在上一篇文章中，我們使用了用戶詳細(xì)信息服務(wù)，以便提供一種基于給定用戶名從函數(shù)加載數(shù)據(jù)的方法。

用戶詳細(xì)信息的實(shí)現(xiàn)可能由內(nèi)存機(jī)制，sql / no-sql數(shù)據(jù)庫等支持。
選項(xiàng)是無限的。

關(guān)于密碼存儲(chǔ)，我們必須注意的是密碼哈希。
出于安全原因，我們希望以散列形式存儲(chǔ)密碼。
假設(shè)有人未經(jīng)授權(quán)訪問了存儲(chǔ)我們用戶數(shù)據(jù)的表。 通過存儲(chǔ)密碼明文，用戶可以檢索系統(tǒng)中每個(gè)用戶的密碼。

因此，我們需要一種在將密碼存儲(chǔ)到數(shù)據(jù)庫之前對(duì)密碼進(jìn)行哈希處理的方法。
始終注意，您的哈希必須健壯并且是最新的。
例如，MD5在過去非常流行，但如今導(dǎo)致安全性差。 實(shí)際上，如果使用gpu，可以很容易地破解MD5密碼。

當(dāng)涉及到密碼編碼時(shí)，Spring Security為我們提供了開箱即用的功能。
密碼編碼器是在授權(quán)過程中使用的接口。

package org.springframework.security.crypto.password;public interface PasswordEncoder {String encode(CharSequence rawPassword);boolean matches(CharSequence rawPassword, String encodedPassword);}

編碼功能將用于編碼您的密碼，而matches功能將檢查您的原始密碼是否與編碼后的密碼匹配。 一旦您的用戶詳細(xì)信息服務(wù)從數(shù)據(jù)庫中獲取了用戶信息，然后將使用從數(shù)據(jù)庫中獲取的密碼來驗(yàn)證提供給授權(quán)的密碼。 在這種情況下，spring將使用matchs函數(shù)。

現(xiàn)在，spring為我們提供了密碼編碼器的各種實(shí)現(xiàn)。
讓我們嘗試創(chuàng)建一個(gè)密碼編碼器bean。

package com.gkatzioura.security.passwordencoder.security;import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.crypto.password.PasswordEncoder;@Configuration public class PasswordEncoderConfig {@Beanpublic PasswordEncoder passwordEncoder() {return new PasswordEncoder() {@Overridepublic String encode(CharSequence rawPassword) {return rawPassword.toString();}@Overridepublic boolean matches(CharSequence rawPassword, String encodedPassword) {return rawPassword.toString().equals(encodedPassword);}};} }

該bean與Spring Boot附帶的NoOpPasswordEncoder沒什么不同。
不，我們將做一個(gè)小實(shí)驗(yàn)并添加一個(gè)自定義密碼編碼器。
我們的密碼編碼器會(huì)將用戶提交的明文密碼進(jìn)行哈希處理，然后將其與數(shù)據(jù)庫中等效用戶已哈希的密碼進(jìn)行比較。

為了進(jìn)行哈希處理，我們將使用bcrypt。

@Beanpublic PasswordEncoder customPasswordEncoder() {return new PasswordEncoder() {@Overridepublic String encode(CharSequence rawPassword) {return BCrypt.hashpw(rawPassword.toString(), BCrypt.gensalt(4));}@Overridepublic boolean matches(CharSequence rawPassword, String encodedPassword) {return BCrypt.checkpw(rawPassword.toString(), encodedPassword);}};}

為了測(cè)試這一點(diǎn)，我們將使用前面的文章中介紹的環(huán)境變量來設(shè)置安全性。

首先，我們需要對(duì)密碼進(jìn)行編碼。 我們的系統(tǒng)不會(huì)以任何明文形式存儲(chǔ)密碼。

System.out.println(BCrypt.hashpw("user-password",BCrypt.gensalt(4))); $2a$04$i4UWtMw6surai4dQMhoKSeLddi1XlAh2sSyG58K3ZvBHqVkhz8Y3y

因此，我們下一步要做的是在運(yùn)行Spring Boot應(yīng)用程序之前設(shè)置環(huán)境變量。

SPRING_SECURITY_USER_NAME=test-user SPRING_SECURITY_USER_PASSWORD=$2a$04$i4UWtMw6surai4dQMhoKSeLddi1XlAh2sSyG58K3ZvBHqVkhz8Y3y

下一步是轉(zhuǎn)到登錄屏幕，并為憑據(jù)提供用戶名和用戶密碼。
如您所見，您剛剛通過了身份驗(yàn)證。
在后臺(tái)，spring散列了您提交的密碼，并將其與通過環(huán)境變量存在的密碼進(jìn)行了比較。

翻譯自: https://www.javacodegeeks.com/2018/06/security-spring-boot-password-encoder.html

總結(jié)

以上是生活随笔為你收集整理的Spring Security with Spring Boot 2.0：密码编码器的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。