账户密码存储的安全性是一个很老的话题,但还是会频频发生,一般的做法是 SHA256(userInputpwd+globalsalt+usersalt) 并设置密码时时要求长度与大小写组合,一般这样设计可以满足绝大部分的安全性需求。更复杂一些的方案有组合算法签名(比如:SHA256 + BCRYPT 组合 ) , 两步认证,Password Hash 等。

在之前集成  spring-security-oauth2 搭建 OAuth2.0 服务,依赖项 Spring Security 5 默认引入了更安全的加/解密机制,如果之前程序使用纯文本的方式存储用户密码与 Client 的密钥或低版本升级到 Spring Security 5 后可能会出现如下错误。 

Encoded password does not look like BCrypt

java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"

    at org.springframework.security.crypto.password.DelegatingPasswordEncoder$UnmappedIdPasswordEncoder.matches(DelegatingPasswordEncoder.java:233)

    at org.springframework.security.crypto.password.DelegatingPasswordEncoder.matches(DelegatingPasswordEncoder.java:196)

Spring Security 5 对 PasswordEncoder 做了相关的重构,提供了 Password Hash 算法的实现(bCrypt, PBKDF2, SCrypt 等是最常用的几种密码 Hash 算法),将密码编码之后的 hash 值和加密方式一起存储,原先默认配置的 PlainTextPasswordEncoder 明文密码被移除了(本身明文存储密码也是不合适的一种方式,只适用与测试环境)。

@Bean

public static NoOpPasswordEncoder passwordEncoder() {

    return NoOpPasswordEncoder.getInstance();

}

createDelegatingPasswordEncoder 方法定义了众多密码密码编码方式的集合,可以通过使用 PasswordEncoderFactories 类创建一个 DelegatingPasswordEncoder 的方式来解决这个问题。

Reverting to NoOpPasswordEncoder is not considered to be secure. You should instead migrate to using DelegatingPasswordEncoder to support secure password encoding. https://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#troubleshooting

/**

 * Used for creating {@link PasswordEncoder} instances

 * @author Rob Winch

 * @since 5.0

 */

public class PasswordEncoderFactories {

    /**

     * Creates a {@link DelegatingPasswordEncoder} with default mappings. Additional

     * mappings may be added and the encoding will be updated to conform with best

     * practices. However, due to the nature of {@link DelegatingPasswordEncoder} the

     * updates should not impact users. The mappings current are:

     *

     * <ul>

     * <li>bcrypt - {@link BCryptPasswordEncoder} (Also used for encoding)</li>

     * <li>ldap - {@link LdapShaPasswordEncoder}</li>

     * <li>MD4 - {@link Md4PasswordEncoder}</li>

     * <li>MD5 - {@code new MessageDigestPasswordEncoder("MD5")}</li>

     * <li>noop - {@link NoOpPasswordEncoder}</li>

     * <li>pbkdf2 - {@link Pbkdf2PasswordEncoder}</li>

     * <li>scrypt - {@link SCryptPasswordEncoder}</li>

     * <li>SHA-1 - {@code new MessageDigestPasswordEncoder("SHA-1")}</li>

     * <li>SHA-256 - {@code new MessageDigestPasswordEncoder("SHA-256")}</li>

     * <li>sha256 - {@link StandardPasswordEncoder}</li>

     * </ul>

     *

     * @return the {@link PasswordEncoder} to use

     */

    public static PasswordEncoder createDelegatingPasswordEncoder() {

        String encodingId = "bcrypt";

        Map<String, PasswordEncoder> encoders = new HashMap<>();

        encoders.put(encodingId, new BCryptPasswordEncoder());

        encoders.put("ldap", new LdapShaPasswordEncoder());

        encoders.put("MD4", new Md4PasswordEncoder());

        encoders.put("MD5", new MessageDigestPasswordEncoder("MD5"));

        encoders.put("noop", NoOpPasswordEncoder.getInstance());

        encoders.put("pbkdf2", new Pbkdf2PasswordEncoder());

        encoders.put("scrypt", new SCryptPasswordEncoder());

        encoders.put("SHA-1", new MessageDigestPasswordEncoder("SHA-1"));

        encoders.put("SHA-256", new MessageDigestPasswordEncoder("SHA-256"));

        encoders.put("sha256", new StandardPasswordEncoder());

        return new DelegatingPasswordEncoder(encodingId, encoders);

    }

    private PasswordEncoderFactories() {}

}
Password Encoding

使用 BCryptPasswordEncoder 编码(默认

//    @Bean

//    public PasswordEncoder passwordEncoder(){

//        return new BCryptPasswordEncoder();

//    }

    @Bean

    PasswordEncoder passwordEncoder(){

        return PasswordEncoderFactories.createDelegatingPasswordEncoder();

    }

    /**

     * 配置授权的用户信息

     * @param authenticationManagerBuilder

     * @throws Exception

     */

    @Override

    protected void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {

//        authenticationManagerBuilder.inMemoryAuthentication()

//                .withUser("irving")

//                .password(passwordEncoder().encode("123456"))

//                .roles("read");

        authenticationManagerBuilder.userDetailsService(userDetailService).passwordEncoder(passwordEncoder());

    }

使用 PasswordEncoderFactories 类提供的默认编码器,存储密码的格式如下所示( {id}encodedPassword ),然后在加密后的密码前添加 Password Encoder 各自的标识符

{bcrypt}$2a$10$oenCzSR.yLibYMDwVvuCaeIlSIqsx0TBY1094.jQ3wgPEXzTrA52.
public class TestBCryptPwd {

    @Bean

    PasswordEncoder passwordEncoder(){

        return PasswordEncoderFactories.createDelegatingPasswordEncoder();

    }

    @Bean

    public PasswordEncoder bcryptPasswordEncoder(){

        return new BCryptPasswordEncoder();

    }

    @Bean

    public PasswordEncoder pbkdf2PasswordEncoder(){

        return new Pbkdf2PasswordEncoder();

    }

    @Bean

    public PasswordEncoder scryptPasswordEncoder(){

        return new SCryptPasswordEncoder();

    }

    @Test

    public void testPasswordEncoder() {

        String pwd = passwordEncoder().encode("123456");

        String bcryptPassword = bcryptPasswordEncoder().encode("123456");

        String pbkdf2Password = pbkdf2PasswordEncoder().encode("123456");

        String scryptPassword = scryptPasswordEncoder().encode("123456");

        System.out.println(pwd  +"\n"+bcryptPassword +"\n"+pbkdf2Password+"\n"+scryptPassword);

        /*

            {bcrypt}$2a$10$dXJ3SW6G7P50lGmMkkmwe.20cQQubK3.HZWzG3YB1tlRy.fqvM/BG 1

            {noop}password 2

            {pbkdf2}5d923b44a6d129f3ddf3e3c8d29412723dcbde72445e8ef6bf3b508fbf17fa4ed4d6b99ca763d8dc 3

            {scrypt}$e0801$8bWJaSu2IKSn9Z9kM+TPXfOc/9bdYSrN1oD9qfVThWEwdRTnO7re7Ei+fUZRJ68k9lTyuTeUp4of4g24hHnazw==$OAOec05+bXxvuu/1qZ6NUR+xQYvYv7BeL1QxwRpY5Pc=  4

            {sha256}97cde38028ad898ebc02e690819fa220e88c62e0699403e94fff291cfffaf8410849f27605abcbc0 5

        */

    }

}
Password Matching
BCryptPasswordEncoder encoder = new BCryptPasswordEncoder;

String result = encoder.encode("123456");

assertTrue(encoder.matches("123456", result));

Pbkdf2PasswordEncoder encoder = new Pbkdf2PasswordEncoder();

String result = encoder.encode("123456");

assertTrue(encoder.matches("123456", result));

SCryptPasswordEncoder encoder = new SCryptPasswordEncoder();

String result = encoder.encode("123456");

assertTrue(encoder.matches("123456", result));

示列

    /**

     * 修改用户密码

     *

     * @param oldPwd

     * @param newPwd

     * @param userName

     * @return

     */

    @Override

    public Users modifyPwd(String oldPwd, String newPwd, String userName) {

        Users user = this.userRepository.findByUsername(userName);

        //验证用户是否存在

        if (user == null) {

            throw new UserFriendlyException("用户不存在!");

        }

        //验证原密码是否正确

        if (!passwordEncoder.matches(oldPwd, user.getPassword())) {

            throw new UserFriendlyException("原密码不正确!");

        }

        //修改密码

        user.setPassword(passwordEncoder.encode(newPwd));

        return this.userRepository.save(user);

    }

应该使用哪一种Password Hash?[引用]

PBKDF2、BCRYPT、SCRYPT 曾经是最常用的三种密码Hash算法,至于哪种算法最好,多年以来密码学家们并无定论。但可以确定的是,这三种算法都不完美,各有缺点。其中PBKDF2因为计算过程需要内存少所以可被GPU/ASIC加速,BCRYPT不支持内存占用调整且容易被FPGA加速,而SCRYPT不支持单独调整内存或计算时间占用且可能被ASIC加速并有被旁路攻击的可能。

2013年NIST(美国国家标准与技术研究院)邀请了一些密码学家一起,举办了密码hash算法大赛(Password Hashing Competition),意在寻找一种标准的用来加密密码的hash算法,并借此在业界宣传加密存储用户密码的重要性。大赛列出了参赛算法可能面临的攻击手段:

  • [X] 加密算法破解(原值还原、哈希碰撞等,即应满足Cryptographic Hash的第2、3、4条特性);

  • [X] 查询表/彩虹表攻击;
  • [X] CPU优化攻击;
  • [X] GPU、FPGA、ASIC等专用硬件攻击;
  • [X] 旁路攻击;

最终在2015年7月,Argon2算法赢得了这项竞赛,被NIST认定为最好的密码hash算法。不过因为算法过新,目前还没听说哪家大公司在用Argon2做密码加密。

REFER:
https://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#core-services-password-encoding
https://stackoverflow.com/questions/49582971/encoded-password-does-not-look-like-bcrypt
https://www.baeldung.com/spring-security-5-default-password-encoder
https://www.cnkirito.moe/spring-security-6/
https://stackoverflow.com/questions/6832445/how-can-bcrypt-have-built-in-salts
https://www.cnblogs.com/xinzhao/p/6035847.html
http://www.cnblogs.com/cnblogsfans/p/5112167.html
https://github.com/KaiZhang890/store-password-safely

关于 Spring Security 5 默认使用 Password Hash 算法的更多相关文章

  1. spring security之 默认登录页源码跟踪

    spring security之 默认登录页源码跟踪 ​ 2021年的最后2个月,立个flag,要把Spring Security和Spring Security OAuth2的应用及主流程源码研究透 ...

  2. 追踪分布式Memcached默认的一致性hash算法

    <span style="font-family: Arial, Helvetica, sans-serif; background-color: rgb(255, 255, 255) ...

  3. Spring Security报异常 Encoded password does not look like BCrypt

    控制台报错: Encoded password does not look like BCrypt 意思是前端传回去的密码格式与数据库里的密码格式不匹配,这样即使密码正确也无法校验.自然也就无法登录. ...

  4. springboot+spring security +oauth2.0 demo搭建(password模式)(认证授权端与资源服务端分离的形式)

    项目security_simple(认证授权项目) 1.新建springboot项目 这儿选择springboot版本我选择的是2.0.6 点击finish后完成项目的创建 2.引入maven依赖  ...

  5. Spring Security教程系列(一)基础篇-2

    第 4 章 自定义登陆页面 Spring Security虽然默认提供了一个登陆页面,但是这个页面实在太简陋了,只有在快速演示时才有可能它做系统的登陆页面,实际开发时无论是从美观还是实用性角度考虑,我 ...

  6. 【JavaEE】SSH+Spring Security整合及example

    到前文为止,SSH的基本框架都已经搭建出来了,现在,在这基础上再加上权限控制,也就是Spring Security框架,和前文的顺序一样,先看看需要加哪些库. 1. pom.xml Spring Se ...

  7. SpringBoot Spring Security 核心组件 认证流程 用户权限信息获取详细讲解

    前言 Spring Security 是一个安全框架, 可以简单地认为 Spring Security 是放在用户和 Spring 应用之间的一个安全屏障, 每一个 web 请求都先要经过 Sprin ...

  8. 使用 Spring Security 保护 Web 应用的安全

    安全一直是 Web 应用开发中非常重要的一个方面.从安全的角度来说,需要考虑用户认证和授权两个方面.为 Web 应用增加安全方面的能力并非一件简单的事情,需要考虑不同的认证和授权机制.Spring S ...

  9. Spring Security(19)——对Acl的支持

    目录 1.1           准备工作 1.2           表功能介绍 1.2.1     表acl_sid 1.2.2     表acl_class 1.2.3     表acl_obj ...

随机推荐

  1. Django的rest_framework的视图之基于ModelViewSet视图源码解析

    前言 今天一直在整理Django的rest_framework的序列化组件,前面一共写了2篇博客,前面的博客给的方案都是一个中间的状态的博客,其中有很多的冗余的代码,如果有朋友不清楚,可以先看下我前面 ...

  2. .NET, ASP.NET, ADO.NET, C# 区别

    1. .NET 是一套框架 1.1 CLR  (common language runtime) 公共语言运行时,-提供内在管理,代码安全性检测等功能 1.1.1 CLS (common langua ...

  3. git 添加分支并与远程连接

    今天由于项目需要,要改版,为了不影响当前网站,所以用分支来管理 首先,在本地添加分支dev git checkout -b dev 提交远程,让同事拉取这个分支,我是直接push了,推到远程. 同事在 ...

  4. 开始Dev之路

    从今天开始,开启Dev的发展之路.

  5. solr7.7.0搜索引擎使用(一)(下载安装)

    一.下载安装 可以直接在官网下载地址:https://lucene.apache.org/solr/ 解压之后,目录结构如下图,bin里边提供部署的文件,contrib提供额外的jar包,docs提供 ...

  6. Innodb IO优化-配置优化

    作者:吴炳锡 来源:http://www.mysqlsupport.cn/ 联系方式: wubingxi#gmail.com 转载请注明作/译者和出处,并且不能用于商业用途,违者必究. 对于数据库来讲 ...

  7. tensorflow学习之(三)Varible 变量的使用

    #Varible 变量的使用 使用变量进行自加 import tensorflow as tf state = tf.Variable(0,name='counter') #定义一个变量,赋值为0,且 ...

  8. #10072. 「一本通 3.2 例 1」Sightseeing Trip(floyd求最小环+路径)

    https://loj.ac/problem/10072 针对无向图 因为Floyd是按照结点的顺序更新最短路的,所以我们在更新最短路之前先找到一个连接点k,当前的点k肯定不存在于已存在的最短路f[i ...

  9. ABP框架系列之二十二:(Dynamic-Web-API-动态WebApi)

    Building Dynamic Web API Controllers This document is for ASP.NET Web API. If you're interested in A ...

  10. Python学习第三章

    1.模块: 其实每个.py文件本身就是一个模块,当读者做完了一个.py文件,如果别人打算直接分享你的成果,只要在他编写的.py文件中倒入(import)就好了. 比如想在hello1.py文件里直接使 ...