SpringSecurity中的Bcrypt加密方法源碼解析

spring Security中的BCryptPasswordEncoder類采用SHA-256 +隨機(jī)鹽+密鑰對密碼進(jìn)行加密。SHA是一系列的加密算法,有SHA-1、SHA-2定续、SHA-3三大類,SHA-256是SHA-2下細(xì)分出的一種算法纵揍,此算法發(fā)生哈希碰撞的概率幾乎為0,安全性高议街。

  • BCryptPasswordEncoder類實(shí)現(xiàn)了PasswordEncoder接口的encode和matches方法泽谨,來進(jìn)行密碼加密和匹配
    1. 加密(encode):注冊用戶時(shí),使用SHA-256+隨機(jī)鹽+密鑰把用戶輸入的密碼進(jìn)行hash處理傍睹,得到密碼的hash值隔盛,然后將其存入數(shù)據(jù)庫中。
      • BCryptPasswordEncoder類定義了兩個(gè)final變量拾稳,用來控制encode方法的加密規(guī)則吮炕。strength是一個(gè)取值在-1或者4~31之間的int變量,而繼承了java.util.random的SecureRandom類則提供了一種強(qiáng)加密RNG手段(PRNG)访得,random是一個(gè)SecureRandom類的final變量龙亲,為后續(xù)生成salt起作用陕凹。
        private final int strength;
        private final SecureRandom random;
      
      • encode方法根據(jù)strength值的不同和有無SecureRandom對象使用了三種方式生成salt,但這三種方式本質(zhì)其實(shí)是類似的,底層都是調(diào)用BCrypt類的gensalt(this.strength, this.random)方法鳄炉,只是如果沒有傳入自定義的strength和SecureRandom對象杜耙,BCrypt類會自動幫我們將strength設(shè)為10和實(shí)例化SecureRandom對象傳入方法中:
      public String encode(CharSequence rawPassword) {
      //聲明一個(gè)“鹽”變量
      String salt;
      //生成隨機(jī)鹽
      if (this.strength > 0) {
          if (this.random != null) {
              salt = BCrypt.gensalt(this.strength, this.random);
          } else {
              salt = BCrypt.gensalt(this.strength);
          }
            } else {
          salt = BCrypt.gensalt();
                }
            return BCrypt.hashpw(rawPassword.toString(), salt);
          }
      
      • 只有當(dāng)strength在[4,31]取值時(shí),gensalt方法才會返回“鹽”值拂盯,此方法通過調(diào)用random.nextBytes()和encode_base64()方法編碼生成隨機(jī)鹽字符串;nextBytes()方法會調(diào)用SecureRandomSpi抽象類的engineNextBytes方法生成一串長度為16隨機(jī)的byte數(shù)組佑女,而encode_base64()方法通過多次借助byte數(shù)組和長度為64的char數(shù)組base64_code(包含大部分ASCII字符)進(jìn)行Base64編碼,最終生成長度為29的隨機(jī)鹽salt字符串谈竿。
      public static String gensalt(int log_rounds, SecureRandom random) {
         if (log_rounds >= 4 && log_rounds <= 31) {
         StringBuilder rs = new StringBuilder();
         byte[] rnd = new byte[16];
         random.nextBytes(rnd);
         rs.append("$2a$");
         if (log_rounds < 10) {
             rs.append("0");
         }
         rs.append(log_rounds);
         rs.append("$");
         encode_base64(rnd, rnd.length, rs);
         return rs.toString();
      } else {
         throw new IllegalArgumentException("Bad number of rounds");
      }
      }
      
      static void encode_base64(byte[] d, int len, StringBuilder rs) throws IllegalArgumentException {
      int off = 0;
      if (len > 0 && len <= d.length) {
         while(off < len) {
             int c1 = d[off++] & 255;
             rs.append(base64_code[c1 >> 2 & 63]);
             c1 = (c1 & 3) << 4;
             if (off >= len) {
                 rs.append(base64_code[c1 & 63]);
                 break;
             }
             int c2 = d[off++] & 255;
             c1 |= c2 >> 4 & 15;
             rs.append(base64_code[c1 & 63]);
             c1 = (c2 & 15) << 2;
             if (off >= len) {
                 rs.append(base64_code[c1 & 63]);
                 break;
             }
             c2 = d[off++] & 255;
             c1 |= c2 >> 6 & 3;
             rs.append(base64_code[c1 & 63]);
             rs.append(base64_code[c2 & 63]);
             }
         } else {
         throw new IllegalArgumentException("Invalid len");
         }
      }
      
      • 將生成的鹽值和原始密碼傳入BCrypt類的hashpw()方法進(jìn)行加密团驱,該方法對傳入的鹽進(jìn)行了一系列校驗(yàn)(長度、版本等等)空凸,確保是有效salt嚎花。同時(shí)將原始密碼轉(zhuǎn)成passwordb字節(jié)數(shù)組。一個(gè)有效的salt前7位是校驗(yàn)位呀洲,包含了鹽版本紊选、鹽rounds,第8位到30位為real_salt道逗,將real_salt傳入decode_base64方法進(jìn)行轉(zhuǎn)碼兵罢,字符串real_salt被轉(zhuǎn)換成字節(jié)數(shù)組輸出給長度為16的saltb,接著將saltb和passwordb字節(jié)數(shù)組傳入crypt_raw()方法進(jìn)行SHA-256加密生成偽隨機(jī)hash值憔辫,最后將saltb和hash值分別進(jìn)行encode_base64方法進(jìn)行Base64編碼(其中saltb字節(jié)數(shù)組通過編碼重新變成realSalt字符串,這也是后續(xù)matches方法匹配密碼的\color{red}{關(guān)鍵點(diǎn)})趣些,產(chǎn)生的結(jié)果拼接成60位的隨機(jī)密碼仿荆,前7位同樣是校驗(yàn)位贰您,第8位到30位為real_salt。
      public static String hashpw(String password, String salt) throws IllegalArgumentException {
                  .....dosomework.....
          int rounds = Integer.parseInt(salt.substring(off, off + 2));
           String real_salt = salt.substring(off + 3, off + 25);
           byte[] passwordb;
           try {
            passwordb = (password + (minor >= 'a' ? "\u0000" : "")).getBytes("UTF-8");
        } catch (UnsupportedEncodingException var13) {
              throw new AssertionError("UTF-8 is not supported");
           }
            byte[] saltb = decode_base64(real_salt, 16);
            BCrypt B = new BCrypt();
            byte[] hashed = B.crypt_raw(passwordb, saltb, rounds);
            rs.append("$2");
            if (minor >= 'a') {
             rs.append(minor);
             }
            rs.append("$");
            if (rounds < 10) {
              rs.append("0");
             }
             rs.append(rounds);
             rs.append("$");
             encode_base64(saltb, saltb.length, rs);
             encode_base64(hashed, bf_crypt_ciphertext.length * 4 - 1, rs);
             return rs.toString();    
        }
      
    2. 密碼匹配(matches):用戶登錄時(shí)拢操,密碼匹配階段并沒有進(jìn)行密碼解密(因?yàn)槊艽a經(jīng)過Hash處理锦亦,是不可逆的),而是將輸入的密碼與數(shù)據(jù)庫查出的密碼同樣傳入BCrypt類的pwhash()中進(jìn)行加密令境,由于算法將加密后密碼的第8位到30位作為real_salt,第一次執(zhí)行pwhash方法傳入的鹽和第二次傳入的鹽值(數(shù)據(jù)庫密碼)是包含關(guān)系杠园,兩者的前30位是相同的。那么根據(jù)相同的real_salt和相同的password生成的加密密碼很顯然也是相同的舔庶。
       public boolean matches(CharSequence rawPassword, String encodedPassword) {
            if (encodedPassword != null && encodedPassword.length() != 0) {
            if (!this.BCRYPT_PATTERN.matcher(encodedPassword).matches()) {
              this.logger.warn("Encoded password does not look like BCrypt");
              return false;
          } else {
              return BCrypt.checkpw(rawPassword.toString(), encodedPassword);
              }
          } else {
              this.logger.warn("Empty encoded password");
              return false;
          }
      }
      
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末抛蚁,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子惕橙,更是在濱河造成了極大的恐慌瞧甩,老刑警劉巖,帶你破解...
    沈念sama閱讀 222,681評論 6 517
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件弥鹦,死亡現(xiàn)場離奇詭異肚逸,居然都是意外死亡爷辙,警方通過查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 95,205評論 3 399
  • 文/潘曉璐 我一進(jìn)店門朦促,熙熙樓的掌柜王于貴愁眉苦臉地迎上來膝晾,“玉大人,你說我怎么就攤上這事务冕⊙保” “怎么了?”我有些...
    開封第一講書人閱讀 169,421評論 0 362
  • 文/不壞的土叔 我叫張陵禀忆,是天一觀的道長歹颓。 經(jīng)常有香客問我,道長油湖,這世上最難降的妖魔是什么巍扛? 我笑而不...
    開封第一講書人閱讀 60,114評論 1 300
  • 正文 為了忘掉前任,我火速辦了婚禮乏德,結(jié)果婚禮上撤奸,老公的妹妹穿的比我還像新娘。我一直安慰自己喊括,他們只是感情好胧瓜,可當(dāng)我...
    茶點(diǎn)故事閱讀 69,116評論 6 398
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著郑什,像睡著了一般府喳。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上蘑拯,一...
    開封第一講書人閱讀 52,713評論 1 312
  • 那天钝满,我揣著相機(jī)與錄音,去河邊找鬼申窘。 笑死弯蚜,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的剃法。 我是一名探鬼主播碎捺,決...
    沈念sama閱讀 41,170評論 3 422
  • 文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼贷洲!你這毒婦竟也來了收厨?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 40,116評論 0 277
  • 序言:老撾萬榮一對情侶失蹤优构,失蹤者是張志新(化名)和其女友劉穎诵叁,沒想到半個(gè)月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體俩块,經(jīng)...
    沈念sama閱讀 46,651評論 1 320
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡黎休,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 38,714評論 3 342
  • 正文 我和宋清朗相戀三年浓领,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片势腮。...
    茶點(diǎn)故事閱讀 40,865評論 1 353
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡联贩,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出捎拯,到底是詐尸還是另有隱情泪幌,我是刑警寧澤,帶...
    沈念sama閱讀 36,527評論 5 351
  • 正文 年R本政府宣布署照,位于F島的核電站祸泪,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏建芙。R本人自食惡果不足惜没隘,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 42,211評論 3 336
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望禁荸。 院中可真熱鬧右蒲,春花似錦、人聲如沸赶熟。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,699評論 0 25
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽映砖。三九已至间坐,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間邑退,已是汗流浹背竹宋。 一陣腳步聲響...
    開封第一講書人閱讀 33,814評論 1 274
  • 我被黑心中介騙來泰國打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留瓜饥,地道東北人逝撬。 一個(gè)月前我還...
    沈念sama閱讀 49,299評論 3 379
  • 正文 我出身青樓浴骂,卻偏偏與公主長得像乓土,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個(gè)殘疾皇子溯警,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 45,870評論 2 361

推薦閱讀更多精彩內(nèi)容

  • 這篇文章主要講述在Mobile BI(移動商務(wù)智能)開發(fā)過程中趣苏,在網(wǎng)絡(luò)通信、數(shù)據(jù)存儲梯轻、登錄驗(yàn)證這幾個(gè)方面涉及的加密...
    雨_樹閱讀 2,479評論 0 6
  • 在開發(fā)應(yīng)用過程中食磕,客戶端與服務(wù)端經(jīng)常需要進(jìn)行數(shù)據(jù)傳輸,涉及到重要隱私安全信息時(shí)喳挑,開發(fā)者自然會想到對其進(jìn)行加密彬伦,即使...
    閑庭閱讀 3,278評論 0 11
  • 首先羅列一些知識點(diǎn): 1.加密算法通常分為對稱性加密算法和非對稱性加密算法:對于對稱性加密算法滔悉,信息接收雙方都需事...
    神木驚蟄閱讀 370評論 0 0
  • 命運(yùn)好像在暗中播下了不幸的種子回官,后來的人都可能會是悲劇的延續(xù)。 ①遺棄 媽媽出生在七十年代搂橙,那個(gè)時(shí)候沒有要求...
    涵瑜姑娘閱讀 725評論 0 5
  • 早年間区转,美國有家電視臺苔巨,播出了一個(gè)很轟動的節(jié)目。這個(gè)節(jié)目名稱叫“透視你的心”看似很奇異废离,就是每一個(gè)上臺的測試者侄泽,都...
    九零邦閱讀 627評論 1 0