扩展Spring Security-用户密码自定义加密的快速实现

全部 Hibernate Spring Struts iBATIS 企业应用 Lucene SOA Java综合 Tomcat 设计模式 OO JBoss

浏览 6686 次

锁定老帖子主题：扩展Spring Security-用户密码自定义加密的快速实现精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
作者	正文
Seraph115 等级: 性别: 文章: 62 积分: 270 来自: 上海	发表时间：2009-09-29 最后修改：2009-11-18 相关推荐: Spring Security 自定义授权服务器实践 SpringBoot整合SpringSecurity实现密码加密解密、登录认证退出功能 Spring全家桶-Spring Security之自定义数据库表认证和鉴权 spring security入门--实现用户名密码登录简单示例一 Spring Security(三) —— 加密系统更多相关推荐对于使用Acegi框架实现安全的开发人员，都会碰到用户密码加密的需求。数据库中存储的是加密后的密文，用户登录时需将输入的密码加密后在和数据库中的密文密码进行比对。 Acegi本身考虑的已经很周到了，提供了3中常用的密码加密方式，分别为Md5，Sha，Plaintext，由3个类分别实现 1.Md5PasswordEncoder － Md5方式 2.ShaPasswordEncoder －哈西方式 3.PlaintextPasswordEncoder －明文方式使用起来也很简单，只需做简单的配置，例如： <bean id="daoAuthenticationProvider" class="org.acegisecurity.providers.dao.DaoAuthenticationProvider"> <property name="userDetailsService" ref="jdbcDaoImpl" /> <property name="userCache" ref="userCache" /> <property name="passwordEncoder" ref="md5PasswordEncoder" /> </bean> <bean id="md5PasswordEncoder" class="org.acegisecurity.providers.encoding.Md5PasswordEncoder"/> 对于需要自己扩展自定义加密机制的人也很简单，只需要实现Acegi的org.acegisecurity.providers.encoding.PasswordEncoder 接口。其中有两个方法： @实现加密的方法，既将明文转换为密文的方法 public abstract String encodePassword(String rawPass, Object salt) throws DataAccessException; @验证密码是否有效的方法，返回'true'则登录成功 public abstract boolean isPasswordValid(String encPass, String rawPass, Object salt) throws DataAccessException; 例如： public class JitPasswordEncoder implements PasswordEncoder { public String encodePassword(String rawPass, Object salt) throws DataAccessException { NetSignServer netSignServer = new NetSignServer(); String pass = null; try { pass = netSignServer.NSHashAndBase64Encode(rawPass); } catch (IOException e) { e.printStackTrace(); } return pass; } public boolean isPasswordValid(String encPass, String rawPass, Object salt) throws DataAccessException { String pass1 = "" + encPass; String pass2 = encodePassword(rawPass, salt); return pass1.equals(pass2); } } 其中encPass是数据库中保存的密码，rawPass是用户输入的密码，salt是生成密码时的种子，这个例子中我未用到。流程是，当用户登录时，将调用isPasswordValid()方法验证登录凭证，isPasswordValid()方法将会调用encodePassword()方法将用户输入的密码进行加密，然后将数据库中所存密码和输入的加密后的密码进行比对，符合返回'true'则用户登录成功。至此相信你已经掌握了如何实现如何在Acegi中自定义加密密码的方法，至于salt参数的使用有待后续讲解。 The end. 声明：ITeye文章版权属于作者，受法律保护。没有作者书面许可不得转载。推荐链接
返回顶楼

t86 等级: 初级会员性别: 文章: 1 积分: 30 来自: 上海	发表时间：2010-02-23 为何我配置好自定义的加密方式后，始终进不了isPasswordValid这个函数，只有在输入的密码和数据库加密的密码一致时才能进入isPasswordValid这个函数，很费解，望指教
返回顶楼	回帖地址 0 0 请登录后投票

Seraph115 等级: 性别: 文章: 62 积分: 270 来自: 上海	发表时间：2010-02-24 t86 写道为何我配置好自定义的加密方式后，始终进不了isPasswordValid这个函数，只有在输入的密码和数据库加密的密码一致时才能进入isPasswordValid这个函数，很费解，望指教能否给出你的扩展类，配置信息及相关jar的列表，这样便于分析
返回顶楼	回帖地址 0 0 请登录后投票

论坛首页 → Java企业应用版

跳转论坛: