1 BCryptPasswordEncoder密码加密的思考

1,密码存储 仅仅依赖于普通的 hash 算法(如 md5,sha256)是不合适的,他主要有 3 个特点:

  1. 同一密码生成的 hash 值一定相同
  2. 不同密码的生成的 hash 值可能相同(md5 的碰撞问题相比 sha256 还要严重)
  3. 计算速度快。

2, BCryptPasswordEncoder的优势

  1. 每次编码都会随机生成不一样的salt值去编码,所以相同密码加密后值不同
  2. 可控制代价因子(也就是循环加密次数的控制)让加密速度慢,破解代价增大。

3, BCryptPasswordEncoder后期的扩展问题

@Bean
PasswordEncoder passwordEncoder(){
    return new BCryptPasswordEncoder();
}

问题:

  1. spring security 怎么这么坑,原来的密码编码器都给改了,我需要怎么迁移旧密码编码的应用程序?
  2. 万一以后出了更高效的加密算法,这种笨重的硬编码方式配置密码编码器是不是不够灵活?

方案:
在 spring security 5 提供了这样一个思路,应该将密码编码之后的 hash 值和加密方式一起存储,并提供了一个 DelegatingPasswordEncoder 来作为众多密码密码编码方式的集合。

@Bean
PasswordEncoder passwordEncoder(){
    return PasswordEncoderFactories.createDelegatingPasswordEncoder();
}

public class PasswordEncoderFactories {
   public static PasswordEncoder createDelegatingPasswordEncoder() {
      String encodingId = "bcrypt";
      Map encoders = new HashMap<>();
      encoders.put(encodingId, new BCryptPasswordEncoder());
      encoders.put("ldap", new LdapShaPasswordEncoder());
      encoders.put("MD4", new Md4PasswordEncoder());
      encoders.put("MD5", new MessageDigestPasswordEncoder("MD5"));
      encoders.put("noop", NoOpPasswordEncoder.getInstance());
      encoders.put("pbkdf2", new Pbkdf2PasswordEncoder());
      encoders.put("scrypt", new SCryptPasswordEncoder());
      encoders.put("SHA-1", new MessageDigestPasswordEncoder("SHA-1"));
      encoders.put("SHA-256", new MessageDigestPasswordEncoder("SHA-256"));
      encoders.put("sha256", new StandardPasswordEncoder());
      return new DelegatingPasswordEncoder(encodingId, encoders);
   }
   private PasswordEncoderFactories() {}
}

如此注入 PasswordEncoder 之后,我们在数据库中需要这么存储数据:,后续就算修改了密码加密方式,也不影响老数据的校验。

{bcrypt}$2a$10$dXJ3SW6G7P50lGmMkkmwe.20cQQubK3.HZWzG3YB1tlRy.fqvM/BG
{noop}password
{pbkdf2}5d923b44a6d129f3ddf3e3c8d29412723dcbde72445e8ef6bf3b508fbf17fa4ed4d6b99ca763d8dc
{scrypt}$e0801$8bWJaSu2IKSn9Z9kM+TPXfOc/9bdYSrN1oD9qfVThWEwdRTnO7re7Ei+fUZRJ68k9lTyuTeUp4of4g24hHnazw==$OAOec05+bXxvuu/1qZ6NUR+xQYvYv7BeL1QxwRpY5Pc=
{sha256}97cde38028ad898ebc02e690819fa220e88c62e0699403e94fff291cfffaf8410849f27605abcbc0

3, BCryptPasswordEncoder原理

$2b$[cost]$[22 character salt][31 character hash]
截图.png
  • 上面例子中, 表示的hash算法的唯一标志。这里表示的是Bcrypt算法。
  • 10 表示的是代价因子,这里是2的10次方,也就是1024轮。
  • N9qo8uLOickgx2ZMRZoMye 是16个字节(128bits)的salt经过base64编码得到的22长度的字符。
  • 最后的IjZAgcfl7p92ldGxad68LJZdL17lhWy是24个字节(192bits)的hash,经过bash64的编码得到的31长度的字符。
    \color{red}{说明加密密码中存储了salt,后面校验密码的依据就是用用户输入的明文加上密文中的salt加密后再和密文比对。}

4, BCryptPasswordEncoder使用方式

PasswordEncoder passwordEncoder =  new BCryptPasswordEncoder();
String rawPassword = "123456";  //原始密码
String encodedPassword = passwordEncoder.encode(rawPassword); //加密后的密码
System.out.println("原始密码" + rawPassword);
System.out.println("加密之后的hash密码:" + encodedPassword);
System.out.println(rawPassword + "是否匹配" + encodedPassword + ":"   //密码校验:true
        + passwordEncoder.matches(rawPassword, encodedPassword));

你可能感兴趣的:(1 BCryptPasswordEncoder密码加密的思考)