java中BCryptPasswordEncoder密碼的加密與驗證方式

更新時間：2023年08月25日 11:28:14 作者：DMY小天天

這篇文章主要介紹了java中BCryptPasswordEncoder密碼的加密與驗證方式,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教

java BCryptPasswordEncoder密碼的加密與驗證

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
public class Test{
    public static void main(String[] args) {
        BCryptPasswordEncoder bcp = new BCryptPasswordEncoder();
        String mm_pub = "123456";
        String mm_encode = bcp.encode(mm_pub);
        //bcp.matches(mm_pub,mm_encode)，第一個參數(shù)是前端傳遞過來的明文密碼，如123456，第二個參數(shù)是添加用戶時存儲的密碼
        if(bcp.matches(mm_pub,mm_encode)){
            System.out.println("密碼校驗成功");
        }else{
            System.out.println("密碼錯誤");
        }
    }
}

BCryptPasswordEncoder加密、驗證策略

通過查看源碼，了解PasswordEncoder加密以及驗證密碼（數(shù)據(jù)庫存儲的加密密碼與用戶輸入的密碼比較）的流程、方式。

加密

public String encode(CharSequence rawPassword) {
		String salt;
		if (random != null) {
			salt = BCrypt.gensalt(version.getVersion(), strength, random);//生成鹽
		} else {
			salt = BCrypt.gensalt(version.getVersion(), strength);//生成鹽
		}
		return BCrypt.hashpw(rawPassword.toString(), salt);//根據(jù) 明文密碼 ，鹽（隨機） 然后生成加密密碼
	}

BCryptPasswordEncoder類有三個構造方法，影響了鹽的生成，如果在生成BCryptPasswordEncoder對象的時候沒有指定任何參數(shù)（或只指定了一個參數(shù)），BCrypt會提供默認值，最終都會調用BCrypt.gensalt(strength, random)方法來生成鹽。

接著看BCrypt類的hashpw()方法，在這個方法中根據(jù)salt值和明文密碼來生成密文密碼。

具體的生成細節(jié)就不再展示了，有興趣的可以自己去看。

需要記住的是，它是先生成鹽值，根據(jù)鹽值以及明文密碼生成密文。

解密

因為匹配方法里面用到解密

BCryptPasswordEncoder的matches()方法代碼如下：

public boolean matches(CharSequence rawPassword, String encodedPassword) {
		if (encodedPassword == null || encodedPassword.length() == 0) {
			logger.warn("Empty encoded password");
			return false;
		}
		if (!BCRYPT_PATTERN.matcher(encodedPassword).matches()) {
			logger.warn("Encoded password does not look like BCrypt");
			return false;
		}
		return BCrypt.checkpw(rawPassword.toString(), encodedPassword);
	}

rawPassword ：提交表單的用戶密碼，就是未加密的，例如表單提交為：123456
encodedPassword：從數(shù)據(jù)庫中獲取的已加密的密碼（例如數(shù)據(jù)庫中加密過的密碼：“$2a$10$3HY7qAX3Hry.6uuipvWjs.liaOjCIxw93SWxYaviQygwVg3VzUqHq”（反正看不懂，這個加密密碼里面有一部分是鹽）

“$2a$10$3HY7qAX3Hry.6uuipvWjs.liaOjCIxw93SWxYaviQygwVg3VzUqHq” 就是用明文 123456 加密

如果表單密碼和數(shù)據(jù)庫加密密碼匹配，則返回true

如果不匹配，則返回false。

因為上面的matches（）方法最后是調用checkpw（），所以我們來看一下

public static boolean checkpw(String rawPassword, String encodedPassword) {
?? ??? ?return equalsNoEarlyReturn(encodedPassword, hashpw(rawPassword, encodedPassword));
}

hashpw（）這個上面說過了，就是根據(jù) 明文密碼鹽，然后生成加密密碼

encodedPassword：數(shù)據(jù)庫的密文密碼
hashpw(rawPassword, encodedPassword))：把表單的密碼和數(shù)據(jù)庫的密文密碼加密成新的密文密碼

然后再把這個新的密文密碼和數(shù)據(jù)庫的密文密碼比較，如果相同就返回true。

就是說數(shù)據(jù)庫的密文密碼本身不會被解碼

只是用表單的密碼通過某種規(guī)則加密成新的密碼，然后再把新的密碼和數(shù)據(jù)庫的密文密碼做比較。

如果有小伙伴想研究的更深的話，可以繼續(xù)看一下源碼。

下面我給大家看一下我的的例子

只是Controller里面的一個方法，至于service,dao層自己寫啦，這應該都會

/*
	* 新建、修改用戶
	* */
	@PostMapping
	@ResponseBody
	public String saveUser(User user){
		PasswordEncoder encoder=new BCryptPasswordEncoder();
		if(user.getId()==null){
			//新增用戶，所以把表單的密碼加密一下
			String encodePassword=encoder.encode(user.getPassword());
			user.setPassword(encodePassword);	
		}else{
			//判斷密碼是否做了修改
			User DbUser=userService.getUserById(user.getId());//從數(shù)據(jù)庫查找數(shù)據(jù)
			boolean isMatch=encoder.matches(user.getPassword(),DbUser.getPassword());//第一個參數(shù)是表單的密碼（未加密的），第二個是數(shù)據(jù)庫里面已經(jīng)加密過的密碼
			if(!isMatch){
				//因為要改密碼，所以把表單的密碼加密
				String encodePassword=encoder.encode(user.getPassword());
				user.setPassword(encodePassword);
			}else{
				user.setPassword(DbUser.getPassword());//雖然密碼沒變，但是這個表單user也要保存到數(shù)據(jù)庫，要么把表單密碼加密放進數(shù)據(jù)庫，要么就直接用數(shù)據(jù)庫原本的加密密碼
			}
		}
		userService.saveOrUpdateUser(user);//把這個user保存到數(shù)據(jù)庫
		return "添加或修改用戶成功";
	}