Spring Security保护用户密码常用方法详解
1.前言
本节将对SpringSecurity中的密码编码进行一些探讨。
2.不推荐使用md5
首先md5不是加密算法,是哈希摘要。以前通常使用其作为密码哈希来保护密码。由于彩虹表的出现,md5和sha1之类的摘要算法都已经不安全了。如果有不相信的同学可以到一些解密网站如cmd5网站尝试解密你会发现md5和sha1是真的非常容易被破解。
3.SpringSecurity中的密码算法
ObjectProvider
上图就是SpringSecurity提供的org.springframework.security.crypto.password.PasswordEncoder一些实现,有的已经过时。其中我们注意到一个叫委托密码编码器的实现。
3.1委托密码编码器DelegatingPasswordEncoder
什么是委托(Delegate)?就是甲方交给乙方的活。乙方呢手里又很多的渠道,但是乙方光想赚差价又不想干活。所以乙方根据一些规则又把活委托给了别人,让别人来干。这里的乙方就是DelegatingPasswordEncoder。该类维护了以下清单:
- finalStringidForEncode通过id来匹配编码器,该id不能是{}包括的。DelegatingPasswordEncoder初始化传入,用来提供默认的密码编码器。
- finalPasswordEncoderpasswordEncoderForEncode通过上面idForEncode所匹配到的PasswordEncoder用来对密码进行编码。
- finalMap<String,PasswordEncoder>idToPasswordEncoder用来维护多个idForEncode与具体PasswordEncoder的映射关系。DelegatingPasswordEncoder初始化时装载进去,会在初始化时进行一些规则校验。
- PasswordEncoderdefaultPasswordEncoderForMatches=newUnmappedIdPasswordEncoder()默认的密码匹配器,上面的Map中都不存在就用它来执行matches方法进行匹配验证。这是一个内部类实现。
DelegatingPasswordEncoder编码方法:
@Override
publicStringencode(CharSequencerawPassword){
returnPREFIX+this.idForEncode+SUFFIX+this.passwordEncoderForEncode.encode(rawPassword);
}
从上面源码可以看出来通过DelegatingPasswordEncoder编码后的密码是遵循一定的规则的,遵循{idForEncode}encodePassword。也就是前缀{}包含了编码的方式再拼接上该方式编码后的密码串。
DelegatingPasswordEncoder密码匹配方法:
@Override
publicbooleanmatches(CharSequencerawPassword,StringprefixEncodedPassword){
if(rawPassword==null&&prefixEncodedPassword==null){
returntrue;
}
Stringid=extractId(prefixEncodedPassword);
PasswordEncoderdelegate=this.idToPasswordEncoder.get(id);
if(delegate==null){
returnthis.defaultPasswordEncoderForMatches
.matches(rawPassword,prefixEncodedPassword);
}
StringencodedPassword=extractEncodedPassword(prefixEncodedPassword);
returndelegate.matches(rawPassword,encodedPassword);
}
密码匹配通过传入原始密码和遵循{idForEncode}encodePassword规则的密码编码串。通过获取编码方式id(idForEncode)来从DelegatingPasswordEncoder中的映射集合idToPasswordEncoder中获取具体的PasswordEncoder进行匹配校验。找不到就使用UnmappedIdPasswordEncoder。
这就是DelegatingPasswordEncoder的工作流程。那么DelegatingPasswordEncoder在哪里实例化呢?
3.2密码器静态工厂PasswordEncoderFactories
从名字上就看得出来这是个工厂啊,专门制造PasswordEncoder。而且还是个静态工厂只提供了初始化DelegatingPasswordEncoder的方法:
@SuppressWarnings("deprecation")
publicstaticPasswordEncodercreateDelegatingPasswordEncoder(){
StringencodingId="bcrypt";
Mapencoders=newHashMap<>();
encoders.put(encodingId,newBCryptPasswordEncoder());
encoders.put("ldap",neworg.springframework.security.crypto.password.LdapShaPasswordEncoder());
encoders.put("MD4",neworg.springframework.security.crypto.password.Md4PasswordEncoder());
encoders.put("MD5",neworg.springframework.security.crypto.password.MessageDigestPasswordEncoder("MD5"));
encoders.put("noop",org.springframework.security.crypto.password.NoOpPasswordEncoder.getInstance());
encoders.put("pbkdf2",newPbkdf2PasswordEncoder());
encoders.put("scrypt",newSCryptPasswordEncoder());
encoders.put("SHA-1",neworg.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-1"));
encoders.put("SHA-256",neworg.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-256"));
encoders.put("sha256",neworg.springframework.security.crypto.password.StandardPasswordEncoder());
returnnewDelegatingPasswordEncoder(encodingId,encoders);
}
从上面可以非常具体地看出来DelegatingPasswordEncoder提供的密码编码方式。默认采用了bcrypt进行编码。我们可终于明白了为什么上一文中我们使用{noop12345}能和我们前台输入的12345匹配上。这么搞有什么好处呢?这可以实现一个场景,如果有一天我们对密码编码规则进行替换或者轮转。现有的用户不会受到影响。那么SpringSecurity是如何配置密码编码器PasswordEncoder呢?
4.SpringSecurity加载PasswordEncoder的规则
我们在SpringSecurity配置适配器WebSecurityConfigurerAdapter(该类我以后的文章会仔细分析可通过https://felord.cn来及时获取相关信息)找到了引用PasswordEncoderFactories的地方,一个内部PasswordEncoder实现LazyPasswordEncoder。从源码上看该类是懒加载的只有用到了才去实例化。在该类的内部方法中发现了PasswordEncoder的规则。
//获取最终干活的PasswordEncoder
privatePasswordEncodergetPasswordEncoder(){
if(this.passwordEncoder!=null){
returnthis.passwordEncoder;
}
PasswordEncoderpasswordEncoder=getBeanOrNull(PasswordEncoder.class);
if(passwordEncoder==null){
passwordEncoder=PasswordEncoderFactories.createDelegatingPasswordEncoder();
}
this.passwordEncoder=passwordEncoder;
returnpasswordEncoder;
}
//从SpringIoC容器中获取Bean有可能获取不到
privateTgetBeanOrNull(Classtype){
try{
returnthis.applicationContext.getBean(type);
}catch(NoSuchBeanDefinitionExceptionnotFound){
returnnull;
}
}
上面的两个方法总结:如果能从从SpringIoC容器中获取PasswordEncoder的Bean就用该Bean作为编码器,没有就使用DelegatingPasswordEncoder。默认是bcrypt方式。文中多次提到该算法。而且还是SpringSecurity默认的。那么它到底是什么呢?
5.bcrypt编码算法
这里简单提一下bcrypt,bcrypt使用的是布鲁斯·施内尔在1993年发布的Blowfish加密算法。bcrypt算法将salt随机并混入最终加密后的密码,验证时也无需单独提供之前的salt,从而无需单独处理salt问题。加密后的格式一般为:
$2a$10$/bTVvqqlH9UiE0ZJZ7N2Me3RIgUCdgMheyTgV0B4cMCSokPa.6oCa
其中:$是分割符,无意义;2a是bcrypt加密版本号;10是cost的值;而后的前22位是salt值;再然后的字符串就是密码的密文了。
5.1bcrypt特点
bcrypt有个特点就是非常慢。这大大提高了使用彩虹表进行破解的难度。也就是说该类型的密码暗文拥有让破解者无法忍受的时间成本。同时对于开发者来说也需要注意该时长是否能超出系统忍受范围内。通常是MD5的数千倍。
同样的密码每次使用bcrypt编码,密码暗文都是不一样的。也就是说你有两个网站如果都使用了bcrypt它们的暗文是不一样的,这不会因为一个网站泄露密码暗文而使另一个网站也泄露密码暗文。
所以从bcrypt的特点上来看,其安全强度还是非常有保证的。
6.总结
今天我们对SpringSecurity中的密码编码进行分析。发现了默认情况下使用bcrypt进行编码。而密码验证匹配则通过密码暗文前缀中的加密方式id控制。你也可以向SpringIoC容器注入一个PasswordEncoder类型的Bean来达到自定义的目的。我们还对bcrypt算法进行一些简单了解,对其特点进行了总结。后面我们会SpringSecurity进行进一步学习。关于上一篇文章的demo我也已经替换成了数据库管理用户。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持毛票票。
声明:本文内容来源于网络,版权归原作者所有,内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:czq8825#qq.com(发邮件时,请将#更换为@)进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。