springsecurity中使用BCrypt加密

原创

mb5c80f4c73b73a 2022-12-02 11:22:49 博主文章分类：JAVA ©著作权

文章标签 spring 字段 5e 文章分类 运维

©著作权归作者所有：来自51CTO博客作者mb5c80f4c73b73a的原创作品，请联系作者获取转载授权，否则将追究法律责任

建议由于现在很多库给脱了，然后给撞库得话，传统得MD5+SALT得话，很容易给撞库，因此建议使用bcrypt，
所谓加盐加密，就是在原先密码上加点“盐”然后加密。因为虽然MD5加密是不可逆的，但是别人可以根据你的MD5密码不断比较发现你的原密码，比如你的密码设置得很简单是123456，加密后是 e10adc3949ba59abbe56e057f20f883e，一旦数据库泄露，密码丢失，不法分子很容易试探出来原密码。如果加上盐，只要别人不知道盐是什么，难度会提高很多。

 比如： 
String password = "123456";
System.out.println(password + " -> ");
 for (t = 1; t <= 10; t++) {
     BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
    String hashedPassword = passwordEncoder.encode(password);
   System.out.println(hashedPassword);
 }
 
 123456 -> 
 2a2a10$.Cjkvbgr2JzGkag9IdbT.Oc/sbY7wVqLgAHws7HCxqcI7eczKtCLq
 2a2a10$OCOuRV0Wy7ncCND4LcKfMunVEWOzMOyyU95u5TkTRmJqYbsJNecEK
 2a2a10$TXttsDZUaeEb2zX6wiwN0eqREKFoCDyh81Kfa6BgAcZ2hyqPNC0Ra
 2a2a10$FfLx/gxq.FyeOBb0nbaVeusLhQjASSdY7w45i1ACl/rcYQMmhaXV2
 2a2a10$JdPXAxmuz.WTP5gxYiYseeKRSM/HTFzJJdACcDQ4MdhaaLmC0SjI.
 2a2a10$yVEWf2MrwjCyi51rUKqQle/MZb7vwcOf6Gwp.hDT2ZUchlyAtJ4pO
 2a2a10$FfJg2ATit7btKfJovL6zmug//8rzToQn7FO.fxOzo1KtNNfhWKuca
 2a2a10$pOLMkd13n7i3DtVijLEqze1zeURpjtVz5rAx1qOAPqCQvjGG/d6D.
 2a2a10$fQ32i8JsjjmqVRpiEsgT3ekTKtrfXn.JNl69beWEx0.YgdX.SEx5e
 2a2a10$78brJFSdftip0XXYx4rS6ewdu4SiSsMIBY9oNcLhAZwg3GysRGk2m 
从以上输出结果发现bcrypt算法与md5/sha算法有一个很大的区别，每次生成的hash值都是不同的，这样暴力猜解起来或许要更困难一些。同时大家可能也发现了，加密后的字符长度比较长，有60位，所以用户表中密码字段的长度，如果打算采用bcrypt加密存储，字段长度不得低于60.
springseucirty中设置：
 
<beans:bean id="encoder"
         class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder">
       <beans:constructor-arg name="strength" value="9" />
    </beans:bean>