一、說明
當已上線的系統存在使用其他的加密方式加密的密碼數據,並且密碼 不可逆 時,而新的數據採用了其他的加密方式,則需要同時兼容多種加密方式的密碼校驗。
例如下列幾種情況:
- 舊系統用戶的密碼採用了 MD5 的加密方式,而升級框架後的新系統則採用 BCrypt 的加密方式;
- 當割接歷史數據後會存在用戶表中密碼的 加密方式不統一 的問題,歷史數據爲 MD5 新數據爲 BCrypt;
- 所以需要系統支持同時兼容多種加密方式的密碼校驗。
本文分享基於Security的PasswordEncoder來實現兼容多套用戶密碼加密方式。
二、DelegatingPasswordEncoder
在 spring Security 5.0之後,默認的密碼加密方案其實是 DelegatingPasswordEncoder
它是一個代理類,而並非一種全新的密碼加密方案,可以用來代理多種不同的密碼加密方案。
代碼參考:
Map<String, PasswordEncoder> encoders = new HashMap<>();
encoders.put("bcrypt", new BCryptPasswordEncoder());
encoders.put("ldap", new org.springframework.security.crypto.password.LdapShaPasswordEncoder());
encoders.put("MD4", new org.springframework.security.crypto.password.Md4PasswordEncoder());
encoders.put("MD5", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("MD5"));
encoders.put("noop", org.springframework.security.crypto.password.NoOpPasswordEncoder.getInstance());
encoders.put("pbkdf2", new Pbkdf2PasswordEncoder());
encoders.put("scrypt", new SCryptPasswordEncoder());
encoders.put("SHA-1", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-1"));
encoders.put("SHA-256", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-256"));
encoders.put("sha256", new org.springframework.security.crypto.password.StandardPasswordEncoder());
encoders.put("argon2", new Argon2PasswordEncoder());
encoders.put("SM3", new SM3PasswordEncoder());
Assert.isTrue(encoders.containsKey(encodingId), encodingId + " is not found in idToPasswordEncoder");
DelegatingPasswordEncoder delegatingPasswordEncoder = new DelegatingPasswordEncoder(encodingId, encoders);
delegatingPasswordEncoder.setDefaultPasswordEncoderForMatches(encoders.get(encodingId));
return delegatingPasswordEncoder;
自動會根據數據的
encodingId
來使用對應的編譯器處理密碼
三、如何使用
3.1. 修改歷史密碼數據
修改舊的密碼數據的值,添加前綴標識 encodingId
格式如下:
- 無鹽值
{encodingId}密碼
例如源密碼爲:$2a$10$EgTOU7PMe.3jaMwFsumdweJcnY3TsTqyuJEdSaSKxdgwYchAwUJ1C
則修改爲:
{bcrypt}$2a$10$EgTOU7PMe.3jaMwFsumdweJcnY3TsTqyuJEdSaSKxdgwYchAwUJ1C
- 有鹽值
{encodingId}{salt}密碼
例如源密碼爲:
0758f7131c6c95c8e3df05e1ac50214c
則修改爲:
{MD5}{5Hstj}0758f7131c6c95c8e3df05e1ac50214c
encodingId 的值可參考
PwdEncoderUtil
類
如下圖所示:
3條記錄中,前兩條爲原有的歷史記錄使用的是
MD5
的加密算法,然後新插入的數據使用的爲bcrypt
的加密算法,分別使用不同的前綴標識encodingId
3.2. 配置 PasswordEncoder 對象
使用 DelegatingPasswordEncoder
類來定義 PasswordEncoder
並且指定默認加密方式爲 bcrypt
@Bean
public PasswordEncoder passwordEncoder() {
return PwdEncoderUtil.getDelegatingPasswordEncoder("bcrypt");
}
以下兩種情況下都是使用默認的加密方式:
- 使用 encode 方法加密數據。
- 使用 matches 方法對比密文和原文時,密文沒有 encodingId 標識。
3.3. 參考代碼
掃碼關注有驚喜!