前言
SpringSecurity中有一个升级版的消息--BCryptPasswordEncoder,使用相同的明文,生成的新的加密字符串都是不一样的,这与我们常见的加密算法MD5是不同的,MD5加密的话,只要是相同的salt和原密码,加密后产生的密串都是一致的。
关于MD5
MD5的典型应用是对一段信息(Message)产生信息摘要(Message-Digest),以防止被篡改。比如,在UNIX下有很多软件在下载的时候都有一个文件名相同,文件扩展名为.md5的文件,在这个文件中通常只有一行文本,大致结构如:
MD5 (tanajiya.tar.gz) = 0ca175b9c0f726a831d895e269332461
这就是tanajiya.tar.gz文件的数字签名。MD5将整个文件当作一个大文本信息,通过其不可逆的字符串变换算法,产生了这个唯一的MD5信息摘要。为了让读者朋友对MD5的应用有个直观的认识,笔者以一个比方和一个实例来简要描述一下其工作过程:
大家都知道,地球上任何人都有自己独一无二的指纹,这常常成为公安机关鉴别罪犯身份最值得信赖的方法;与之类似,MD5就可以为任何文件(不管其大小、格式、数量)产生一个同样独一无二的“数字指纹”,如果任何人对文件名做了任何改动,其MD5值也就是对应的“数字指纹”都会发生变化。
我们常常在某些软件下载站点的某软件信息中看到其MD5值,它的作用就在于我们可以在下载该软件后,对下载回来的文件用专门的软件(如Windows MD5 Check等)做一次MD5校验,以确保我们获得的文件与该站点提供的文件为同一文件。利用MD5算法来进行文件校验的方案被大量应用到软件下载站、论坛数据库、系统文件安全等方面。
可以通过一些在线工具对123456进行MD5加密,多次对123456加密的结果其实都是一样的。
关于BCryptPasswordEncoder
Spring Security提供了BCryptPasswordEncoder这个加密算法类,实现Spring的PasswordEncoder接口使用BCrypt强哈希方法,对密码进行加密。生成的字符串可以长达60位,比MD5有着不小的优势,而且MD5也不再是Spring Security推荐的加密算法了。
我们可以在用户信息类new一个BCryptPasswordEncoder,进行加密。
BCryptPasswordEncoder Encoder = new BCryptPasswordEncoder();
String newPwd= Encoder.encode(password);
其中,newPwd为加密之后的密串。下面两张图中的$开头的字符串都是1234qwer加密后的密串。
也就是说,同样的密码在BCryptPasswordEncoder的加密后,其产生的密串是不同的,那么我们之前采用MD5加密的时候,对密码的匹配都是拿加密后的密串进行对比,在此刻就不通用了。
BCryptPasswordEncoder有自己独特的比较方法,通过阅读源码可以知道,其对比密码采用的是matches这个方法。只要将原密码和任意一个加密后的密串进行matches,根据返回的Boolean值来判断是否一致。
public String encode(CharSequence rawPassword) {
String salt;
if (strength > 0) {
if (random != null) {
salt = BCrypt.gensalt(strength, random);
}
else {
salt = BCrypt.gensalt(strength);
}
}
else {
salt = BCrypt.gensalt();
}
return BCrypt.hashpw(rawPassword.toString(), salt);
}
public boolean matches(CharSequence rawPassword, String encodedPassword) {
if (encodedPassword == null || encodedPassword.length() == 0) {
logger.warn("Empty encoded password");
return false;
}
if (!BCRYPT_PATTERN.matcher(encodedPassword).matches()) {
logger.warn("Encoded password does not look like BCrypt");
return false;
}
return BCrypt.checkpw(rawPassword.toString(), encodedPassword);
}
相当于帮我们做了一层gensalt的过程
最后
生命不止,学习不息,笔耕不辍!