SpringBoot3整合SpringSecurity6(四)添加用户、密码加密

写在前面

还记得在之前的文章中，我们在user表中手动插入了3条数据吗？

当时，大家就会有疑问。这一串密码是怎么来的呢，我们为啥要对密码进行加密？
带着这些疑问，我们继续上路。我们在开发一个应用系统，肯定是少不了用户注册功能的。说到注册，无非就是往user用户信息表中插入一条数据。
这条数据包含用户名 [xiezhr]、密码 [123456]等字段，而往往 密码这个字段不可能将123456直接存储的，而是通过各种加密手段处理。最终如上图所示，
即使数据库因各种原因泄露，法外狂徒张三也不知道用户的密码，这让系统又加了一把锁。
一、密码明文存储的危害

不知道大家前段时间有没有听到这么一个新闻。爱尔兰数据保护委员会（DPC）对Meta(前Facebook) 处以9100万欧元（7.14亿元人民币）的罚款，
原因正是因为Meta在未加保护或加密的情况下以明文形式存储用户密码。

从Meta事件再次证明了，即使在大的企业，也难免会有所疏漏，虽然事件中并没有提到泄露信息，但一旦泄露，后果真的不可想象。
密码明文存储就像是你把家里的钥匙挂在门上，任何人都可以拿走钥匙，进入你的家；你的日记本没有上锁，任何人都可以打开看；
安全无小事，安全无小事，安全无小事。
二、加密方式及实现

2.1 对称加密

① 简介
就像你和你的好朋友之间有一个只有你们俩知道的秘密暗号。你们用这个暗号来传递信息，别人就算看到了也看不懂。
② 常见算法

• AES（高级加密标准）
  
• DES（数据加密标准）
  

②实现
首先，你和你的朋友要商量好一个“暗号”（密钥）。然后，你把想说的话（明文）转换成只有你们俩能懂的暗号（密文）。你的朋友收到后，再用同样的“暗号”把密文变回原话。

2.2 非对称加密

① 简介
你有一个带锁的信箱，你把钥匙分成两把，一把公钥（可以给别人），一把私钥（自己保管）。别人用公钥把信锁上，只有你能用私钥打开
② 常见算法

• RSA算法
  

③ 实现
你生成一对钥匙，公钥和私钥。别人用你的公钥加密信息，然后发给你。你收到后，用自己的私钥解密。

2.3 哈希加密

① 简介
像是把信息扔进一个特殊的搅拌机，出来的是一个固定大小的“信息指纹”。这个“指纹”不能还原成原来的信息。
② 常见算法

• MD5
  
• SHA-1
  
• SHA-256
  
• SHA-512
  

③ 实现
把信息（明文）通过一个哈希函数处理，生成一个哈希值。这个哈希值用来验证信息是否被篡改。

• 选择一个哈希算法（如SHA-256）。
  
• 把明文通过哈希算法处理，生成哈希值。
  
• 存储或传输哈希值。
  
• 接收者收到信息后，再次计算哈希值，与收到的哈希值对比，验证信息完整性。
  

回到Spring Sesurity中，框架提供了PasswordEncoder 接口来实现密码加密。通过不同的实现，来配置不同Hash算法（MD5、SHA-256、SHA-512等）
但是仅仅通过上面简单的加密依然不能防止恶意用户的攻击，为什么呢？
恶意用户会预先计算很多密码的加密结果，保存到“表”里。这里的“表”指的就我们常说的彩虹表。
当想要破解某个密码时，就会用这个密码去“表”里查找对应的加密结果，如果找到了，就知道这个密码是什么了。
那么SpringSecurity怎么才能防止彩虹表攻击呢？
常用的就是使用盐（Salt）
顾名思义，盐就是给密码加点“料”，每次加密时都加点不同的“料”，这样即使两个用户的密码相同，加密后的结果也会因为盐的不同而不同。
Spring Security可以通过配置密码编码器（如BCryptPasswordEncoder）来自动为每个密码生成一个唯一的盐来保证安全。
三、密码加密测试

上面说了一堆理论知识，接下来我们来测试下通过BCryptPasswordEncoder 来加密

1. @Test
2. public void testPasswordEncoder(){
3.     BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
4.     //明文都是xiezhr,但是每次生成的密文是不一致的
5.     String ret1 = encoder.encode("xiezhr");
6.     String ret2 = encoder.encode("xiezhr");
7.     System.out.println("第一次生成密码："+ret1);
8.     System.out.println("第二次生成密码："+ret2);
10.     Assert.isTrue(encoder.matches("xiezhr", ret1), "密码不一致");
11.     Assert.isTrue(encoder.matches("xiezhr", ret2), "密码不一致");
13. }
14. //输出
15. 第一次生成密码：$2a$10$96WLiLGkHOcxYNw9wWHDeuXYVznW30S7F5u4Stib71gFp3Mq/mENa
16. 第二次生成密码：$2a$10$f1JowhAXqYI1UBF4jRY5AeziL/83NRzWfvUtxoXzgW0xUQ/uLLUWK
17. //这里并没有抛出密码不一致的异常

复制代码

从上面测试中，我们可以看出，相同明文"xiezhr" 通过BCrypt算法加密后，每次生成的密文都是不同的。
再通过matches 来验证两次生成的密文，都与“xiezhr” 匹配
四、添加新用户

在前面的学习中，我们知道了怎么进行密码加密，接下来，该轮到实操了。
我们要实现将一个用户添加到数据库中，并且密码进行加密。
4.1 替换默认密码加密方式

在Spring Security中默认使用的PasswordEncoder要求数据库中的密码格式为：{id}password 。它会根据id去判断密码的
加密方式 ,所以我们之前数据库中存储的密码为{bcrypt}$2a$10$GRLdNijSQMUvl/au9ofL.eDwmoohzzS7.rmNSJZ.0FxO/BTk76klW

但是我们一般不会采用这种方式。所以就需要替换PasswordEncoder默认实现方式。
我们一般使用SpringSecurity为我们提供的BCryptPasswordEncoder。
怎么替换呢？其实非常简单
我们只需要使用把BCryptPasswordEncoder对象注入Spring容器中，SpringSecurity就会使用该PasswordEncoder来进行密码校验。

1. @Configuration  //标明这个类为配置类，spring应用程序一启动，类中的been 就会被初始化在spring容器中
2. @EnableWebSecurity  //开启spring security 自定义配置
3. public class WebSecurityConfig {
5.     @Bean
6.     public PasswordEncoder passwordEncoder(){
7.         return new BCryptPasswordEncoder();
8.     }
10. }

复制代码

4.2  Controller

添加addUser 方法，用于接收前台传过来的用户信息。这里省略了上一节的代码

1. @RestController
2. @RequestMapping("/user")
3. public class UserController {
5.     @Autowired
6.     private UserService userService;
8.     @PostMapping("/addUser")
9.     public int addUser(@RequestBody User user){
10.        return userService.addUser(user);
11.     }
12. }

复制代码

4.3 Service

由于要对前台传过来的密码进行加密处理，我们这里需要单独添加addUser 单独处理密码,具体方法如下

1、UserService

1. public interface UserService extends IService<User> {
2.     int addUser(User user);
3. }

复制代码

2、UserServiceImpl

1. @Service
2. public class UserServiceImpl extends ServiceImpl<UserMapper, User> implements UserService {
4.     @Autowired
5.     PasswordEncoder passwordEncoder;
6.     @Autowired
7.     UserMapper userMapper;
9.     @Override
10.     public int addUser(User user) {
11.         String encode = passwordEncoder.encode(user.getPassword());
12.         user.setPassword(encode);
13.         user.setEnabled(true);
14.         return  userMapper.insert(user);
15.     }
16. }

复制代码

4.4 测试一下

到了这里，小伙伴是不是觉得已经大功告成了，我们来用postman工具测试一下

哦豁，报401 Unauthorized了，这是为啥呢？
我们要对/user/addUser 进行放行

1. @Configuration  //标明这个类为配置类，spring应用程序一启动，类中的been 就会被初始化在spring容器中
2. @EnableWebSecurity  //开启spring security 自定义配置
3. public class WebSecurityConfig {
4.      @Bean
5.     public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
7.         http.csrf(csrf-> csrf.disable());
8.         http.authorizeHttpRequests(auth -> auth
9.                         .requestMatchers("/user/addUser").permitAll()
10.                         .anyRequest().authenticated()
11.                 );
13.         return http.build();
14.     }
15. }

复制代码

添加上面代码之后，再用postman测试，用户就正常添加进去了

我们再来看看数据库，Jon这个用户已经加进去了，而且密码123456 也是加过密的

五、小结

到此，我们已经将一个新用户添加到数据库中了，并且用户密码也做了加密处理。
以上操作，我们只是为了演示添加用户的基本操作，实际项目中会比这个复杂一些，不过原理都是一样的。
在实际的前后端分离项目中，我们还会涉及到跨域处理、统一返回结果、再插入用户之前判断用户是否存在等等。
小伙伴们，不用着急，后续课程中会慢慢补充~

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！