如何在不使用密码编码的情况下使用Spring Security?
我正在尝试学习Spring安全性。我曾BCryptPasswordEncoder先将用户密码编码,然后再保存到数据库中
:
@Override public void saveUser(User user) {
user.setPassword(bCryptPasswordEncoder.encode(user.getPassword()));
user.setActive(1);
Role userRole = roleRepository.findByRole("ADMIN");
user.setRoles(new HashSet<Role>(Arrays.asList(userRole)));
userRepository.save(user);
}
然后在身份验证期间也使用它,并且用户已按预期进行身份验证。
@Override protected void configure(AuthenticationManagerBuilder auth)
throws Exception {
auth.
jdbcAuthentication()
.usersByUsernameQuery(usersQuery)
.authoritiesByUsernameQuery(rolesQuery)
.dataSource(dataSource).passwordEncoder(bCryptPasswordEncoder);
}
然后我.passwordEncoder(bCryptPasswordEncoder);从configure()方法中删除,仍然使用密码编码的用户仍成功通过身份验证。
然后,我从saveUser()和configure()方法中都删除了密码编码器,并将a持久化User到数据库中(即不使用密码编码),并尝试访问经过身份验证的页面,但是我得到了AccessedDeniedException,
但是即使我passwordEncoder()从configure()方法中删除了,使用编码密码的用户仍然可以通过身份验证。为什么会这样呢?
默认情况下,security" title="spring security">spring security是否在身份验证期间使用密码编码器?
如果是这样,如何在没有密码编码的情况下使用spring security?
回答:
使用Spring Security 5时,始终启用密码加密。默认使用的加密为bcrypt。Spring Security
5的巧妙之处在于,它实际上允许您在密码中指定用于创建has的加密。
为此,请参阅《Spring Security参考指南》中的“ 密码存储格式
”。简而言之,它允许您为算法的众所周知的密钥添加密码前缀。存储格式为{<encryption>}<your-password-hash>。
当不使用任何东西时,它会变成{noop}your-
password(将使用NoOpPasswordEncoder和{bcrypt}$a2......将使用BcryptPasswordEncoder。)。有几种开箱即用的算法支持,但是您也可以定义自己的算法。
要定义自己的内容,请创建自己的内容,PasswordEncoder并使用进行注册DelegatingPasswordEncoder。
以上是 如何在不使用密码编码的情况下使用Spring Security? 的全部内容, 来源链接: utcz.com/qa/432654.html
