SpringSecurity中的Bcrypt加密方法源碼解析

spring Security中的BCryptPasswordEncoder類采用SHA-256 +隨機(jī)鹽+密鑰對密碼進(jìn)行加密。SHA是一系列的加密算法，有SHA-1、SHA-2定续、SHA-3三大類，SHA-256是SHA-2下細(xì)分出的一種算法纵揍，此算法發(fā)生哈希碰撞的概率幾乎為0，安全性高议街。

BCryptPasswordEncoder類實(shí)現(xiàn)了PasswordEncoder接口的encode和matches方法泽谨，來進(jìn)行密碼加密和匹配
1. 加密(encode)：注冊用戶時(shí)，使用SHA-256+隨機(jī)鹽+密鑰把用戶輸入的密碼進(jìn)行hash處理傍睹，得到密碼的hash值隔盛，然后將其存入數(shù)據(jù)庫中。
  - BCryptPasswordEncoder類定義了兩個(gè)final變量拾稳，用來控制encode方法的加密規(guī)則吮炕。strength是一個(gè)取值在-1或者4~31之間的int變量，而繼承了java.util.random的SecureRandom類則提供了一種強(qiáng)加密RNG手段(PRNG)访得，random是一個(gè)SecureRandom類的final變量龙亲，為后續(xù)生成salt起作用陕凹。
```
  private final int strength;
  private final SecureRandom random;
```
  - encode方法根據(jù)strength值的不同和有無SecureRandom對象使用了三種方式生成salt,但這三種方式本質(zhì)其實(shí)是類似的，底層都是調(diào)用BCrypt類的gensalt(this.strength, this.random)方法鳄炉，只是如果沒有傳入自定義的strength和SecureRandom對象杜耙，BCrypt類會自動幫我們將strength設(shè)為10和實(shí)例化SecureRandom對象傳入方法中:
```
public String encode(CharSequence rawPassword) {
//聲明一個(gè)“鹽”變量
String salt;
//生成隨機(jī)鹽
if (this.strength > 0) {
    if (this.random != null) {
        salt = BCrypt.gensalt(this.strength, this.random);
    } else {
        salt = BCrypt.gensalt(this.strength);
    }
      } else {
    salt = BCrypt.gensalt();
          }
      return BCrypt.hashpw(rawPassword.toString(), salt);
    }
```
  - 只有當(dāng)strength在[4,31]取值時(shí)，gensalt方法才會返回“鹽”值拂盯，此方法通過調(diào)用random.nextBytes()和encode_base64()方法編碼生成隨機(jī)鹽字符串;nextBytes()方法會調(diào)用SecureRandomSpi抽象類的engineNextBytes方法生成一串長度為16隨機(jī)的byte數(shù)組佑女，而encode_base64()方法通過多次借助byte數(shù)組和長度為64的char數(shù)組base64_code（包含大部分ASCII字符）進(jìn)行Base64編碼，最終生成長度為29的隨機(jī)鹽salt字符串谈竿。
```
public static String gensalt(int log_rounds, SecureRandom random) {
   if (log_rounds >= 4 && log_rounds <= 31) {
   StringBuilder rs = new StringBuilder();
   byte[] rnd = new byte[16];
   random.nextBytes(rnd);
   rs.append("$2a$");
   if (log_rounds < 10) {
       rs.append("0");
   }
   rs.append(log_rounds);
   rs.append("$");
   encode_base64(rnd, rnd.length, rs);
   return rs.toString();
} else {
   throw new IllegalArgumentException("Bad number of rounds");
}
}

static void encode_base64(byte[] d, int len, StringBuilder rs) throws IllegalArgumentException {
int off = 0;
if (len > 0 && len <= d.length) {
   while(off < len) {
       int c1 = d[off++] & 255;
       rs.append(base64_code[c1 >> 2 & 63]);
       c1 = (c1 & 3) << 4;
       if (off >= len) {
           rs.append(base64_code[c1 & 63]);
           break;
       }
       int c2 = d[off++] & 255;
       c1 |= c2 >> 4 & 15;
       rs.append(base64_code[c1 & 63]);
       c1 = (c2 & 15) << 2;
       if (off >= len) {
           rs.append(base64_code[c1 & 63]);
           break;
       }
       c2 = d[off++] & 255;
       c1 |= c2 >> 6 & 3;
       rs.append(base64_code[c1 & 63]);
       rs.append(base64_code[c2 & 63]);
       }
   } else {
   throw new IllegalArgumentException("Invalid len");
   }
}
```
  - 將生成的鹽值和原始密碼傳入BCrypt類的hashpw()方法進(jìn)行加密团驱，該方法對傳入的鹽進(jìn)行了一系列校驗(yàn)（長度、版本等等）空凸，確保是有效salt嚎花。同時(shí)將原始密碼轉(zhuǎn)成passwordb字節(jié)數(shù)組。一個(gè)有效的salt前7位是校驗(yàn)位呀洲，包含了鹽版本紊选、鹽rounds，第8位到30位為real_salt道逗，將real_salt傳入decode_base64方法進(jìn)行轉(zhuǎn)碼兵罢，字符串real_salt被轉(zhuǎn)換成字節(jié)數(shù)組輸出給長度為16的saltb，接著將saltb和passwordb字節(jié)數(shù)組傳入crypt_raw()方法進(jìn)行SHA-256加密生成偽隨機(jī)hash值憔辫，最后將saltb和hash值分別進(jìn)行encode_base64方法進(jìn)行Base64編碼(其中saltb字節(jié)數(shù)組通過編碼重新變成realSalt字符串,這也是后續(xù)matches方法匹配密碼的 $\color{red}{關(guān)鍵點(diǎn)}$ )趣些，產(chǎn)生的結(jié)果拼接成60位的隨機(jī)密碼仿荆，前7位同樣是校驗(yàn)位贰您，第8位到30位為real_salt。
```
public static String hashpw(String password, String salt) throws IllegalArgumentException {
            .....dosomework.....
    int rounds = Integer.parseInt(salt.substring(off, off + 2));
     String real_salt = salt.substring(off + 3, off + 25);
     byte[] passwordb;
     try {
      passwordb = (password + (minor >= 'a' ? "\u0000" : "")).getBytes("UTF-8");
  } catch (UnsupportedEncodingException var13) {
        throw new AssertionError("UTF-8 is not supported");
     }
      byte[] saltb = decode_base64(real_salt, 16);
      BCrypt B = new BCrypt();
      byte[] hashed = B.crypt_raw(passwordb, saltb, rounds);
      rs.append("$2");
      if (minor >= 'a') {
       rs.append(minor);
       }
      rs.append("$");
      if (rounds < 10) {
        rs.append("0");
       }
       rs.append(rounds);
       rs.append("$");
       encode_base64(saltb, saltb.length, rs);
       encode_base64(hashed, bf_crypt_ciphertext.length * 4 - 1, rs);
       return rs.toString();    
  }
```
2. 密碼匹配(matches)：用戶登錄時(shí)拢操，密碼匹配階段并沒有進(jìn)行密碼解密（因?yàn)槊艽a經(jīng)過Hash處理锦亦，是不可逆的），而是將輸入的密碼與數(shù)據(jù)庫查出的密碼同樣傳入BCrypt類的pwhash()中進(jìn)行加密令境，由于算法將加密后密碼的第8位到30位作為real_salt,第一次執(zhí)行pwhash方法傳入的鹽和第二次傳入的鹽值(數(shù)據(jù)庫密碼)是包含關(guān)系杠园，兩者的前30位是相同的。那么根據(jù)相同的real_salt和相同的password生成的加密密碼很顯然也是相同的舔庶。
```
 public boolean matches(CharSequence rawPassword, String encodedPassword) {
      if (encodedPassword != null && encodedPassword.length() != 0) {
      if (!this.BCRYPT_PATTERN.matcher(encodedPassword).matches()) {
        this.logger.warn("Encoded password does not look like BCrypt");
        return false;
    } else {
        return BCrypt.checkpw(rawPassword.toString(), encodedPassword);
        }
    } else {
        this.logger.warn("Empty encoded password");
        return false;
    }
}
```

最后編輯于：2019.02.07 11:20:10

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者

人面猴
序言：七十年代末抛蚁，一起剝皮案震驚了整個(gè)濱河市，隨后出現(xiàn)的幾起案子惕橙，更是在濱河造成了極大的恐慌瞧甩，老刑警劉巖，帶你破解...
沈念sama閱讀 222,681評論 6贊 517
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件弥鹦，死亡現(xiàn)場離奇詭異肚逸，居然都是意外死亡爷辙，警方通過查閱死者的電腦和手機(jī)，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 95,205評論 3贊 399
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門朦促，熙熙樓的掌柜王于貴愁眉苦臉地迎上來膝晾，“玉大人，你說我怎么就攤上這事务冕⊙保” “怎么了？”我有些...
開封第一講書人閱讀 169,421評論 0贊 362
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵禀忆，是天一觀的道長歹颓。經(jīng)常有香客問我，道長油湖，這世上最難降的妖魔是什么巍扛？我笑而不...
開封第一講書人閱讀 60,114評論 1贊 300
?港島之戀（遺憾婚禮）
正文為了忘掉前任，我火速辦了婚禮乏德，結(jié)果婚禮上撤奸，老公的妹妹穿的比我還像新娘。我一直安慰自己喊括，他們只是感情好胧瓜，可當(dāng)我...
茶點(diǎn)故事閱讀 69,116評論 6贊 398
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布。她就那樣靜靜地躺著郑什，像睡著了一般府喳。火紅的嫁衣襯著肌膚如雪。梳的紋絲不亂的頭發(fā)上蘑拯，一...
開封第一講書人閱讀 52,713評論 1贊 312
城市分裂傳說
那天钝满，我揣著相機(jī)與錄音，去河邊找鬼申窘。笑死弯蚜，一個(gè)胖子當(dāng)著我的面吹牛，可吹牛的內(nèi)容都是我干的剃法。我是一名探鬼主播碎捺，決...
沈念sama閱讀 41,170評論 3贊 422
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼，長吁一口氣：“原來是場噩夢啊……” “哼贷洲！你這毒婦竟也來了收厨？” 一聲冷哼從身側(cè)響起，我...
開封第一講書人閱讀 40,116評論 0贊 277
萬榮殺人案實(shí)錄
序言：老撾萬榮一對情侶失蹤优构，失蹤者是張志新（化名）和其女友劉穎诵叁，沒想到半個(gè)月后，有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體俩块，經(jīng)...
沈念sama閱讀 46,651評論 1贊 320
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡黎休，尸身上長有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 38,714評論 3贊 342
?白月光啟示錄
正文我和宋清朗相戀三年浓领，在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片势腮。...
茶點(diǎn)故事閱讀 40,865評論 1贊 353
活死人
序言：一個(gè)原本活蹦亂跳的男人離奇死亡联贩，死狀恐怖，靈堂內(nèi)的尸體忽然破棺而出捎拯，到底是詐尸還是另有隱情泪幌，我是刑警寧澤，帶...
沈念sama閱讀 36,527評論 5贊 351
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布署照，位于F島的核電站祸泪，受9級特大地震影響，放射性物質(zhì)發(fā)生泄漏建芙。R本人自食惡果不足惜没隘，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 42,211評論 3贊 336
男人毒藥：我在死后第九天來索命
文/蒙蒙一、第九天我趴在偏房一處隱蔽的房頂上張望禁荸。院中可真熱鬧右蒲，春花似錦、人聲如沸赶熟。這莊子的主人今日做“春日...
開封第一講書人閱讀 32,699評論 0贊 25
一樁弒父案，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽映砖。三九已至间坐，卻和暖如春，著一層夾襖步出監(jiān)牢的瞬間邑退，已是汗流浹背竹宋。一陣腳步聲響...
開封第一講書人閱讀 33,814評論 1贊 274
情欲美人皮
我被黑心中介騙來泰國打工，沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留瓜饥，地道東北人逝撬。一個(gè)月前我還...
沈念sama閱讀 49,299評論 3贊 379
代替公主和親
正文我出身青樓浴骂，卻偏偏與公主長得像乓土，于是被迫代替她去往敵國和親。傳聞我的和親對象是個(gè)殘疾皇子溯警，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 45,870評論 2贊 361

SpringSecurity中的Bcrypt加密方法源碼解析

推薦閱讀更多精彩內(nèi)容