我有一个使用 Spring 安全性的 Spring 项目。我使用的是 Spring Boot 1.5,现在我迁移到了 Spring Boot 2.0。
我注意到 Md5PasswordEncoder 在 Spring Security 的最终版本中已被删除。相反,Md4PasswordEncoder 仍然存在,即使已弃用 (https://docs.spring.io/spring-security/site/docs/5.0.3.RELEASE/api/)。
我应该使用外部 MD5 编码器还是将分类移动到其他地方?
【问题讨论】:
MD5。
标签: java spring spring-boot spring-security
Md5PasswordEncoder 不复存在的事实并不意味着 Spring Security 5 无法创建 MD5 哈希值。它为此使用new MessageDigestPasswordEncoder("MD5")。
有两个选项,都适用于新的DelegatingPasswordEncoder,它需要密码前缀来确定散列算法,例如{MD5}password_hash:
要么将默认密码编码器设置为MD5(大写!),因此如果密码没有前缀,则应用默认编码器:
PasswordEncoder passwordEncoder = PasswordEncoderFactories.createDelegatingPasswordEncoder();
passwordEncoder.setDefaultPasswordEncoderForMatches(new MessageDigestPasswordEncoder("MD5"));
或 为数据库中现有的密码哈希添加前缀{MD5}。这样DelegatingPasswordEncoder 就代表了`MD5' 散列器。比如:
update myusertable set pwd = '{MD5}' || pwd;
【讨论】:
spring-security-core的org.springframework.security.crypto.factory.PasswordEncoderFactories
如果你想使用 MD5 你可以自定义:
@Bean
public PasswordEncoder passwordEncoder() {
return new PasswordEncoder() {
@Override
public String encode(CharSequence charSequence) {
return getMd5(charSequence.toString());
}
@Override
public boolean matches(CharSequence charSequence, String s) {
return getMd5(charSequence.toString()).equals(s);
}
};
}
public static String getMd5(String input) {
try {
// Static getInstance method is called with hashing SHA
MessageDigest md = MessageDigest.getInstance("MD5");
// digest() method called
// to calculate message digest of an input
// and return array of byte
byte[] messageDigest = md.digest(input.getBytes());
// Convert byte array into signum representation
BigInteger no = new BigInteger(1, messageDigest);
// Convert message digest into hex value
String hashtext = no.toString(16);
while (hashtext.length() < 32) {
hashtext = "0" + hashtext;
}
return hashtext;
}
// For specifying wrong message digest algorithms
catch (NoSuchAlgorithmException e) {
System.out.println("Exception thrown"
+ " for incorrect algorithm: " + e);
return null;
}
}
【讨论】:
您应该改用org.springframework.security.crypto.password.PasswordEncoder。 Here 是一篇关于切换到新界面的好文章。
【讨论】:
Spring 删除 MD5,因为它不再足够安全。你应该使用 Bcrypt。
【讨论】:
我的解决方案如下:
protected static String mergePasswordAndSalt(String password, Object salt, boolean strict) {
if (password == null) {
password = "";
}
if ((strict) && (salt != null) && ((salt.toString().lastIndexOf("{") != -1) || (salt.toString().lastIndexOf("}") != -1))) {
throw new IllegalArgumentException("Cannot use { or } in salt.toString()");
}
if ((salt == null) || ("".equals(salt))) {
return password;
}
return password + "{" + salt.toString() + "}";
}
public static String EncodingPassword(String password, String salt) {
String merge = mergePasswordAndSalt(password,salt,false);
return DigestUtils.md5Hex(merge);
}
用上面的函数替换下面的代码:
new Md5PasswordEncoder().encodePassword(String rawPass, Object salt);
从spring-security-core-3.1.4.RELEASE.jar中的Md5PasswordEncoder源代码中可以看出它是如何处理密码和盐的:
//org.springframework.security.authentication.encoding.BasePasswordEncoder.class
protected String mergePasswordAndSalt(String password, Object salt, boolean strict)
{
if (password == null) {
password = "";
}
if ((strict) && (salt != null) && (
(salt.toString().lastIndexOf("{") != -1) || (salt.toString().lastIndexOf("}") != -1))) {
throw new IllegalArgumentException("Cannot use { or } in salt.toString()");
}
if ((salt == null) || ("".equals(salt))) {
return password;
}
return password + "{" + salt.toString() + "}";
}
【讨论】: