Spring Boot 中密碼加密的兩種姿勢！

先说一句：密码是无法解密的。大家也不要再问松哥微人事项目中的密码怎么解密了!

密码无法解密，还是为了确保系统安全。今天松哥就来和大家聊一聊，密码要如何处理，才能在最大程度上确保我们的系统安全。

1.为什么要加密

2011 年 12 月 21 日，有人在网络上公开了一个包含 600 万个CSDN用户资料的数据库，数据全部为明文储存，包含用户名、密码以及注册邮箱。事件发生后 CSDN 在微博、官方网站等渠道发出了声明，解释说此数据库系2009年备份所用，因不明原因泄露，已经向警方报案，后又在官网发出了公开道歉信。在接下来的十多天里，金山、网易、京东、当当、新浪等多家公司被卷入到这次事件中。整个事件中最触目惊心的莫过于CSDN把用户密码明文存储，由于很多用户是多个网站共用一个密码，因此一个网站密码泄露就会造成很大的安全隐患。由于有了这么多前车之鉴，我们现在做系统时，密码都要加密处理。

这次泄密，也留下了一些有趣的事情，特别是对于广大程序员设置密码这一项。人们从 CSDN 泄密的文件中，发现了一些好玩的密码，例如如下这些：

• ppnn13%dkstFeb.1st 这段密码的中文解析是：娉娉袅袅十三余，豆蔻梢头二月初。
• csbt34.ydhl12s 这段密码的中文解析是：池上碧苔三四点，叶底黄鹂一两声
• ...

等等不一而足，你会发现很多程序员的人文素养还是非常高的，让人啧啧称奇。

2.加密方案

密码加密我们一般会用到散列函数，又称散列算法、哈希函数，这是一种从任何数据中创建数字“指纹”的方法。

散列函数把消息或数据压缩成摘要，使得数据量变小，将数据的格式固定下来，然后将数据打乱混合，重新创建一个散列值。散列值通常用一个短的随机字母和数字组成的字符串来代表。好的散列函数在输入域中很少出现散列冲突。在散列表和数据处理中，不抑制冲突来区别数据，会使得数据库记录更难找到。

我们常用的散列函数有 MD5 消息摘要算法、安全散列算法(Secure Hash Algorithm)。

但是仅仅使用散列函数还不够，单纯的只使用散列函数，如果两个用户密码明文相同，生成的密文也会相同，这样就增加的密码泄漏的风险。

为了增加密码的安全性，一般在密码加密过程中还需要加盐，所谓的盐可以是一个随机数也可以是用户名，加盐之后，即使密码明文相同的用户生成的密码密文也不相同，这可以极大的提高密码的安全性。

传统的加盐方式需要在数据库中有专门的字段来记录盐值，这个字段可能是用户名字段(因为用户名唯一)，也可能是一个专门记录盐值的字段，这样的配置比较繁琐。

Spring Security 提供了多种密码加密方案，官方推荐使用BCryptPasswordEncoder，BCryptPasswordEncoder使用 BCrypt 强哈希函数，开发者在使用时可以选择提供strength 和 SecureRandom 实例。strength越大，密钥的迭代次数越多，密钥迭代次数为 2^strength。strength 取值在4~31 之间，默认为 10。

不同于 Shiro 中需要自己处理密码加盐，在 Spring Security 中，BCryptPasswordEncoder就自带了盐，处理起来非常方便。

3.实践

3.1 codec 加密

commons-codec 是一个 Apache 上的开源项目，用它可以方便的实现密码加密。松哥在 V部落项目中就是采用的这种方案(https://github.com/lenve/VBlog)。在 Spring Security还未推出BCryptPasswordEncoder 的时候，commons-codec 还是一个比较常见的解决方案。

所以，这里我先来给大家介绍下 commons-codec 的用法。

首先我们需要引入 commons-codec 的依赖：

然后自定义一个 PasswordEncoder：

在 Spring Security 中，PasswordEncoder 专门用来处理密码的加密与比对工作，我们自定义MyPasswordEncoder并实现 PasswordEncoder 接口，还需要实现该接口中的两个方法：

• encode 方法表示对密码进行加密，参数 rawPassword 就是你传入的明文密码，返回的则是加密之后的密文，这里的加密方案采用了 MD5。
• matches 方法表示对密码进行比对，参数 rawPassword 相当于是用户登录时传入的密码，encodedPassword则相当于是加密后的密码(从数据库中查询而来)。

最后记得将 MyPasswordEncoder 通过 @Component 注解标记为 Spring 容器中的一个组件。

这样用户在登录时，就会自动调用 matches 方法进行密码比对。

当然，使用了 MyPasswordEncoder 之后，在用户注册时，就需要将密码加密之后存入数据库中，方式如下：

其实很简单，就是调用 encode 方法对密码进行加密。完整代码大家可以参考V部落(https://github.com/lenve/VBlog)，我这里就不赘述了。

3.2 BCryptPasswordEncoder 加密

但是自己定义 PasswordEncoder 还是有些麻烦，特别是处理密码加盐问题的时候。

所以在 Spring Security 中提供了BCryptPasswordEncoder，使得密码加密加盐变得非常容易。只需要提供BCryptPasswordEncoder 这个Bean的实例即可，微人事就是采用了这种方案(https://github.com/lenve/vhr)，如下：

创建 BCryptPasswordEncoder 时传入的参数 10 就是strength，即密钥的迭代次数(也可以不配置，默认为10)。同时，配置的内存用户的密码也不再是 123 了，如下：

这里的密码就是使用 BCryptPasswordEncoder 加密后的密码，虽然 admin 和 sang加密后的密码不一样，但是明文都是123。配置完成后，使用 admin/123 或者 sang/123 就可以实现登录。

本案例使用了配置在内存中的用户，一般情况下，用户信息是存储在数据库中的，因此需要在用户注册时对密码进行加密处理，如下：

用户将密码从前端传来之后，通过调用 BCryptPasswordEncoder 实例中的 encode方法对密码进行加密处理，加密完成后将密文存入数据库。

4.源码浅析

最后我们再来稍微看一下 PasswordEncoder。

• encode 方法用来对密码进行加密。
• matches 方法用来对密码进行比对。
• upgradeEncoding 表示是否需要对密码进行再次加密以使得密码更加安全，默认为 false。

Spring Security 为 PasswordEncoder 提供了很多实现：

但是老实说，自从有了 BCryptPasswordEncoder，我们很少关注其他实现类了。

PasswordEncoder 中的 encode 方法，是我们在用户注册的时候手动调用。

matches方法，则是由系统调用，默认是在DaoAuthenticationProvider#additionalAuthenticationChecks方法中调用的。

可以看到，密码比对就是通过 passwordEncoder.matches 方法来进行的。

本文转载自微信公众号「 江南一点雨」，可以通过以下二维码关注。转载本文请联系 江南一点雨公众号。