上一篇:Spring Security01--快速入门_fengxianaa的博客-CSDN博客
4. 密码加密
数据库中我们的密码是这样子的:{noop}123456,"{noop}"表示密码没有加密,这样 Spring Security 从数据库中拿到密码后,就不会对 123456进行解密。
但是正常情况下数据库中存储的密码都应该是密文,Spring Security 提供的 PasswordEncoder 可以帮我们解决这个问题。
1. PasswordEncoder
这是一个接口,主要有2个方法
- encode(CharSequence rawPassword)
- 对字符串进行加密,返回密文
- matches(CharSequence rawPassword, String encodedPassword)
- 校验明文(rawPassword))是否跟 密文(encodedPassword)匹配
- 返回 true,表示匹配
- 校验明文(rawPassword))是否跟 密文(encodedPassword)匹配
主要实现类
实现类有很多,我们使用 BCryptPasswordEncoder,对密码进行加密、解密
2. 修改密码
修改密码,使用 BCryptPasswordEncoder 加密,然后存到数据库
修改 UserService ,增加方法:updatePassword
public void updatePassword(String username, String passwrod){
User user = getByUserName(username);
BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
// 加上 {bcrypt} 这样的前缀,spring security拿到密码后就会以对应的方式进行解密
user.setPassword("{bcrypt}" + passwordEncoder.encode(passwrod));
userMapper.updateById(user);
}
修改 Controller
@Autowired
private UserService userService;
@GetMapping("/modify")
public String modify(@RequestParam String username, @RequestParam String password){
userService.updatePassword(username, password);
return "success";
}
重启后,浏览器访问:
数据库:
3. 优化
但是这样子数据库存储的密码还是有 "{bcrypt}" 这样的前缀,安全性不好
被人家知道后,就会用对应的方式解密,最好是不要这样
解决:搞一个配置类,声明一个 PasswordEncoder 类型的 bean
@Configuration
public class SecurityConfig {
@Bean
public PasswordEncoder passwordEncoder(){
return new BCryptPasswordEncoder();
}
}
修改 UserService
@Autowired
private PasswordEncoder passwordEncoder;
public void updatePassword(String username, String passwrod){
User user = getByUserName(username);
user.setPassword(passwordEncoder.encode(passwrod));
userMapper.updateById(user);
}
更新密码为 222222:
数据库:
