前言
改一个老我的项目,老我的项目原来存储明码用的明文,要升级成密文。大略分子工作有两个,一是存储明码时加密,一是将原来数据库中的明码加密。
应用BCryptPasswordEncoder加密
BCryptPasswordEncoder是springboot 我的项目中最罕用的明码加密形式,由spring security向咱们提供。
咱们首先在配置文件下引入spring security
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId></dependency>然而这也会导致一个问题,如果引入这个包的话就会主动启用spring security,再申请的时候就须要用户认证,未认证的用户申请会报403。然而老我的项目并没有应用spring security,而是本人写的登录,手动验证用户名明码。所以我须要敞开spring security作用。
在网上查了一下,解决办法是通过在启动类上增加正文去疏忽security无关类。
@SpringBootApplication(exclude = { SecurityAutoConfiguration.class })这个解决形式还有来的及验证,首先在单元测试有问题了。
单元测试在测试登录c层时,报错403,这必定是因为security认证没有通过,解决办法是通过在@AutoConfigureMockMvc上退出参数
@AutoConfigureMockMvc(addFilters = false)@AuthConfigureMockMvc负责依赖注入mockMvc,而咱们应用mockMvc进行模仿申请。spring security在校验时通过一条过滤器链,咱们减少addFilters = false使得过滤器不执行,从而不进行认证。这个问题解决了,他的子测试类又报问题了。
@Test public void getById() throws Exception { logger.info("新增一个学院"); College college = collegeService.getOneSavedCollege(); logger.info("获取新增学院,断言胜利"); Long id = college.getId(); mockMvc.perform(get(baseUrl + "/" + id) .cookie(this.cookie)) .andExpect(status().isOk()) .andExpect(MockMvcResultMatchers.jsonPath("$.id").value(id)); }他在第7行的mockMvc.perform()报了java.lang.NullPointerException异样,
打断点发现是cookie为null,这就是父类通过登录获取cookie,子类通过cookie进行身份认证。
然而当初通过测试发现咱们禁用过滤器获取不到cookie了。咱们禁用过滤器是不想让security起作用,然而也造成了获取不到cookie了。我尝试应用其余办法解决禁用security的问题。通过网上给的办法,如退出@WithMockUser,都没有起成果,申请还是报错403。
我只想要BCryptPasswordEncoder,却因为引入他所在的包产生了负影响。询问老师后,老师给出倡议能不能只引入BCryptPasswordEncoder包,在网上找了一番并没有这个包。老师说把BCryptPasswordEncoder类代码复制下来应用,BCryptPasswordEncoder类并没有依赖其余类。引入后,能够失常应用,问题解决。
将生产环境的用户明码明文变密文
因为我的项目在生产环境曾经应用一段时间了,认为明码都变成密文了,判断明码形式也变了,咱们也要讲原来用的的明码变为密文,能力不影响用户登录。思路是将所有用户取出来而后明码加密一边而后存回去。要害是如何实现只执行一次。如果明码加密两次必定就不对了。
参考老我的项目是通过一个数据库存储后盾版本,而后在启动时判断是否是此版本,如果不是,存储此版本并将明码加密。
@Override public void onApplicationEvent(ContextRefreshedEvent contextRefreshedEvent) { String version = "1.0.0"; if (!this.schemaHistoryRepository.findById(version).isPresent()) { this.schemaHistoryRepository.save(new SchemaHistory(version)); List<User> users = this.userRepository.findAll(); for (User user: users) { // 将未加密的数据库中的明码加密 user.setPassword(user.getPassword()); } this.userRepository.saveAll(users); } }BCryptPasswordEncoder
在改写setPassword()办法的过程中遇到个问题,因为用户在存储明码时生成一个密文,而后用户登录时前台传给后盾json类型的username和password。后盾通过setPassword()为user赋值,这时前台传来的明码又加密了一编,而BCryptPasswordEncoder雷同数据两次加密后果不一样。导致不能通过判断加密后的明码验证明码谬误与否。
这不得不重写一个setPasswordWithEncoder()办法去加密明码,setPassword()办法保留为了接管前台传来的password。
这种解决办法使得改起来变得特地凌乱,改单元测试时不晓得用什么办法才对。老师倡议从新建设一个类用于接管前台传来的用户对象
/** * 用于对登录的user实体接管 */public class LoginUser { private String username; private String password; public LoginUser(String username, String password) { this.username = username; this.password = password; } public LoginUser() { } public String getUsername() { return username; } public void setUsername(String username) { this.username = username; } public String getPassword() { return password; } public void setPassword(String password) { this.password = password; }}用user实体类的setPassword()办法进行明码加密。接管的时候应用LoginUser,password还是前台传来的,这样就能正确判断明码正确与否了。
方才咱们说BCryptPasswordEncoder对雷同数据两次加密后果不雷同,这是因为BCryptPasswordEncoder在加密时退出了一个随机生成的盐值,两次生成的盐值不一样,导致加密后的后果不一样。那么他是如何认证明码是否正确的呢?
每次生成盐值时会将明文与对应盐值存储起来,在验证时获取到对应的盐值再进行加密,比拟两次加密后的后果是否雷同。
这个盐值也写到了加密后的明码中
想要对加密算法理解更多,请参考[明码安全性策略] (https://segmentfault.com/a/11...
总结
感激潘老师在解决问题中给予的领导。
参考
https://www.zhihu.com/questio...
https://segmentfault.com/a/11...