我正在尝试学习Spring安全性。我曾BCryptPasswordEncoder先将用户密码编码,然后再保存到数据库中
BCryptPasswordEncoder
:
@Override public void saveUser(User user) { user.setPassword(bCryptPasswordEncoder.encode(user.getPassword())); user.setActive(1); Role userRole = roleRepository.findByRole("ADMIN"); user.setRoles(new HashSet<Role>(Arrays.asList(userRole))); userRepository.save(user); }
然后在身份验证期间也使用它,并且用户已按预期进行身份验证。
@Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth. jdbcAuthentication() .usersByUsernameQuery(usersQuery) .authoritiesByUsernameQuery(rolesQuery) .dataSource(dataSource).passwordEncoder(bCryptPasswordEncoder); }
然后我.passwordEncoder(bCryptPasswordEncoder);从configure()方法中删除,仍然使用密码编码的用户仍成功通过身份验证。
.passwordEncoder(bCryptPasswordEncoder);
configure()
然后,我从saveUser()和configure()方法中都删除了密码编码器,并将a持久化User到数据库中(即不使用密码编码),并尝试访问经过身份验证的页面,但是我得到了AccessedDeniedException,
saveUser()
User
AccessedDeniedException
但是即使我passwordEncoder()从configure()方法中删除了,使用编码密码的用户仍然可以通过身份验证。为什么会这样呢?
passwordEncoder()
默认情况下,spring security是否在身份验证期间使用密码编码器?
如果是这样,如何在没有密码编码的情况下使用spring security?
使用Spring Security 5时,始终启用密码加密。默认使用的加密为bcrypt。Spring Security 5的巧妙之处在于,它实际上允许您在密码中指定用于创建has的加密。
bcrypt
为此,请参阅《Spring Security参考指南》中的“ 密码存储格式 ”。简而言之,它允许您为算法的众所周知的密钥添加密码前缀。存储格式为{<encryption>}<your-password-hash>。
{<encryption>}<your-password-hash>
当不使用任何东西时,它会变成{noop}your- password(将使用NoOpPasswordEncoder和{bcrypt}$a2......将使用BcryptPasswordEncoder。)。有几种开箱即用的算法支持,但是您也可以定义自己的算法。
{noop}your- password
NoOpPasswordEncoder
{bcrypt}$a2......
BcryptPasswordEncoder
要定义自己的内容,请创建自己的内容,PasswordEncoder并使用进行注册DelegatingPasswordEncoder。
PasswordEncoder
DelegatingPasswordEncoder
