SpringSecurity学习笔记(四)——更改SpringSecurity加密方式

分手后的思念是犯贱 2021-09-26 05:52 1144阅读 0赞

在前面几篇博客中我们了解了如何自定义界面以及如何访问数据库中的用户并验证权限等，那么在验证用户以及密码是否正确时，SpringSecurity是如何做的呢？如果想更改SpringSecurity的加密方式又该怎么做呢？

SpringSecurity验证密码正确主要是MessageDigestPasswordEncoder这个类在做，其中isPasswordValid方法便是验证密码是否正确，与传统的加密方式不同，SpringSecurity中加入了salt(盐)，能够使破解的风险大大降低。

更改SpringSecurity加密方式有多种，我这边大致介绍两种比较常用的

注：案例均以简单的MD5加密为例（与原来的区别在于不加盐）

## 方法一：继承MessageDigestPasswordEncoder ##

### 老的PasswordEncoder与其关系图如下 ###

![Center][]

**spring-security.xml**

<authentication-manager alias="authenticationManager">
    		<authentication-provider user-service-ref="myUserDetailsService">
    			<password-encoder  ref="myMessageDigestPasswordEncoder">  
    	            <salt-source user-property="username"/>  
    	        </password-encoder> 
            </authentication-provider>
    	</authentication-manager>
    	<beans:bean class="com.springsecurity.service.MyMessageDigestPasswordEncoder" id="myMessageDigestPasswordEncoder">
    		<beans:constructor-arg value="md5"></beans:constructor-arg>
    	</beans:bean>

**MyMessageDigestPasswordEncoder.java**

package com.springsecurity.service;
    
    import org.apache.log4j.Logger;
    import org.springframework.security.authentication.encoding.MessageDigestPasswordEncoder;
    import com.springsecurity.utils.MD5;
    
    /**
     * @作者：JackHisen(GWD)
     * @项目名：core
     * @时间：2017-7-2 下午8:24:41
     * @version 1.0
     */
    public class MyMessageDigestPasswordEncoder extends MessageDigestPasswordEncoder{
    	Logger logger=Logger.getLogger(MyMessageDigestPasswordEncoder.class);
    	public MyMessageDigestPasswordEncoder(String algorithm,
    			boolean encodeHashAsBase64) throws IllegalArgumentException {
    		super(algorithm, encodeHashAsBase64);
    		// TODO Auto-generated constructor stub
    	}
    	public MyMessageDigestPasswordEncoder(String algorithm) {
    		super(algorithm);
    		// TODO Auto-generated constructor stub
    	}
    	public boolean isPasswordValid(String encPass, String rawPass,Object salt){
    		String pass1 = "" + encPass;
    		String pass2 = MD5.getMd5(rawPass);//这个类是自己编写的一个MD5加密，官方原本是通过encodePassword加盐加密
    		logger.debug("encPass:"+encPass+";rawPass:"+rawPass+"pass1:"+pass1+";pass2:"+pass2);
    		boolean bool=false;
    		if(pass1.equals(pass2)){
    			bool=true;
    		}
    		return bool;
    	}

## 方法二.实现新的PasswordEncoder接口 ##

PasswordEncoder接口实现类如下：

![Center 1][]

`NoOpPasswordEncoder`不多说了，啥也不做按原文本处理，相当于不加密。

`StandardPasswordEncoder` 1024次迭代的`SHA-256`散列哈希加密实现，并使用一个随机8字节的salt。

`BCryptPasswordEncoder` 使用BCrypt的强散列哈希加密实现，并可以由客户端指定加密的强度`strength`，强度越高安全性自然就越高，默认为10.

在`Spring`的注释中，明确写明了如果是开发一个新的项目，`BCryptPasswordEncoder`是较好的选择。

[Center]: /images/20210923/43274d5dfb404487900fc77f8e33ed7d.png
[Center 1]: /images/20210923/cb2c604286b14c6ba01589a02b0f09cf.png