报错内容
java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"
这个错主要发生在Spring-Sercurity5.X版本上,例如SpringBoot2.x。导致这个错误发生主要原因就是在之前版本中的NoOpPasswordEncoder被DelegatingPasswordEncoder取代了,而你保存在数据库中的密码没有没有指定加密方式。
深入分析
1.PasswordEncoder
public interface PasswordEncoder {
String encode(CharSequence rawPassword);
boolean matches(CharSequence rawPassword, String encodedPassword)
}
这个接口中主要有两个方法:
encode()这个主要用来决定如何编码密码,而之前的NoOpPasswordEncoder的实现如下
public String encode(CharSequence rawPassword) {
return rawPassword.toString();
}
可以看到,它对密码没有做任何处理
matches()这个方法用来描述前端提交的密码和服务器上的密码匹配规则,返回布尔值。而NoOpPasswordEncoder中的实现如下
public boolean matches(CharSequence rawPassword, String encodedPassword) {
return rawPassword.toString().equals(encodedPassword);
}
可以看出,它只是简单的比较是不是一样。
DelegatingPasswordEncoder
随着安全性的要求被提高,NoOpPasswordEncoder已经不能满足我们的需求了。那么修改一种默认的PasswordEncoder需要考虑什么问题呢?
- 确保使用当前密码存储建议对密码进行编码
- 允许验证现代和传统格式的密码
- 允许将来升级编码算法
简单来说,就是新的密码编码器和旧密码的兼容性,以及自身的稳健性以及需要一定的可变性(切换到更好的法).t听起来好像很难,那么请看DelegatingPasswordEncoder是如何解决这个问题的。
事实上DelegatingPasswordEncoder并不是传统意义上的编码器,它并不使用某一特定算法进行编码,顾名思义,它是一个委派密码编码器,它将具体编码的实现根据要求委派给不同的算法,以此来实现不同编码算法之间的兼容和变化协调.下面是源码:
public class DelegatingPasswordEncoder implements PasswordEncoder {
private static final String PREFIX = "{";
private static final String SUFFIX = "}";
private final String idForEncode;
private final PasswordEncoder passwordEncoderForEncode;
//所有的ID与PasswordEncoder的映射
private final Map idToPasswordEncoder;
//默认委托的PasswordEncoder
private PasswordEncoder defaultPasswordEncoderForMatches = new UnmappedIdPasswordEncoder();
//构造方法
public DelegatingPasswordEncoder(String idForEncode,
Map idToPasswordEncoder) {
if(idForEncode == null) {
throw new IllegalArgumentException("idForEncode cannot be null");
}
if(!idToPasswordEncoder.containsKey(idForEncode)) {
throw new IllegalArgumentException("idForEncode " + idForEncode + "is not found in idToPasswordEncoder " + idToPasswordEncoder);
}
for(String id : idToPasswordEncoder.keySet()) {
if(id == null) {
continue;
}
if(id.contains(PREFIX)) {
throw new IllegalArgumentException("id " + id + " cannot contain " + PREFIX);
}
if(id.contains(SUFFIX)) {
throw new IllegalArgumentException("id " + id + " cannot contain " + SUFFIX);
}
}
this.idForEncode = idForEncode;
this.passwordEncoderForEncode = idToPasswordEncoder.get(idForEncode);
this.idToPasswordEncoder = new HashMap<>(idToPasswordEncoder);
}
//设置默认PasswordEncoder
public void setDefaultPasswordEncoderForMatches(
PasswordEncoder defaultPasswordEncoderForMatches) {
if(defaultPasswordEncoderForMatches == null) {
throw new IllegalArgumentException("defaultPasswordEncoderForMatches cannot be null");
}
this.defaultPasswordEncoderForMatches = defaultPasswordEncoderForMatches;
}
//如何编码
@Override
public String encode(CharSequence rawPassword) {
return PREFIX + this.idForEncode + SUFFIX + this.passwordEncoderForEncode.encode(rawPassword);
}
//如何匹配
@Override
public boolean matches(CharSequence rawPassword, String prefixEncodedPassword) {
if(rawPassword == null && prefixEncodedPassword == null) {
return true;
}
String id = extractId(prefixEncodedPassword);
PasswordEncoder delegate = this.idToPasswordEncoder.get(id);
if(delegate == null) {
return this.defaultPasswordEncoderForMatches
.matches(rawPassword, prefixEncodedPassword);
}
String encodedPassword = extractEncodedPassword(prefixEncodedPassword);
return delegate.matches(rawPassword, encodedPassword);
}
//获取密码前缀对应的加密方式{id}XXXXXXX,id代表加密方式,XXXXX代表加密后的密码
private String extractId(String prefixEncodedPassword) {
if (prefixEncodedPassword == null) {
return null;
}
int start = prefixEncodedPassword.indexOf(PREFIX);
if(start != 0) {
return null;
}
int end = prefixEncodedPassword.indexOf(SUFFIX, start);
if(end < 0) {
return null;
}
return prefixEncodedPassword.substring(start + 1, end);
}
//获取{id}XXXXXXX中的加密内容,就是XXXXXXX这部分
private String extractEncodedPassword(String prefixEncodedPassword) {
int start = prefixEncodedPassword.indexOf(SUFFIX);
return prefixEncodedPassword.substring(start + 1);
}
//DelegatingPasswordEncoder中默认的PasswordEncoder
private class UnmappedIdPasswordEncoder implements PasswordEncoder {
@Override
public String encode(CharSequence rawPassword) {
throw new UnsupportedOperationException("encode is not supported");
}
@Override
public boolean matches(CharSequence rawPassword,
String prefixEncodedPassword) {
String id = extractId(prefixEncodedPassword);
throw new IllegalArgumentException("There is no PasswordEncoder mapped for the id \"" + id + "\"");
}
}
}
1.如何构建DelegatingPasswordEncoder?
SpringSercurity的PasswordEncoderFactories作为一个工厂类,用来构建DelegatingPasswordEncoder,当然你也根据自己的需求来实例化自己的DelegatingPasswordEncoder。下面给出PasswordEncoderFactories的源码。
public class PasswordEncoderFactories {
public static PasswordEncoder createDelegatingPasswordEncoder() {
String encodingId = "bcrypt";
Map encoders = new HashMap<>();
encoders.put(encodingId, new BCryptPasswordEncoder());
encoders.put("ldap", new LdapShaPasswordEncoder());
encoders.put("MD4", new Md4PasswordEncoder());
encoders.put("MD5", new MessageDigestPasswordEncoder("MD5"));
encoders.put("noop", NoOpPasswordEncoder.getInstance());
encoders.put("pbkdf2", new Pbkdf2PasswordEncoder());
encoders.put("scrypt", new SCryptPasswordEncoder());
encoders.put("SHA-1", new MessageDigestPasswordEncoder("SHA-1"));
encoders.put("SHA-256", new MessageDigestPasswordEncoder("SHA-256"));
encoders.put("sha256", new StandardPasswordEncoder());
return new DelegatingPasswordEncoder(encodingId, encoders);
}
private PasswordEncoderFactories() {}
}
idToPasswordEncoder 这个里面就存着各种PasswordEncoder。所有实际上,当你调用DelegatingPasswordEncoder的encode()方法时,它会选用构造函数第一个参数指定的那个PasswordEncoder对密码进行编码,而调用matches()方法时,它会选择idToPasswordEncoder中的一种PasswordEncoder进行编码和匹配,这样就很灵活的解决了匹配多种加密方式的问题。但是你肯定会想,DelegatingPasswordEncoder如何去选择PasswordEncoder。
2.如何选择PasswordEncoder?
要弄清楚这个问题,先要了解一下它密码存储格式。它的密码存储格式如下:
{id}encodedPassword
其中,id标识使用PaswordEncoder的种类,也就是idToPasswordEncoder这个Map的Key ,encodedPassword是原密码被编码后的密码.
例如{noop}123456,noop这个就代表NoOpPasswordEncoder编码器,123456就代表使用NoOpPasswordEncoder加密后的密码。
如果你的密码没有{id}这部分,或者{id}中的id不在idToPasswordEncoder的Key集合中,那么它找不到对应的PasswordEncoder,会调用默认的UnmappedIdPasswordEncoder。这个类是DelegatingPasswordEncoder中的私有类, 你看它的实现,就发现之前报错的信息了。
如何解决?
情况有很多种,种方案的解决方案也不同,如果你认真把上面的内容全部看完了,应该不会看到这里了。
http://www.baeldung.com/spring-security-registration-password-encoding-bcrypt