spring security BCryptPasswordEncoder加密解密，不錯的隨機鹽，不錯的加密解密方法

項目中用這個加密感受不錯啊，推薦：

1.先大致看看，瞭解一下

淺談使用springsecurity中的BCryptPasswordEncoder方法對密碼進行加密(encode)與密碼匹配(matches)

spring security中的BCryptPasswordEncoder方法採用SHA-256 +隨機鹽+密鑰對密碼進行加密。SHA系列是Hash算法，不是加密算法，使用加密算法意味着能夠解密（這個與編碼/解碼同樣），可是採用Hash處理，其過程是不可逆的。

（1）加密(encode)：註冊用戶時，使用SHA-256+隨機鹽+密鑰把用戶輸入的密碼進行hash處理，獲得密碼的hash值，而後將其存入數據庫中。

（2）密碼匹配(matches)：用戶登陸時，密碼匹配階段並無進行密碼解密（由於密碼通過Hash處理，是不可逆的），而是使用相同的算法把用戶輸入的密碼進行hash處理，獲得密碼的hash值，而後將其與從數據庫中查詢到的密碼hash值進行比較。若是二者相同，說明用戶輸入的密碼正確。

這正是爲何處理密碼時要用hash算法，而不用加密算法。由於這樣處理即便數據庫泄漏，黑客也很難破解密碼（破解密碼只能用彩虹表）。

 

任何應用考慮到安全，毫不能明文的方式保存密碼。密碼應該經過哈希算法進行加密。有不少標準的算法好比SHA或者MD5，結合salt(鹽)是一個不錯的選擇。 Spring Security 提供了BCryptPasswordEncoder類,實現Spring的PasswordEncoder接口使用BCrypt強哈希方法來加密密碼。

BCrypt強哈希方法 每次加密的結果都不同。

---------------------------------------------------------------------------------------------------------------

2.這裏BCryptPasswordEncoder看看他怎麼用：

做者：知乎用戶
連接：https://www.zhihu.com/question/54720851/answer/288322108
來源：知乎
著做權歸做者全部。商業轉載請聯繫做者得到受權，非商業轉載請註明出處。
 

學習到這一塊，查看了一些源碼。以BCryptPasswordEncoder爲例

public class BCryptPasswordEncoderTest {
    public static void main(String[] args) {
        String pass = "admin";
        BCryptPasswordEncoder bcryptPasswordEncoder = new BCryptPasswordEncoder();
        String hashPass = bcryptPasswordEncoder.encode(pass);
        System.out.println(hashPass);

        boolean f = bcryptPasswordEncoder.matches("admin",hashPass);
        System.out.println(f);

    }
}

能夠看到，每次輸出的hashPass 都不同，
可是最終的f都爲 true,即匹配成功。

查看代碼，能夠看到，其實每次的隨機鹽，都保存在hashPass中。

在進行matchs進行比較時，調用BCrypt 的String hashpw(String password, String salt)

方法。兩個參數即」admin「和 hashPass

//******BCrypt.java******salt即取出要比較的DB中的密碼*******
real_salt = salt.substring(off + 3, off + 25);
try {
// ***************************************************
    passwordb = (password + (minor >= 'a' ? "\000" : "")).getBytes("UTF-8");
}
catch (UnsupportedEncodingException uee) {}
saltb = decode_base64(real_salt, BCRYPT_SALT_LEN);
B = new BCrypt();
hashed = B.crypt_raw(passwordb, saltb, rounds);

假定一次hashPass爲：$2a$10$AxafsyVqK51p.s9WAEYWYeIY9TKEoG83LTEOSB3KUkoLtGsBKhCwe

隨機鹽即爲 AxafsyVqK51p.s9WAEYWYe

（salt = BCrypt.gensalt();中有描述）

可見，隨機鹽（AxafsyVqK51p.s9WAEYWYe），會在比較的時候，從新被取出。

即，加密的hashPass中，前部分已經包含了鹽信息。

--------------------------------------------------------------------------------------------------------------------

3.在springcloud中整合，下面說的也不清楚。。。。。

好了廢話很少說，就看怎麼整合吧。。

1. 修改 WebSecurityConfig

@Autowired
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(customUserService).passwordEncoder(new BCryptPasswordEncoder());
    }

•  

這樣配置就行了。可是關於怎麼初始化密碼呢，和註冊用戶的時候怎麼給密碼加密呢？

public SysUser create(User u　user){
        //進行加密
        BCryptPasswordEncoder encoder =new BCryptPasswordEncoder();
        sysUser.setPassword(encoder.encode(user.getRawPassword().trim()));
        userDao.create(user);
    return sysUser;

•  

雖然每次 BCryptPasswordEncoder 的 encoder 結果都不同，可是存貯其中一次加密結果 也可以驗證成功

2019/06/14更新

這個在新版本中是的結果不是上面知乎演示的結果，新版中是按照一列類規則進行驗證的，加密結果前面並不包含鹽

原文地址：https://blog.csdn.net/lidew521/article/details/82463736