Spring Security更换加密方式的完整方案
更新时间:2025年12月04日 09:35:49 作者:明有所思
随着现在对软件系统安全性要求的越来越严苛,对于很多项目,升级密码都是势在必行的,若项目使用Spring Security框架,只需稍作修改,便可达到更换加密方式,所以本文给大家介绍了Spring Security更换加密方式的完整方案,需要的朋友可以参考下
随着现在对软件系统安全性要求的越来越严苛,对于很多项目,升级密码都是势在必行的,若项目使用Spring Security框架,只需稍作修改,便可达到更换加密方式,且自动更新存量数据的密码加密放肆。在Spring Security中更换密码加密方式,通常涉及迁移旧有用户密码并配置新的加密策略。以下是完整步骤和示例代码:
1. 理解Spring Security的加密接口
核心接口是PasswordEncoder,常用实现类:
BCryptPasswordEncoder(推荐)SCryptPasswordEncoderPbkdf2PasswordEncoderArgon2PasswordEncoderNoOpPasswordEncoder(明文,仅测试用)
2. 迁移方案(新旧密码共存)
使用DelegatingPasswordEncoder。DelegatingPasswordEncoder 是 Spring Security 中用于密码加密的核心组件,主要用于代理多种加密策略,兼容旧密码格式并支持升级加密方式,支持多种加密格式自动适配:
先来看DelegatingPasswordEncoder的构造方法:
public DelegatingPasswordEncoder(String idForEncode, Map<String, PasswordEncoder> idToPasswordEncoder) {
if (idForEncode == null) {
throw new IllegalArgumentException("idForEncode cannot be null");
} else if (!idToPasswordEncoder.containsKey(idForEncode)) {
throw new IllegalArgumentException("idForEncode " + idForEncode + "is not found in idToPasswordEncoder " + idToPasswordEncoder);
} else {
for(String id : idToPasswordEncoder.keySet()) {
if (id != null) {
if (id.contains("{")) {
throw new IllegalArgumentException("id " + id + " cannot contain " + "{");
}
if (id.contains("}")) {
throw new IllegalArgumentException("id " + id + " cannot contain " + "}");
}
}
}
this.idForEncode = idForEncode;
this.passwordEncoderForEncode = (PasswordEncoder)idToPasswordEncoder.get(idForEncode);
this.idToPasswordEncoder = new HashMap(idToPasswordEncoder);
}
}
其中参数idForEncode决定了密码编码器的类型,而idToPasswordEncoder决定了匹配密码时的兼容的密码编码器的类型,且idToPasswordEncoder中必须包含idForEncode,否则新密码加密后将无法匹配。
查看DelegatingPasswordEncoder类的类图可知,DelegatingPasswordEncoder类是PasswordEncoder的实现类。
根据DelegatingPasswordEncoder的构造器,定义PasswordEncoder密码编码器:
@Bean
public PasswordEncoder passwordEncoder() {
String idForEncode = "bcrypt"; // 默认使用BCrypt
Map<String, PasswordEncoder> idToPasswordEncoder = new HashMap<>();
idToPasswordEncoder.put(idForEncode, new BCryptPasswordEncoder());
idToPasswordEncoder.put("sha256", new MessageDigestPasswordEncoder("SHA-256")); // 旧系统加密方式
return new DelegatingPasswordEncoder(idForEncode, idToPasswordEncoder);
}
3. 密码存储格式要求
认证时根据前缀匹配加密器:
存储格式示例:
{bcrypt}$2a$10$dXJ3SW6G7P50lGmMkkmwe.20cQQubK3.HZWzG3YB1tlRy.fqvM/BG
{sha256}5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8
4. 数据库密码迁移脚本
-- 将旧密码加前缀
UPDATE t_user SET password = CONCAT('{sha256}', password)
WHERE password NOT LIKE '{_}%';
5. 安全配置示例
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.jdbcAuthentication()
.dataSource(dataSource)
.passwordEncoder(passwordEncoder())
.usersByUsernameQuery("SELECT username, password, enabled FROM users WHERE username=?")
.authoritiesByUsernameQuery("SELECT username, authority FROM authorities WHERE username=?");
}
@Bean
public PasswordEncoder passwordEncoder() {
// 委托式编码器配置
String idForEncode = "bcrypt"; // 默认使用BCrypt
Map<String, PasswordEncoder> idToPasswordEncoder = new HashMap<>();
idToPasswordEncoder.put(idForEncode, new BCryptPasswordEncoder());
idToPasswordEncoder.put("sha256", new MessageDigestPasswordEncoder("SHA-256")); // 旧系统加密方式
return new DelegatingPasswordEncoder(idForEncode, idToPasswordEncoder);
}
}
6. 密码自动升级策略(可选)
密码自动升级策略,适用于用户登录时自动更新密码格式,需要自定义PasswordEncoder的实现类,并在第5点安全配置中使用,可参照BCryptPasswordEncoder进行实现。
public class AutoUpgradePasswordEncoder implements PasswordEncoder {
private final PasswordEncoder currentEncoder;
private final PasswordEncoder newEncoder;
@Override
public boolean matches(CharSequence rawPassword, String encodedPassword) {
if (currentEncoder.matches(rawPassword, encodedPassword)) {
// 匹配成功且是旧编码时,触发密码升级
if (encodedPassword.startsWith("{sha256}")) {
String newPass = newEncoder.encode(rawPassword);
// 调用DAO更新数据库密码...
}
return true;
}
return newEncoder.matches(rawPassword, encodedPassword);
}
// encode()方法需实现...
}
7. 注意事项
- 前缀不可省略:
{id}encodedPassword格式是识别关键 - 加密强度:
// 调整BCrypt强度 (默认10) new BCryptPasswordEncoder(12)
- 禁用弱加密:避免使用MD5/SHA-1等已被破解的算法
- 密码迁移:在系统低负载时段执行数据库更新
- 测试策略:保留旧密码的用户测试账号
8. 最佳实践
主推算法:BCrypt(自适应强度抗GPU破解)
过渡方案:
安全规范:
- 密码强度要求:至少10位(字母+数字+特殊字符)
- 定期轮换:每90天提示修改密码(配合密码历史策略)
9.总结
Spring Security项目的密码升级主要是通过配置PasswordEncoder进行实现,但需要注意需要进行密码的迁移(旧密码添加前缀)。
- 密码强度要求:至少10位(字母+数字+特殊字符) - 定期轮换:每90天提示修改密码(配合密码历史策略)
通过上述设计,系统可以同时支持新旧用户认证,并逐步将旧密码升级到更安全的加密方式,整个过程对用户几乎无感知。
以上就是Spring Security更换加密方式的完整方案的详细内容,更多关于Spring Security更换加密方式的资料请关注脚本之家其它相关文章!
相关文章
这篇文章主要介绍了Filter中获取传递参数方式(解决post请求参数问题),具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2021-08-08
队列是一种特殊的线性表,它只允许在表的前端(front)进行删除操作,只允许在表的后端(rear)进行插入操作,下面介绍一下java使用数组和链表实现队列的示例2014-01-01
这篇文章就是利用java实现单词倒序排列,感觉像是在变魔术,感兴趣的小伙伴来见证一下2015-07-07
Java 是面向对象的编程语言,对象就是面向对象程序设计的核心。所谓对象就是真实世界中的实体,对象与实体是一一对应的,也就是说现实世界中每一个实体都是一个对象,它是一种具体的概念2021-11-11
Bellman-Ford算法与Dijkstra算法类似,都是以松弛操作作为基础,Bellman-Ford算法是对所有边都进行松弛操作,本文将详解Bellman-Ford算法原理及实现,感兴趣的可以了解一下2022-07-07
项目原因需要用到规则引擎,但是发现大部分不可以自由的进行规则定义,通过不断尝试变换关键字在搜索引擎搜索,最终在stackoverflow找到了一个探讨这个问题的帖子,特此将帖子中提到的方案分享一下,如果你跟我一样在研究同样的问题,也许对你有用2021-04-04
使用Spring Security集成手机验证码登录功能实现
本文详细介绍了如何利用SpringSecurity来实现手机验证码的注册和登录功能,在登录过程中,同样需通过验证码进行验证,文章还提供了相关的代码实现2024-10-10
拦截器(Interceptor)是一种动态拦截方法调用的机制,在SpringMVC中动态拦截控制器方法的执行。本文将详细讲讲SpringMVC中拦截器参数及拦截器链配置,感兴趣的可以尝试一下2022-07-07
这篇文章主要介绍了JDK动态代理之WeakCache缓存的实现机制2018-02-02
这篇文章主要介绍了Spring如何将bean添加到容器中,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2020-05-05
最新评论