SpringBoot3整合SpringSecurity6(四)添加用户、密码加密

写在前面

还记得在之前的文章中，我们在user表中手动插入了3条数据吗？

当时，大家就会有疑问。这一串密码是怎么来的呢，我们为啥要对密码进行加密？

带着这些疑问，我们继续上路。我们在开发一个应用系统，肯定是少不了用户注册功能的。说到注册，无非就是往user用户信息表中插入一条数据。

这条数据包含用户名 [xiezhr]、密码 [123456]等字段，而往往 密码这个字段不可能将123456直接存储的，而是通过各种加密手段处理。最终如上图所示，

即使数据库因各种原因泄露，法外狂徒张三也不知道用户的密码，这让系统又加了一把锁。

一、密码明文存储的危害

不知道大家前段时间有没有听到这么一个新闻。爱尔兰数据保护委员会（DPC）对Meta(前Facebook) 处以9100万欧元（7.14亿元人民币）的罚款，

原因正是因为Meta在未加保护或加密的情况下以明文形式存储用户密码。

从Meta事件再次证明了，即使在大的企业，也难免会有所疏漏，虽然事件中并没有提到泄露信息，但一旦泄露，后果真的不可想象。

密码明文存储就像是你把家里的钥匙挂在门上，任何人都可以拿走钥匙，进入你的家；你的日记本没有上锁，任何人都可以打开看；

安全无小事，安全无小事，安全无小事。

二、加密方式及实现

2.1 对称加密

① 简介

就像你和你的好朋友之间有一个只有你们俩知道的秘密暗号。你们用这个暗号来传递信息，别人就算看到了也看不懂。

② 常见算法

• AES（高级加密标准）
• DES（数据加密标准）

②实现

首先，你和你的朋友要商量好一个“暗号”（密钥）。然后，你把想说的话（明文）转换成只有你们俩能懂的暗号（密文）。你的朋友收到后，再用同样的“暗号”把密文变回原话。

2.2 非对称加密

① 简介

你有一个带锁的信箱，你把钥匙分成两把，一把公钥（可以给别人），一把私钥（自己保管）。别人用公钥把信锁上，只有你能用私钥打开

② 常见算法

• RSA算法

③ 实现

你生成一对钥匙，公钥和私钥。别人用你的公钥加密信息，然后发给你。你收到后，用自己的私钥解密。

2.3 哈希加密

① 简介

像是把信息扔进一个特殊的搅拌机，出来的是一个固定大小的“信息指纹”。这个“指纹”不能还原成原来的信息。

② 常见算法

• MD5
• SHA-1
• SHA-256
• SHA-512

③ 实现

把信息（明文）通过一个哈希函数处理，生成一个哈希值。这个哈希值用来验证信息是否被篡改。

• 选择一个哈希算法（如SHA-256）。

• 把明文通过哈希算法处理，生成哈希值。

• 存储或传输哈希值。

• 接收者收到信息后，再次计算哈希值，与收到的哈希值对比，验证信息完整性。

回到Spring Sesurity中，框架提供了PasswordEncoder 接口来实现密码加密。通过不同的实现，来配置不同Hash算法（MD5、SHA-256、SHA-512等）

但是仅仅通过上面简单的加密依然不能防止恶意用户的攻击，为什么呢？

恶意用户会预先计算很多密码的加密结果，保存到“表”里。这里的“表”指的就我们常说的彩虹表。

当想要破解某个密码时，就会用这个密码去“表”里查找对应的加密结果，如果找到了，就知道这个密码是什么了。

那么SpringSecurity怎么才能防止彩虹表攻击呢？

常用的就是使用盐（Salt）

顾名思义，盐就是给密码加点“料”，每次加密时都加点不同的“料”，这样即使两个用户的密码相同，加密后的结果也会因为盐的不同而不同。

Spring Security可以通过配置密码编码器（如BCryptPasswordEncoder）来自动为每个密码生成一个唯一的盐来保证安全。

三、密码加密测试

上面说了一堆理论知识，接下来我们来测试下通过BCryptPasswordEncoder 来加密

@Test
public void testPasswordEncoder(){
    BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
    //明文都是xiezhr,但是每次生成的密文是不一致的
    String ret1 = encoder.encode("xiezhr");
    String ret2 = encoder.encode("xiezhr");
    System.out.println("第一次生成密码："+ret1);
    System.out.println("第二次生成密码："+ret2);

    Assert.isTrue(encoder.matches("xiezhr", ret1), "密码不一致");
    Assert.isTrue(encoder.matches("xiezhr", ret2), "密码不一致");

}
//输出
第一次生成密码：$2a$10$96WLiLGkHOcxYNw9wWHDeuXYVznW30S7F5u4Stib71gFp3Mq/mENa
第二次生成密码：$2a$10$f1JowhAXqYI1UBF4jRY5AeziL/83NRzWfvUtxoXzgW0xUQ/uLLUWK
//这里并没有抛出密码不一致的异常

从上面测试中，我们可以看出，相同明文"xiezhr" 通过BCrypt算法加密后，每次生成的密文都是不同的。

再通过matches 来验证两次生成的密文，都与“xiezhr” 匹配

四、添加新用户

在前面的学习中，我们知道了怎么进行密码加密，接下来，该轮到实操了。

我们要实现将一个用户添加到数据库中，并且密码进行加密。

4.1 替换默认密码加密方式

在Spring Security中默认使用的PasswordEncoder要求数据库中的密码格式为：{id}password 。它会根据id去判断密码的

加密方式 ,所以我们之前数据库中存储的密码为{bcrypt}$2a$10$GRLdNijSQMUvl/au9ofL.eDwmoohzzS7.rmNSJZ.0FxO/BTk76klW

但是我们一般不会采用这种方式。所以就需要替换PasswordEncoder默认实现方式。

我们一般使用SpringSecurity为我们提供的BCryptPasswordEncoder。

怎么替换呢？其实非常简单

我们只需要使用把BCryptPasswordEncoder对象注入Spring容器中，SpringSecurity就会使用该PasswordEncoder来进行密码校验。

@Configuration  //标明这个类为配置类，spring应用程序一启动，类中的been 就会被初始化在spring容器中
@EnableWebSecurity  //开启spring security 自定义配置
public class WebSecurityConfig {

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

}

4.2 Controller

添加addUser 方法，用于接收前台传过来的用户信息。这里省略了上一节的代码

@RestController
@RequestMapping("/user")
public class UserController {

    @Autowired
    private UserService userService;

    @PostMapping("/addUser")
    public int addUser(@RequestBody User user){
       return userService.addUser(user);
    }
}

4.3 Service

由于要对前台传过来的密码进行加密处理，我们这里需要单独添加addUser 单独处理密码,具体方法如下

1、UserService

public interface UserService extends IService<User> {
    int addUser(User user);
}

2、UserServiceImpl

@Service
public class UserServiceImpl extends ServiceImpl<UserMapper, User> implements UserService {

    @Autowired
    PasswordEncoder passwordEncoder;
    @Autowired
    UserMapper userMapper;

    @Override
    public int addUser(User user) {
        String encode = passwordEncoder.encode(user.getPassword());
        user.setPassword(encode);
        user.setEnabled(true);
        return  userMapper.insert(user);
    }
}

4.4 测试一下

到了这里，小伙伴是不是觉得已经大功告成了，我们来用postman工具测试一下

哦豁，报401 Unauthorized了，这是为啥呢？

我们要对/user/addUser 进行放行

@Configuration  //标明这个类为配置类，spring应用程序一启动，类中的been 就会被初始化在spring容器中
@EnableWebSecurity  //开启spring security 自定义配置
public class WebSecurityConfig {
     @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {

        http.csrf(csrf-> csrf.disable());
        http.authorizeHttpRequests(auth -> auth
                        .requestMatchers("/user/addUser").permitAll()
                        .anyRequest().authenticated()
                );

        return http.build();
    }
}

添加上面代码之后，再用postman测试，用户就正常添加进去了

我们再来看看数据库，Jon这个用户已经加进去了，而且密码123456 也是加过密的

五、小结

到此，我们已经将一个新用户添加到数据库中了，并且用户密码也做了加密处理。

以上操作，我们只是为了演示添加用户的基本操作，实际项目中会比这个复杂一些，不过原理都是一样的。

在实际的前后端分离项目中，我们还会涉及到跨域处理、统一返回结果、再插入用户之前判断用户是否存在等等。

小伙伴们，不用着急，后续课程中会慢慢补充~