摘要：在中加密是一個(gè)很簡(jiǎn)單卻又不能忽略的模塊，數(shù)據(jù)只有加密起來才更安全，這樣就散算據(jù)庫密碼泄漏也都是密文。當(dāng)然也可以自定義構(gòu)造方法，來制定用其他的方案進(jìn)行加密。應(yīng)用先示范下使用系統(tǒng)的來演示下簡(jiǎn)單的注入構(gòu)造加密方案

在 Spring Security 中加密是一個(gè)很簡(jiǎn)單卻又不能忽略的模塊，數(shù)據(jù)只有加密起來才更安全，這樣就散算據(jù)庫密碼泄漏也都是密文。本文分析對(duì)應(yīng)的版本是 5.14。

Spring Security 為我們提供了一套加密規(guī)則和密碼比對(duì)規(guī)則，org.springframework.security.crypto.password.PasswordEncoder 接口，該接口里面定義了三個(gè)方法。

public interface PasswordEncoder {

    //加密(外面調(diào)用一般在注冊(cè)的時(shí)候加密前端傳過來的密碼保存進(jìn)數(shù)據(jù)庫)
    String encode(CharSequence rawPassword);

    //加密前后對(duì)比(一般用來比對(duì)前端提交過來的密碼和數(shù)據(jù)庫存儲(chǔ)密碼, 也就是明文和密文的對(duì)比)
    boolean matches(CharSequence rawPassword, String encodedPassword);

    //是否需要再次進(jìn)行編碼, 默認(rèn)不需要
    default boolean upgradeEncoding(String encodedPassword) {
        return false;
    }
}

其中常用到的分別有下面這么幾個(gè)

BCryptPasswordEncoder：Spring Security 推薦使用的，使用BCrypt強(qiáng)哈希方法來加密。

MessageDigestPasswordEncoder：用作傳統(tǒng)的加密方式加密(支持 MD5、SHA-1、SHA-256...)

DelegatingPasswordEncoder：最常用的，根據(jù)加密類型id進(jìn)行不同方式的加密，兼容性強(qiáng)

NoOpPasswordEncoder：明文， 不做加密

其他

構(gòu)造的時(shí)候需要傳入算法字符串，例如 "MD5"、"SHA-1"、"SHA-256"...

String password = "123";

MessageDigestPasswordEncoder encoder = new MessageDigestPasswordEncoder("MD5");
String encode = encoder.encode(password);
System.out.println(encode);
System.out.println(encoder.matches(password,encode) == true ? "相等" : "不相等");

輸出

{EUjIxnT/OVlk5J54s3LaJRuQgwTchm1gduFHTqI0qjo=}4b40375c57c285cc56c7048bb114db23
相等

調(diào)用 encode(..) 加密方法每次都會(huì)隨機(jī)生成鹽值，所以對(duì)相同的明文進(jìn)行多次加密，每次結(jié)果也是不一樣的。
從上面輸出部分結(jié)合源碼可以的出：加密的最終結(jié)果分為兩部分，鹽值 + MD5(password+鹽值)，調(diào)用 matches(..) 方法的時(shí)候先從密文中得到鹽值，用該鹽值加密明文和最終密文作對(duì)比。

構(gòu)造的時(shí)候可以傳入哈希強(qiáng)度(strength)，強(qiáng)度越大計(jì)算量就越大，也就意味著越安全，strength 取值區(qū)間[4-31]，系統(tǒng)默認(rèn)是10。

String password = "123";

BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
String encode = encoder.encode(password);
System.out.println(encode);
System.out.println(encoder.matches(password, encode) == true ? "相等" : "不相等");

輸出

$2a$10$lxPfE.Zvat6tejB8Q1QGYu3M9lXUUpiWFYzboeyK64kbfgN9v7iBq
相等

調(diào)用 encode(..) 方法加密跟上面一樣，每次都會(huì)隨機(jī)生成鹽值，密文也分為兩部分，鹽值和最終加密的結(jié)果，最終對(duì)比的時(shí)候從密文里面拿出鹽值對(duì)明文進(jìn)行加密，比較最終加密后的結(jié)果。

這是 Spring Security 推出的一套兼容方案，根據(jù)加密類型id字符串(idForEncode)去自身緩存的所有加密方式中(idToPasswordEncoder)取出對(duì)應(yīng)的加密方案對(duì)象對(duì)明文進(jìn)行加密和對(duì)應(yīng)密文的對(duì)比，只是其密文前面都加上了加密方案id的字符串，具體的咱們看下面代碼演示。

其初始化 Spring Security 提供了一個(gè)工廠構(gòu)造方法

public class PasswordEncoderFactories {

    @SuppressWarnings("deprecation")
    public static PasswordEncoder createDelegatingPasswordEncoder() {
        String encodingId = "bcrypt";
        Map encoders = new HashMap<>();
        encoders.put(encodingId, new BCryptPasswordEncoder());
        encoders.put("ldap", new org.springframework.security.crypto.password.LdapShaPasswordEncoder());
        encoders.put("MD4", new org.springframework.security.crypto.password.Md4PasswordEncoder());
        encoders.put("MD5", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("MD5"));
        encoders.put("noop", org.springframework.security.crypto.password.NoOpPasswordEncoder.getInstance());
        encoders.put("pbkdf2", new Pbkdf2PasswordEncoder());
        encoders.put("scrypt", new SCryptPasswordEncoder());
        encoders.put("SHA-1", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-1"));
        encoders.put("SHA-256", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-256"));
        encoders.put("sha256", new org.springframework.security.crypto.password.StandardPasswordEncoder());

        return new DelegatingPasswordEncoder(encodingId, encoders);
    }
}

這個(gè)工廠的靜態(tài)構(gòu)造方法把常用的幾種方案都注入到緩存中，但是注入的 idForEncode 對(duì)應(yīng)的卻是 BCryptPasswordEncoder，這樣系統(tǒng)就可以達(dá)到在新存儲(chǔ)密碼可以使用 BCryptPasswordEncoder 加密方案進(jìn)行加密，但是對(duì)于數(shù)據(jù)庫里面以前用其他方式加密的密碼也支持比對(duì)。

String password = "123";

PasswordEncoder encoder = PasswordEncoderFactories.createDelegatingPasswordEncoder();
String encode = encoder.encode(password);
System.out.println(encode);
System.out.println(encoder.matches(password, encode) == true ? "相等" : "不相等");

輸出

{bcrypt}$2a$10$Bh23zGZ2YPOsORNexoowb.fX4QH18GEh13eVtZUZvbe2Blx0jIVna
相等

從結(jié)果中可以看出，相比原始的 BCryptPasswordEncoder 密文前面多了加密方式的id。

當(dāng)然也可以自定義構(gòu)造方法，來制定 DelegatingPasswordEncoder 用其他的方案進(jìn)行加密。

接下來我們將其指定使用 MD5 方式來加密密碼看看結(jié)果

Map encoders = new HashMap<>();
encoders.put("MD5", new MessageDigestPasswordEncoder("MD5"));
DelegatingPasswordEncoder encoder = new DelegatingPasswordEncoder("MD5", encoders);
String encode = encoder.encode(password);
System.out.println(encode);
System.out.println(encoder.matches(password, encode) == true ? "相等" : "不相等");

輸出

{MD5}{XYwuzP8/lL/a3ASzA9UVM4rFs8lbsLvEoa5ydKER844=}d7f919bfd94554150f8ab3a809209ee3
相等

相比原始的 MessageDigestPasswordEncoder也是密文前面多了加密方式的id。

先示范下使用系統(tǒng)的 UserDetailsManager 來演示下簡(jiǎn)單的注入

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true, jsr250Enabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    public void configure(WebSecurity web) throws Exception {
        super.configure(web);
    }
    
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("liuchao")
                    .password("{bcrypt}$2a$10$S.hMD3oV60YRIj38lHRhP.e3DAu3OwmssE/u/p2GLqqZ3SVsZA77W")
                    .roles("admin","user")
                    .and()
                .passwordEncoder(passwordEncoder);
    }

    @Bean(value = "passwordEncoder")
    public PasswordEncoder delegatingPasswordEncoder() {
        //構(gòu)造 DelegatingPasswordEncoder 加密方案
        return PasswordEncoderFactories.createDelegatingPasswordEncoder();
    }

    @Autowired
    private PasswordEncoder passwordEncoder;
}