Spring Security 加密模块

Spring Security 加密模块提供对对称加密、密钥生成和密码编码的支持。代码作为核心模块的一部分分发,但并不依赖于任何其他 Spring Security(或 Spring)代码。

加密器

Encryptors 类提供用于构造对称加密器的工厂方法。此类允许您创建 BytesEncryptor 实例以加密原始 byte[] 形式的数据。您还可以构造 TextEncryptor 实例来加密文本字符串。加密器是线程安全的。

BytesEncryptorTextEncryptor 都是接口。BytesEncryptor 有多个实现。

BytesEncryptor

您可以使用 Encryptors.stronger 工厂方法来构造一个 BytesEncryptor

BytesEncryptor

  • Java

  • Kotlin

Encryptors.stronger("password", "salt");
Encryptors.stronger("password", "salt")

stronger 加密方法使用 256 位 AES 加密与伽罗瓦计数器模式 (GCM) 来创建加密器。它使用 PKCS #5 的 PBKDF2(基于密码的密钥派生函数 #2)来派生密钥。此方法需要 Java 6。用于生成 SecretKey 的密码应保存在安全的地方,并且不应共享。盐用于防止在您的加密数据被泄露时针对密钥的字典攻击。还应用了 16 字节的随机初始化向量,以便每个加密消息都是唯一的。

提供的盐应为十六进制编码的字符串形式,应为随机的,并且长度至少为 8 字节。您可以使用 KeyGenerator 生成这样的盐。

生成密钥

  • Java

  • Kotlin

String salt = KeyGenerators.string().generateKey(); // generates a random 8-byte salt that is then hex-encoded
val salt = KeyGenerators.string().generateKey() // generates a random 8-byte salt that is then hex-encoded

您还可以使用 standard 加密方法,它是 256 位 AES 加密与密码分组链接 (CBC) 模式。此模式未进行 身份验证,并且不提供关于数据真实性的任何保证。有关更安全的替代方案,请使用 Encryptors.stronger

TextEncryptor

您可以使用 Encryptors.text 工厂方法来构造一个标准的 TextEncryptor

TextEncryptor

  • Java

  • Kotlin

Encryptors.text("password", "salt");
Encryptors.text("password", "salt")

TextEncryptor 使用标准的 BytesEncryptor 加密文本数据。加密结果以十六进制编码的字符串形式返回,方便存储在文件系统或数据库中。

密钥生成器

KeyGenerators 类提供了一些便捷的工厂方法,用于构建不同类型的密钥生成器。使用此类,您可以创建一个 BytesKeyGenerator 来生成 byte[] 密钥。您还可以构建一个 StringKeyGenerator 来生成字符串密钥。KeyGenerators 是一个线程安全的类。

BytesKeyGenerator

您可以使用 KeyGenerators.secureRandom 工厂方法生成一个由 SecureRandom 实例支持的 BytesKeyGenerator

BytesKeyGenerator

  • Java

  • Kotlin

BytesKeyGenerator generator = KeyGenerators.secureRandom();
byte[] key = generator.generateKey();
val generator = KeyGenerators.secureRandom()
val key = generator.generateKey()

默认密钥长度为 8 字节。KeyGenerators.secureRandom 变体允许控制密钥长度。

KeyGenerators.secureRandom

  • Java

  • Kotlin

KeyGenerators.secureRandom(16);
KeyGenerators.secureRandom(16)

使用 KeyGenerators.shared 工厂方法构建一个 BytesKeyGenerator,它在每次调用时都返回相同的密钥。

KeyGenerators.shared

  • Java

  • Kotlin

KeyGenerators.shared(16);
KeyGenerators.shared(16)

StringKeyGenerator

您可以使用 KeyGenerators.string 工厂方法构建一个 8 字节的、基于 SecureRandomKeyGenerator,它将每个密钥作为十六进制编码的 String

StringKeyGenerator

  • Java

  • Kotlin

KeyGenerators.string();
KeyGenerators.string()

密码编码

spring-security-crypto 模块的密码包提供了对密码编码的支持。PasswordEncoder 是核心服务接口,具有以下签名:

public interface PasswordEncoder {
	String encode(CharSequence rawPassword);

	boolean matches(CharSequence rawPassword, String encodedPassword);

	default boolean upgradeEncoding(String encodedPassword) {
		return false;
	}
}

如果 rawPassword 编码后等于 encodedPassword,则 matches 方法返回 true。此方法旨在支持基于密码的身份验证方案。

BCryptPasswordEncoder 实现使用广泛支持的“bcrypt”算法来散列密码。Bcrypt 使用随机的 16 字节盐值,并且是一种故意缓慢的算法,以阻止密码破解。您可以使用 strength 参数调整其工作量,该参数的值范围为 4 到 31。值越高,计算哈希所需的工作量就越大。默认值为 10。您可以在已部署的系统中更改此值,而不会影响现有密码,因为该值也存储在编码的哈希中。以下示例使用 BCryptPasswordEncoder

BCryptPasswordEncoder

  • Java

  • Kotlin

// Create an encoder with strength 16
BCryptPasswordEncoder encoder = new BCryptPasswordEncoder(16);
String result = encoder.encode("myPassword");
assertTrue(encoder.matches("myPassword", result));
// Create an encoder with strength 16
val encoder = BCryptPasswordEncoder(16)
val result: String = encoder.encode("myPassword")
assertTrue(encoder.matches("myPassword", result))

Pbkdf2PasswordEncoder 实现使用 PBKDF2 算法来散列密码。为了防止密码破解,PBKDF2 是一种故意缓慢的算法,应将其调整为在大约 0.5 秒内验证系统上的密码。以下系统使用 Pbkdf2PasswordEncoder

Pbkdf2PasswordEncoder

  • Java

  • Kotlin

// Create an encoder with all the defaults
Pbkdf2PasswordEncoder encoder = Pbkdf2PasswordEncoder.defaultsForSpringSecurity_v5_8();
String result = encoder.encode("myPassword");
assertTrue(encoder.matches("myPassword", result));
// Create an encoder with all the defaults
val encoder = Pbkdf2PasswordEncoder.defaultsForSpringSecurity_v5_8()
val result: String = encoder.encode("myPassword")
assertTrue(encoder.matches("myPassword", result))