Spring security中的BCryptPasswordEncoder方法对密码进行加密与密码匹配

浅谈使用springsecurity中的BCryptPasswordEncoder方法对密码进行加密(encode)与密码匹配(matches)

spring security中的BCryptPasswordEncoder方法采用SHA-256 +随机盐+密钥对密码进行加密。SHA系列是Hash算法，不是加密算法，使用加密算法意味着可以解密（这个与编码/解码一样），但是采用Hash处理，其过程是不可逆的。

（1）加密(encode)：注册用户时，使用SHA-256+随机盐+密钥把用户输入的密码进行hash处理，得到密码的hash值，然后将其存入数据库中。

（2）密码匹配(matches)：用户登录时，密码匹配阶段并没有进行密码解密（因为密码经过Hash处理，是不可逆的），而是使用相同的算法把用户输入的密码进行hash处理，得到密码的hash值，然后将其与从数据库中查询到的密码hash值进行比较。如果两者相同，说明用户输入的密码正确。

这正是为什么处理密码时要用hash算法，而不用加密算法。因为这样处理即使数据库泄漏，黑客也很难破解密码（破解密码只能用彩虹表）。

学习到这一块，查看了一些源码。以BCryptPasswordEncoder为例

public class BCryptPasswordEncoderTest {
    public static void main(String[] args) {
        String pass = "admin";
        BCryptPasswordEncoder bcryptPasswordEncoder = new BCryptPasswordEncoder();
        String hashPass = bcryptPasswordEncoder.encode(pass);
        System.out.println(hashPass);

        boolean f = bcryptPasswordEncoder.matches("admin",hashPass);
        System.out.println(f);

    }
}

可以看到，每次输出的hashPass 都不一样，但是最终的f都为 true,即匹配成功。查看代码，可以看到，其实每次的随机盐，都保存在hashPass中。在进行matchs进行比较时，调用BCrypt 的String hashpw(String password, String salt)方法。两个参数即”admin“和 hashPass

如果只是想使用SpringSecurity + SpringBoot完成密码加密/解密操作，而不使用SpringSecurty提供的其它权证验证功能。具体步骤如下：

1 BCrypt密码加密

1.1 准备工作

任何应用考虑到安全，绝不能明文的方式保存密码。密码应该通过哈希算法进行加密。
有很多标准的算法比如SHA或者MD5，结合salt(盐)是一个不错的选择。 Spring Security
提供了BCryptPasswordEncoder类,实现Spring的PasswordEncoder接口使用BCrypt强
哈希方法来加密密码。
BCrypt强哈希方法 每次加密的结果都不一样。
（1）tensquare_user工程的pom引入依赖

<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring‐boot‐starter‐security</artifactId>
</dependency>

（2）添加配置类 （资源/工具类中提供）

我们在添加了spring security依赖后，所有的地址都被spring security所控制了，我们目
前只是需要用到BCrypt密码加密的部分，所以我们要添加一个配置类，配置为所有地址
都可以匿名访问

/**
* 安全配置类
*/
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{
@Override
protected void configure(HttpSecurity http) throws Exception {
    http
      .authorizeRequests()
      .antMatchers("/**").permitAll()
      .anyRequest().authenticated()
      .and().csrf().disable();
  }
}

3）修改tensquare_user工程的Application, 配置bean

?

1 2 3 4

@Bean public BCryptPasswordEncoder bcryptPasswordEncoder(){ return new BCryptPasswordEncoder(); }

 之后就可以使用BCryptPasswordEncoder中的方法完成加密/解密操作：

?

1 2 3 4

加密: bcryptPasswordEncoder.encoder(password) 解密: bcrytPasswordEncoder.matches(rawPassword,encodedPassword)