聊一聊 Spring Security 密碼加密方案

為什麼要加密

2011 年 12 月 21 日，有人在網絡上公開了一個包含 600 萬個 CSDN 用戶資料的數據庫，數據全部為明文儲存，包含用戶名、密碼以及註冊郵箱。事件發生後 CSDN 在微博、官方網站等渠道發出了聲明，解釋說此數據庫系 2009 年備份所用，因不明原因洩露，已經向警方報案，後又在官網發出了公開道歉信。在接下來的十多天裡，金山、網易、京東、噹噹、新浪等多家公司被捲入到這次事件中。整個事件中最觸目驚心的莫過於 CSDN 把用戶密碼明文存儲，由於很多用戶是多個網站共用一個密碼，因此一個網站密碼洩露就會造成很大的安全隱患。由於有了這麼多前車之鑑，我們現在做系統時，密碼都要加密處理。

這次洩密，也留下了一些有趣的事情，特別是對於廣大程序員設置密碼這一項。人們從 CSDN 洩密的文件中，發現了一些好玩的密碼，例如如下這些：

• ppnn13%dkstFeb.1st 這段密碼的中文解析是：娉娉嫋嫋十三餘，豆蔻梢頭二月初。
• csbt34.ydhl12s 這段密碼的中文解析是：池上碧苔三四點，葉底黃鸝一兩聲
• ...

等等不一而足，你會發現很多程序員的人文素養還是非常高的，這密碼取得讓人嘖嘖稱奇。

加密方案

密碼加密我們一般會用到散列函數，又稱散列算法、哈希函數，這是一種從任何數據中創建數字“指紋”的方法。散列函數把消息或數據壓縮成摘要，使得數據量變小，將數據的格式固定下來，然後將數據打亂混合，重新創建一個散列值。散列值通常用一個短的隨機字母和數字組成的字符串來代表。好的散列函數在輸入域中很少出現散列衝突。在散列表和數據處理中，不抑制衝突來區別數據，會使得數據庫記錄更難找到。我們常用的散列函數有 MD5 消息摘要算法、安全散列算法（Secure Hash Algorithm）。

但是僅僅使用散列函數還不夠，為了增加密碼的安全性，一般在密碼加密過程中還需要加鹽，所謂的鹽可以是一個隨機數也可以是用戶名，加鹽之後，即使密碼明文相同的用戶生成的密碼密文也不相同，這可以極大的提高密碼的安全性。但是傳統的加鹽方式需要在數據庫中有專門的字段來記錄鹽值，這個字段可能是用戶名字段（因為用戶名唯一），也可能是一個專門記錄鹽值的字段，這樣的配置比較繁瑣。

Spring Security 提供了多種密碼加密方案，官方推薦使用 BCryptPasswordEncoder，BCryptPasswordEncoder 使用 BCrypt 強哈希函數，開發者在使用時可以選擇提供 strength 和 SecureRandom 實例。strength 越大，密鑰的迭代次數越多，密鑰迭代次數為 2^strength。strength 取值在 4~31 之間，默認為 10。

不同於 Shiro 中需要自己處理密碼加鹽，在 Spring Security 中，BCryptPasswordEncoder 就自帶了鹽，處理起來非常方便。

實踐

在 Spring Boot 中配置密碼加密非常容易，只需要修改上文配置的 PasswordEncoder 這個 Bean 的實現即可，如下：

@Bean
PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder(10);
}

創建 BCryptPasswordEncoder 時傳入的參數 10 就是 strength，即密鑰的迭代次數（也可以不配置，默認為 10）。同時，配置的內存用戶的密碼也不再是 123了，如下：

auth.inMemoryAuthentication()
.withUser("admin")
.password("$2a$10$RMuFXGQ5AtH4wOvkUqyvuecpqUSeoxZYqilXzbz50dceRsga.WYiq")
.roles("ADMIN", "USER")
.and()
.withUser("sang")
.password("$2a$10$eUHbAOMq4bpxTvOVz33LIehLe3fu6NwqC9tdOcxJXEhyZ4simqXTC")
.roles("USER");

這裡的密碼就是使用 BCryptPasswordEncoder 加密後的密碼，雖然 admin 和 sang 加密後的密碼不一樣，但是明文都是 123。配置完成後，使用 admin/123 或者 sang/123 就可以實現登錄。

本案例使用了配置在內存中的用戶，一般情況下，用戶信息是存儲在數據庫中的，因此需要在用戶註冊時對密碼進行加密處理，如下：

@Service
public class RegService {
    public int reg(String username, String password) {
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder(10);
        String encodePasswod = encoder.encode(password);
        return saveToDb(username, encodePasswod);
    }
}

用戶將密碼從前端傳來之後，通過調用 BCryptPasswordEncoder 實例中的 encode 方法對密碼進行加密處理，加密完成後將密文存入數據庫。

閱讀更多 sandag 的文章

關鍵字: 加密 新浪 金山軟件