一、什么是加盐加密
加盐加密就是后端在存储一个密码的时候,为了提高安全性,随机生成一个盐值(随机值),将盐值和密码进行有规则的结合,然后将结合过后的数据使用加密算法(一般是md5加密)再次加密,然后将再次加密后的数据和盐值按着一定规则组合起来存放在数据库的加密流程。
流程图:
普通的加密手段就是只使用md5加密或者不加密。如果发生数据库信息泄露,账户和密码基本上算是直接泄露。因为md5加密的密码虽然不能被反推,但是md5加密后的密码都是唯一的,可以通过穷举的方式暴力破解。
加盐算法就大大增加了黑客的破解成本。
黑客获取到密码后需要三个步骤才能获取到真实密码。
(1)根据盐值和md5加密后密码的组合规则获取加密后的密码和盐值
(2)破解加密后的密码获取真实密码和盐值的结合值
(3)根据真实密码和盐值的结合值的结合规则获取真实密码
两个结合规则是完全不同的,这两个规则是保密的,黑客要想破解只能老老实实读加密代码,增肌了破解难度。提高了安全系数。
二、Spring Security(Spring安全框架)提供的加盐算法
- 引入Spring Security框架
- 关闭Spring Security框架的自动启动
Spring Security非常强大,加盐算法只是他的附带功能,它甚至自带了拦截器,生成了登录界面。当项目引入了这个框架后,我们运行项目后,访问项目时会被Spring Security拦截到它的登录页面。
我们不希望使用它的页面时,就需要将它的自动启动关闭。
在项目的启动类的注释上添加exclude=SecurityAutoConfiguration.class就能关闭自动启动
- 使用Spring Security的加盐加密和密码匹配函数
使用这两个函数之前要先实例化BCryptPasswordEncoder类对象,加密和解密函数就是这个类的成员方法。
(1)调用加密函数encode
参数是需要加密的原本Password,返回值是加密好之后的密码
(2)调用匹配函数matches
第一个参数是原密码,第二个参数是加密后的密码,匹配就返回true,不匹配就是返回false
没有解密的方法,因为md5加密后的值理论上不能逆推回加密前的值,只能通过对待验证密码执行相同的加密操作得到加密后的值和正确加密值比较是否相等来判断是否匹配。
