Spring security實(shí)現(xiàn)對賬戶進(jìn)行加密

更新時間：2020年03月07日 14:32:15 作者：程序曉猿

這篇文章主要介紹了Spring security實(shí)現(xiàn)對賬戶進(jìn)行加密,文中通過示例代碼介紹的非常詳細(xì)，對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友可以參考下

一、原理分析1.1加密原理

首先前端頁面發(fā)送注冊的賬戶信息到controller層,然后依次經(jīng)過service層和dao層，最后入庫。其中對密碼的加密應(yīng)該放在service層進(jìn)行，加密后再入庫。

spring security中有一個加密類BCryptPasswordEncoder可以用來對密碼進(jìn)行加密,調(diào)用其中的encode方法返回一個加密后的字符串

public String encode(CharSequence rawPassword) {
    String salt;
    if (strength > 0) {
      if (random != null) {
        salt = BCrypt.gensalt(strength, random);
      }
      else {
        salt = BCrypt.gensalt(strength);
      }
    }
    else {
      salt = BCrypt.gensalt();
    }
    return BCrypt.hashpw(rawPassword.toString(), salt);
}

使用時可以在spring的配置文件中配置一個加密類的bean,這樣在service中可以直接注入

加密后數(shù)據(jù)庫中存儲的是加密過后的字符串。

1.2加密后的登錄過程

對密碼進(jìn)行加密后數(shù)據(jù)庫中存儲的是加密字符串，用戶發(fā)起登錄請求后，框架會使用相同的加密算法對前端傳遞的密碼進(jìn)行加密并得到加密字符串，然后和數(shù)據(jù)庫中查詢到的字符串進(jìn)行對比。

二、代碼實(shí)現(xiàn)

具體的工程代碼可以參考我的工程示例,下文中只給出了和添加用戶相關(guān)的部分。

在配置文件中配置加密類

<bean id="passwordEncoder"   class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder">
  </bean>

2.1添加用戶的頁面如下, register.html

<html>
  <head>
    <meta charset="UTF-8">
    <title>注冊頁面</title>
  </head>
  <body>

  <form action="/user/add.do" method="post">
    用戶名:<input type="text" name="username" placeholder="請輸入用戶名"><br>
    密 碼:<input type="password" name="password" placeholder="請輸入密碼"><br>
    <input type="submit" value="注冊">
  </form>
  </body>
</html>

2.2controller層創(chuàng)建一個增加用戶的方法

@RestController
@RequestMapping("/user")
public class UserController {

  @Autowired
  private IUserService userService;

  @PostMapping("/add")
  public String add(UserInfo userInfo){
    userService.add(userInfo);
    return "success";
  }
}

2.3service層

@Autowired
private BCryptPasswordEncoder passwordEncoder;
...//省略其他
@Override
public void add(UserInfo userInfo) {
  //對密碼加密
  userInfo.setPassword(passwordEncoder.encode(userInfo.getPassword()));
  userDao.add(userInfo);
}

這里的passwordEncoder就是在配置文件中配置的加密bean,注入后可以直接使用

dao層這里就不再列舉了。

三、測試

啟動工程并成功登錄后,跳轉(zhuǎn)到首頁,

選擇注冊新賬號后跳轉(zhuǎn)到注冊頁面

輸入賬戶和密碼后注冊，會在數(shù)據(jù)庫中插入一條新的記錄。

這里我頁面上輸入的是 admin/admin,數(shù)據(jù)庫中存儲的password是加密后的

$2a$10$URSaaafrPOCjFYvhrhQbku2/l36IJ0zH0G8xeJzf5lAH2F1JJ1ybG

四、用加密后的賬號登錄

此時如果使用剛剛新建的這個賬號進(jìn)行登錄就會登錄失敗。因?yàn)槲覀儾]有配置spring security認(rèn)證時的加密方式，默認(rèn)是不進(jìn)行加密，所以會直接將前臺輸入的密碼和數(shù)據(jù)庫中的加密字符串進(jìn)行比較。

要使用這個賬號登錄還需要進(jìn)行如下配置

在spring security的配置文件中配置加密策略

<security:authentication-manager>
    <!--配置使用給定的userservice完成認(rèn)證-->
    <security:authentication-provider user-service-ref="userService">
      <security:password-encoder ref="passwordEncoder"/>
    </security:authentication-provider>
  </security:authentication-manager>

  <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder">
  </bean>

在userService的loadUserByUsername方法中去除密碼字符串上拼接的{noop}字符串，本來這個就是為了適配密碼未加密的情況

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    UserInfo userInfo = userDao.findByUsername(username);
    User user=new User(userInfo.getUsername(),userInfo.getPassword(),getRoles());
    return user;
}

然后使用剛才注冊的 admin/admin就可以登錄成功了。

注意如果進(jìn)行了上面兩部，數(shù)據(jù)庫中以前的賬戶將不能進(jìn)行登錄了，因?yàn)閿?shù)據(jù)庫中的密碼是沒有加密的，而框架會對前臺傳遞的密碼進(jìn)行加密后再和數(shù)據(jù)庫中的比較。所以一定要記住上面新注冊的這個賬號admin/admin

這里我給出admin對應(yīng)的加密字符串

$2a$10$URSaaafrPOCjFYvhrhQbku2/l36IJ0zH0G8xeJzf5lAH2F1JJ1ybG

如果大家忘記了剛才注冊的賬號，可以在數(shù)據(jù)庫中插入一條admin/admin的記錄。

五、總結(jié)

添加賬戶主要是需要用spring security自帶的加密類BCryptPasswordEncoder對用戶密碼進(jìn)行加密。

要使用新注冊的賬戶登錄就需要在配置文件中配置加密策略

配置后原來的賬號因?yàn)槊艽a沒有加密將不能使用

六、示例工程源碼

示例工程已經(jīng)上傳到碼云上，如果有需要?dú)g迎大家參考

示例工程