介绍了手把手教你搭建第一个Spring Batch项目的步骤，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2020-09-09
Spring security权限配置与使用大全
Spring Security 本质上是借助一系列的 Servlet Filter来提供各种安全性功能，但这并不需要我们手动去添加或者创建多个Filter，本文重点给大家介绍spring-security的配置与使用及实现方式，感兴趣的朋友一起看看吧
2021-09-09
Java中四种引用详解
这篇文章主要为大家介绍了Java中的四种引用，具有一定的参考价值，感兴趣的小伙伴们可以参考一下，希望能够给你带来帮助
2021-12-12
java合成模式之神奇的树结构
这篇文章主要介绍了java合成模式，文中运用大量的代码进行详细讲解，希望大家看完本文后能学习到相关的知识，需要的朋友可以参考一下
2021-08-08
Java微信二次开发（一） Java微信请求验证功能
这篇文章主要为大家详细介绍了Java微信二次开发第一篇，Java微信请求验证功能，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2017-04-04
Java使用多线程异步执行批量更新操作方法
这篇文章主要介绍了Java使用多线程异步执行批量更新操作,本文给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2021-01-01
Java开发学习之Bean的生命周期详解
从创建到消亡的完整过程,例如人从出生到死亡的整个过程就是一个生命周期。本文将通过示例为大家详细讲讲Bean的生命周期，感兴趣的可以学习一下
2022-06-06
Springboot实现页面间跳转功能
这篇文章主要介绍了Springboot实现页面间跳转功能,本文给大家分享两种方式,方法一和方法二是不冲突的,但是通常情况下如果用方法二addViewControllers,需要把方法一所写的Controller类给注释掉,需要的朋友可以参考下
2023-10-10
关于SpringBoot配置文件application.properties的路径问题
这篇文章主要介绍了关于SpringBoot配置文件application.properties的路径问题，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2022-08-08