SpringSecurity之加密篇
SpringSecurity之加密篇—BCryptpassword类
- 1. 要点概括
- 2. 核心代码分析
- 2.1 生成盐(salt):
- 2.2 混淆方法:
- 2.3 密码的校验
- 3. 总结
- 4. 其它
- 代码示例:
- 参考引用:
1. 要点概括
BCryptpassword类是SpringSecurity的加密工具,封装了对密码混淆加密的方法,主要是采用盐(salt)对原始密码进行混淆。
本篇介绍的是利用BCryptpassword随机生成盐(salt),使用该盐值对原始密码进行混淆加密。
这种加密方式有两个特点:(1)将随机生成的盐(salt)存到混淆后的代码中;(2)对于相同的明文每一次加密,加密之后的密文都是不一样的;因为盐值(salt)不同。这样的好处就是更增加了密码的安全性。
SpringSecurity中的BCryptPassword采用Hash处理,其过程是不可逆的。
BCryptPassword的加密过程:
(1)加密(encode):用户注册时,使用SHA256+盐(salt)把用户输入的密码进行hash混淆处理,得到密码的hash值,然后将其存入数据库中。
(2)密码校验(matches):用户登录时,密码匹配阶段并没有进行密码解密(因为密码经过Hash处理,是不可逆的),而是使用相同的算法结合盐值salt把用户输入的密码进行hash处理,得到密码的hash值,然后将其与从数据库中查询到的密码hash值进行比较。如果两者相同,说明用户输入的密码正确,这里的盐值(salt)是从数据库中查询到的密码hash值中解析出来的。
2. 核心代码分析
//1. BCryptPasswordEncoder类,生成盐salt并混淆rawpassword的代码;
//涉及到两个问题,生成salt盐gensalt(),混淆密码hashpw()
public String encode(CharSequence rawPassword) {
String salt;
if (this.strength > 0) {
if (this.random != null) {
salt = BCrypt.gensalt(this.strength, this.random);
} else {
salt = BCrypt.gensalt(this.strength);
}
} else {
salt = BCrypt.gensalt();
}
return BCrypt.hashpw(rawPassword.toString(), salt);
}
2.1 生成盐(salt):
:包名:org.springframework.security.crypto.bcrypt;类名:BCrypt
//生成salt盐gensalt()
public static String gensalt(int log_rounds, SecureRandom random) {
if (log_rounds >= 4 && log_rounds <= 31) {
StringBuilder rs = new StringBuilder();
byte[] rnd = new byte[16];
random.nextBytes(rnd);
rs.append("$2a$");
if (log_rounds < 10) {
rs.append("0");
}
rs.append(log_rounds);
rs.append("$");
encode_base64(rnd, rnd.length, rs);
return rs.toString();
} else {
throw new IllegalArgumentException("Bad number of rounds");
}
}
2.2 混淆方法:
包名:org.springframework.security.crypto.bcrypt;类名:BCrypt
//混淆密码hashpw()
public static String hashpw(String password, String salt) throws IllegalArgumentException {
char minor = 0;
int off = false;
StringBuilder rs = new StringBuilder();
if (salt == null) {
throw new IllegalArgumentException("salt cannot be null");
} else {
int saltLength = salt.length();
if (saltLength < 28) {
throw new IllegalArgumentException("Invalid salt");
} else if (salt.charAt(0) == '$' && salt.charAt(1) == '2') {
byte off;
if (salt.charAt(2) == '$') {
off = 3;
} else {
minor = salt.charAt(2);
if (minor != 'a' || salt.charAt(3) != '$') {
throw new IllegalArgumentException("Invalid salt revision");
}
off = 4;
}
if (saltLength - off < 25) {
throw new IllegalArgumentException("Invalid salt");
} else if (salt.charAt(off + 2) > '$') {
throw new IllegalArgumentException("Missing salt rounds");
} else {
int rounds = Integer.parseInt(salt.substring(off, off + 2));
String real_salt = salt.substring(off + 3, off + 25);
byte[] passwordb;
try {
passwordb = (password + (minor >= 'a' ? "\u0000" : "")).getBytes("UTF-8");
} catch (UnsupportedEncodingException var13) {
throw new AssertionError("UTF-8 is not supported");
}
byte[] saltb = decode_base64(real_salt, 16);
BCrypt B = new BCrypt();
byte[] hashed = B.crypt_raw(passwordb, saltb, rounds);
rs.append("$2");
if (minor >= 'a') {
rs.append(minor);
}
rs.append("$");
if (rounds < 10) {
rs.append("0");
}
rs.append(rounds);
rs.append("$");
encode_base64(saltb, saltb.length, rs);
encode_base64(hashed, bf_crypt_ciphertext.length * 4 - 1, rs);
return rs.toString();
}
} else {
throw new IllegalArgumentException("Invalid salt version");
}
}
}
2.3 密码的校验
提供的密码与加密之后的密码的校验,使用是BCryptpassword的matches()接口;
public boolean matches(CharSequence rawPassword, String encodedPassword) {
if (encodedPassword != null && encodedPassword.length() != 0) {
if (!this.BCRYPT_PATTERN.matcher(encodedPassword).matches()) {
this.logger.warn("Encoded password does not look like BCrypt");
return false;
} else {
return BCrypt.checkpw(rawPassword.toString(), encodedPassword);
}
} else {
this.logger.warn("Empty encoded password");
return false;
}
}
/** * 密码比较入口,同样是调用了hashpw()方法: 使用的是hashpw()方法,有两个参数:原始明文与数据库中获取的密文。 * hashpw()方法是从密文中解析出藏在其中的盐salt值,用此值混淆明文,与密文做比较。 */
public static boolean checkpw(String plaintext, String hashed) {
return equalsNoEarlyReturn(hashed, hashpw(plaintext, hashed));
}
//这个方法就是比较是否相同而已,无他。
static boolean equalsNoEarlyReturn(String a, String b) {
char[] caa = a.toCharArray();
char[] cab = b.toCharArray();
if (caa.length != cab.length) {
return false;
} else {
byte ret = 0;
for(int i = 0; i < caa.length; ++i) {
ret = (byte)(ret | caa[i] ^ cab[i]);
}
return ret == 0;
}
}
3. 总结
以上是SpringSecurity的BCryptPassword加密方式,上面是介绍其SHA256+随机salt生成密文的基本点。应该还有其他的一些用法,容当后研究。
4. 其它
Springboot框架整合SpringSecurity组件,使用需要使用该加密方式,有一点需要注意,就是在springSecurity的配置文件中注入PasswordEncode的bean
//SpringSecurityConfigutarion配置类中加入
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
代码示例:
public static void main(String[] args) {
String password = "leo_epam";
System.out.println(password + ": encrypt");
int i = 0;
while(i < 10){
BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
String hashedPassword = passwordEncoder.encode(password);
System.out.println("encryptPassword:" + hashedPassword);
System.out.println("match result:" + passwordEncoder.matches(password,hashedPassword));
i ++;
}
}
代码输出:
leo_epam: encrypt
encryptPassword:$2a$10$/WIa4YbBMGQX7dBbYwRKx.AmQ3sJ8Ta5wYHh8a7jPlYDbNgMSD/hC
match result:true
encryptPassword:$2a$10$VryRC1lFaTEqUbOUyvu18ulSSGH5hK7JPzAG17ehtkL8aV6fot1ru
match result:true
encryptPassword:$2a$10$0SVRXbfgsqMvpmNDeeqNl.eFPvQ0ojdazk5.x8YDZxIOOP1D4xXge
match result:true
encryptPassword:$2a$10$yWdI4q6DXDZhknTxiT/9ROdhcAARAEY5q4L2YI5uQ3C52Q7Lt/IAa
match result:true
encryptPassword:$2a$10$8yy0.NdQSD2Cig5yIri2eu1XmDRpZSPjsmxDyRg9CZ5afwp/36H2S
match result:true
encryptPassword:$2a$10$QTJpm3jYUCjAoHPVI/uon.FDusm.9tPSc.mk6m.l/kx8aKbIzov3i
match result:true
encryptPassword:$2a$10$CkoGrZqDE86LM1yiX89cpuNDAMdDqemEKMSS3/jquFsxocizgBbX2
match result:true
encryptPassword:$2a$10$6M0N6cQp6kKeXgRl8ftqyOlikAV9YwfMS93xlqTXbd/tmDjFDv3iG
match result:true
encryptPassword:$2a$10$LboMUNAF7vOmucxJI3G/w.cliDRxH1exOmsfy2IlPCUpZU8N7XoO.
match result:true
encryptPassword:$2a$10$ezB0okY.JHv1gt4Y3chiu.5e5R9.vXqd7kNaYH14Vigm9wZ02D8Pe
match result:true
- 以上代码就是BCryptPassword的代码简单效果示例,相同的明文,每次生成的密文都是不同的,但是和明文做密码校验都是通过的。
- 还有一个就是密码字段的长度,如果打算采用bcrypt加密存储,字段长度不得低于60.