在上一篇文章中，我們使用了用戶詳細信息服務(wù)，以便提供一種基于給定用戶名從函數(shù)加載數(shù)據(jù)的方法。

用戶詳細信息的實現(xiàn)可能由內(nèi)存機制，sql / no-sql數(shù)據(jù)庫等支持。
選項是無限的。

關(guān)于密碼存儲，我們必須注意的是密碼哈希。
出于安全原因，我們希望以散列形式存儲密碼。
假設(shè)有人未經(jīng)授權(quán)訪問了存儲我們用戶數(shù)據(jù)的表。 通過存儲密碼明文，用戶可以檢索系統(tǒng)中每個用戶的密碼。

因此，我們需要一種在將密碼存儲到數(shù)據(jù)庫之前對密碼進行哈希處理的方法。
始終注意，您的哈希必須健壯并且是最新的。
例如，MD5在過去非常流行，但如今導致安全性差。 實際上，如果使用gpu，可以很容易地破解MD5密碼。

當涉及到密碼編碼時，Spring Security為我們提供了開箱即用的功能。
密碼編碼器是在授權(quán)過程中使用的接口。

package org.springframework.security.crypto.password;public interface PasswordEncoder {String encode(CharSequence rawPassword);boolean matches(CharSequence rawPassword, String encodedPassword);}

編碼功能將用于編碼您的密碼，而matches功能將檢查您的原始密碼是否與編碼后的密碼匹配。 一旦您的用戶詳細信息服務(wù)從數(shù)據(jù)庫中獲取了用戶信息，然后將使用從數(shù)據(jù)庫中獲取的密碼來驗證提供給授權(quán)的密碼。 在這種情況下，spring將使用matchs函數(shù)。

現(xiàn)在，spring為我們提供了密碼編碼器的各種實現(xiàn)。
讓我們嘗試創(chuàng)建一個密碼編碼器bean。

package com.gkatzioura.security.passwordencoder.security;import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.crypto.password.PasswordEncoder;@Configuration public class PasswordEncoderConfig {@Beanpublic PasswordEncoder passwordEncoder() {return new PasswordEncoder() {@Overridepublic String encode(CharSequence rawPassword) {return rawPassword.toString();}@Overridepublic boolean matches(CharSequence rawPassword, String encodedPassword) {return rawPassword.toString().equals(encodedPassword);}};} }

該bean與Spring Boot附帶的NoOpPasswordEncoder沒什么不同。
不，我們將做一個小實驗并添加一個自定義密碼編碼器。
我們的密碼編碼器會將用戶提交的明文密碼進行哈希處理，然后將其與數(shù)據(jù)庫中等效用戶已哈希的密碼進行比較。

為了進行哈希處理，我們將使用bcrypt。

@Beanpublic PasswordEncoder customPasswordEncoder() {return new PasswordEncoder() {@Overridepublic String encode(CharSequence rawPassword) {return BCrypt.hashpw(rawPassword.toString(), BCrypt.gensalt(4));}@Overridepublic boolean matches(CharSequence rawPassword, String encodedPassword) {return BCrypt.checkpw(rawPassword.toString(), encodedPassword);}};}

為了測試這一點，我們將使用前面的文章中介紹的環(huán)境變量來設(shè)置安全性。

首先，我們需要對密碼進行編碼。 我們的系統(tǒng)不會以任何明文形式存儲密碼。

System.out.println(BCrypt.hashpw("user-password",BCrypt.gensalt(4))); $2a$04$i4UWtMw6surai4dQMhoKSeLddi1XlAh2sSyG58K3ZvBHqVkhz8Y3y

因此，我們下一步要做的是在運行Spring Boot應(yīng)用程序之前設(shè)置環(huán)境變量。

SPRING_SECURITY_USER_NAME=test-user SPRING_SECURITY_USER_PASSWORD=$2a$04$i4UWtMw6surai4dQMhoKSeLddi1XlAh2sSyG58K3ZvBHqVkhz8Y3y

下一步是轉(zhuǎn)到登錄屏幕，并為憑據(jù)提供用戶名和用戶密碼。
如您所見，您剛剛通過了身份驗證。
在后臺，spring散列了您提交的密碼，并將其與通過環(huán)境變量存在的密碼進行了比較。

翻譯自: https://www.javacodegeeks.com/2018/06/security-spring-boot-password-encoder.html

總結(jié)

以上是生活随笔為你收集整理的Spring Security with Spring Boot 2.0：密码编码器的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。