首页 > 其他分享 >[转]Spring Security 中默认使用的 BCryptPasswordEncoder 密码加盐

[转]Spring Security 中默认使用的 BCryptPasswordEncoder 密码加盐

时间:2023-12-25 15:36:13浏览次数:44  
标签:10 String BCryptPasswordEncoder Spring 2a 密文 原文 Security salt

原文地址:Spring Security BCryptPasswordEncoder 密码加盐_bcryptpasswordencoder 加盐-CSDN博客

引入spring-boot-starter-security 的Jar包
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>

使用 BCryptPasswordEncoder 对密码加盐加密
测试类

//region Description
BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
for (int i = 0; i < 10; i++) {
String admin = bCryptPasswordEncoder.encode("admin");
System.out.println(admin);
}
// 从上面的输出中随便拿一个
System.out.println(bCryptPasswordEncoder.matches("admin", "$2a$10$U96JT2Wzq/0w1D9XBUsXQ.s7AHgruQayc3ay2oqYkGJyJb1vZyJ0i"));
//endregion

上面的运行结果

$2a$10$w2/bCNOlrFxx.2.JP62AC.GtCGWVHuSPqqA27tcR1DxseKRebiU2G
$2a$10$U96JT2Wzq/0w1D9XBUsXQ.s7AHgruQayc3ay2oqYkGJyJb1vZyJ0i
$2a$10$lJTuTYwNxIecuqlvrVGmQODghl1hAOQ7RiQX5n0nAzUm/GJWo8JyW
$2a$10$sQw2UP2PTajRgCcUTl/v8OdUrV7rCMHDpfEDDJnFHcZDTDbiDpHIO
$2a$10$ZxBi1IS9HFA/eu/eYI.MueNT7.6FtvYWQ2SmGgIBD/Ilunj/I/oCa
$2a$10$eIJXe5.HdLPADm5dNt2OZuHDU0Ah3pGAQJGYA5Xygzsg.TnyX0K3m
$2a$10$bc.cR8suk4F78sxlwNyYn.wxpXBxxTIEhqzmY17F6dcPT7w72Hry2
$2a$10$vSTY.wb3RXovBvm43KUUHucQiStV2CfQySh6LkgMztOPcIYjz2Whm
$2a$10$/ruK9/xObSI3ogMC6ozGDeTv3SEkVuMRcqBvx6M79fiMasdMPoqwe
$2a$10$ueyHKn/h2dyixZ2Gr7d3feXYMZvJTOXGSZFx7n/c/ROSdBf1RhfA2
true

可以发现对密码加密, 每次都是不一样的密文, 但是任意的一个结果密文和原文match , 得到的都是true, 这到底是是怎么回事尼?

先说结论

BCryptPasswordEncoder的 encode 方法对 原文加密, 是会产生随机数的 盐 salt, 所以每次加密得到的密文都是不同的

那么每次不同, 如何实现可以比较出原文 和密文是否相匹配尼, 重点就是在密文里面包含了随机生成的 salt, 加密和解密都是调用的一样的方法。 所以可以比较出来

就拿上面生成的密文来说吧: $2a$10$ueyHKn/h2dyixZ2Gr7d3feXYMZvJTOXGSZFx7n/c/ROSdBf1RhfA2
通过debug, 可以发现他的 salt 为$2a$10$ueyHKn/h2dyixZ2Gr7d3fe
real_salt 为 ueyHKn/h2dyixZ2Gr7d3fe
而 密文为 $2a$10$ueyHKn/h2dyixZ2Gr7d3feXYMZvJTOXGSZFx7n/c/ROSdBf1RhfA2
可以发现密文里面其实包含了盐
我们知道 密文是由 原文 和 盐 根据算法生成的。
那么我们现在知道了密文, 也就是说知道了盐, 也知道了原文。 用这个原文和 盐在生成一次密文, 如果这个得出的密文等于比较的密文, 那么说明这个密文就是这个原文生成的

跟着源码看一下

加密实现

public String encode(CharSequence rawPassword) {
String salt;
// 生成随机数盐
if (random != null) {
salt = BCrypt.gensalt(version.getVersion(), strength, random);
} else {
salt = BCrypt.gensalt(version.getVersion(), strength);
}
// 根据 随机数盐 和原文, 生成密文
return BCrypt.hashpw(rawPassword.toString(), salt);
}

public static String hashpw(byte passwordb[], String salt) {
......
.......
// 对随机数盐做一些处理, 得到真正的盐, (前面的规则不用理会, 一些特定的分隔符而已)

real_salt = salt.substring(off + 3, off + 25);
saltb = decode_base64(real_salt, BCRYPT_SALT_LEN);

if (minor >= 'a') // add null terminator
passwordb = Arrays.copyOf(passwordb, passwordb.length + 1);

B = new BCrypt();
hashed = B.crypt_raw(passwordb, saltb, rounds, minor == 'x', minor == 'a' ? 0x10000 : 0);

rs.append("$2");
if (minor >= 'a')
rs.append(minor);
rs.append("$");
if (rounds < 10)
rs.append("0");
rs.append(rounds);
rs.append("$");
encode_base64(saltb, saltb.length, rs);
encode_base64(hashed, bf_crypt_ciphertext.length * 4 - 1, rs);
// 最终的密文
return rs.toString();
}

match 实现

public boolean matches(CharSequence rawPassword, String encodedPassword) {
if (encodedPassword == null || encodedPassword.length() == 0) {
logger.warn("Empty encoded password");
return false;
}

if (!BCRYPT_PATTERN.matcher(encodedPassword).matches()) {
logger.warn("Encoded password does not look like BCrypt");
return false;
}

return BCrypt.checkpw(rawPassword.toString(), encodedPassword);
}

public static boolean checkpw(String plaintext, String hashed) {
return equalsNoEarlyReturn(hashed, hashpw(plaintext, hashed));
}

static boolean equalsNoEarlyReturn(String a, String b) {
return MessageDigest.isEqual(a.getBytes(StandardCharsets.UTF_8), b.getBytes(StandardCharsets.UTF_8));
}

可以发现, encode , 和 match 都是通过一样的方式生成密文, 都是通过 hashpw(原文, 盐)。 match 多了一个equal 比较方法
————————————————
版权声明:本文为CSDN博主「BinBin_Bang」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/biubiubiubibibi/article/details/127579426

其他参考文章:

密码的加密加盐处理-腾讯云开发者社区-腾讯云

标签:10,String,BCryptPasswordEncoder,Spring,2a,密文,原文,Security,salt
From: https://www.cnblogs.com/dirgo/p/17926176.html

相关文章

  • SpringBoot 这么实现动态数据源切换,就很丝滑!
    大家好,我是小富~简介项目开发中经常会遇到多数据源同时使用的场景,比如冷热数据的查询等情况,我们可以使用类似现成的工具包来解决问题,但在多数据源的使用中通常伴随着定制化的业务,所以一般的公司还是会自行实现多数据源切换的功能,接下来一起使用实现自定义注解的形式来实现一下。......
  • Springboot实现发送邮件功能
    相信使用过Spring的众多开发者都知道Spring提供了非常好用的JavaMailSender接口实现邮件发送,在SpringBoot的Starter模块中也为此提供了自动化配置。下面通过实例来讲解如何在SpringBoot中使用JavaMailSender发送邮件。目录一、前言1.基础知识2.传输协议3.进阶知识二、实......
  • 基于SpringBoot的人才招聘网站
    项目源码获取方式放在文章末尾处项目技术数据库:Mysql5.7或8.0数据表:16张开发语言:Java(jdk1.8)开发工具:idea前端技术:layui后端技术:springboot附文档 功能简介项目获取关键字:招聘该项目是一个人才招聘网站,页面分为前台招聘页和后台管理,具体功能菜单如下:前台首页    求职者   ......
  • 基于SpringBoot的人事管理系统
    项目源码获取方式放在文章末尾处项目技术数据库:Mysql5.7或8.0数据表:11张开发语言:Java(jdk1.8)开发工具:idea前端技术:html后端技术:springboot 功能简介项目获取关键字:人事该项目是一个人事管理系统,角色分为管理员和员工,具体功能菜单如下:管理员端    主页    员工管理   ......
  • Spring 自带的常用工具包
    在SpringFramework里的spring-core包里面,有个org.springframework.util里面;另一个工具包是commons-lang3参考:https://mp.weixin.qq.com/s/ZalSIQMRXJ0edhJUaw7oxw                 ......
  • Hzero教程:创建基于hzero的springboot单体maven项目完整步骤
    创建项目更新时间:2023-12-0115:38:30介绍项目是基于Springboot的maven项目,本章节介绍怎样创建基于HZERO平台的项目。新建maven项目添加项目依赖添加默认配置文件创建maven项目本地新建一个空的maven项目hzero-todo-service。$mkdir-phzero-todo-service$cdhzero-tod......
  • 4、SpringBoot2之整合SpringMVC
    创建名为springboot_springmvc的新module,过程参考3.1节4.1、重要的配置参数在springboot中,提供了许多和web相关的配置参数(详见官方文档),其中有三个比较重要:4.1.1、server.port该配置参数用于设置web应用程序的服务端口号,默认值为80804.1.2、server.servlet.cont......
  • Java基础-Spring篇
    Spring框架的七大模块SpringCore:框架的最基础部分,提供IoC容器,对bean进行管理。SpringContext:继承BeanFactory,提供上下文信息,扩展出JNDI、EJB、电子邮件、国际化等功能。SpringDAO:提供了JDBC的抽象层,还提供了声明性事务管理方法。SpringORM:提供了JPA、JDO、Hibernate......
  • Spring Boot学习随笔- 第一个Thymeleaf应用(基础语法th:,request、session作用域取值)
    学习视频:【编程不良人】2021年SpringBoot最新最全教程第十五章、ThymeleafThymeleaf是一种现代化的服务器端Java模板引擎,专门用于Web和独立环境。Thymeleaf在有网络和无网络的环境下皆可运行,即可以让美工在浏览器查看页面的静态效果,也可以让程序员在服务器查看带数据的动态页......
  • spring:Exception in thread "main" java.lang.NoClassDefFoundError: org/springframe
     设置了父类框架<parent><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-parent</artifactId><version>2.1.10.RELEASE</version><relativePath/><!--l......