我使用的是Spring Roo框架,它使用Spring Security作为安全框架。我以以下方式配置它:
<authentication-manager alias="authenticationManager">
<!-- SHA-256 values can be produced using 'echo -n your_desired_password | sha256sum' (using normal *nix environments) -->
<authentication-provider>
<password-encoder hash="sha-256">
<!-- <salt-source user-property="login"/> -->
</password-encoder>
<jdbc-user-service data-source-ref="dataSource"
users-by-username-query="
SELECT login, password, enabled
FROM user WHERE login = ?"
authorities-by-username-query="
SELECT u.login, r.authority
FROM user u, rol r,
usuer_role ur
WHERE u.login = ur.usuarer
AND r.roleId = ur.role
AND u.login = ?"
/>
<user-service>
<user name="admin" password="8c6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f2ab448a918" authorities="ROLE_ADMIN" />
<user name="user" password="04f8996da763b7a969b1028ee3007569eaf3a635486ddab211d512c85b9df8fb" authorities="ROLE_USER" />
</user-service>
</authentication-provider>
为了使密码匹配,我编辑了UserController
create
方法,以便使用SHA-256哈希存储密码,与安全配置文件applicationContext-security.xml
中配置的哈希相同。
我就是这样做的:
public String create(@Valid User user, BindingResult bindingResult, Model uiModel, HttpServletRequest httpServletRequest) throws NoSuchAlgorithmException, UnsupportedEncodingException {
if (bindingResult.hasErrors()) {
populateEditForm(uiModel, usuario);
return "security/users/create";
}
MessageDigest md = MessageDigest.getInstance("SHA-256");
md.update(user.getPassword().getBytes("UTF-8"));
byte[] digest = md.digest();
usuario.setPassword( new String(digest, "UTF-8"));
uiModel.asMap().clear();
user.persist();
return "redirect:/security/users/" + encodeUrlPathSegment(usuario.getId().toString(), httpServletRequest);
}
我尝试将密码设置为admin
,这与配置文件为默认用户提供的密码相同:admin,password:admin,以检查我的create
方法生成的密码是否匹配。
然而,配置文件中的散列密码是8c6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f2ab448a918
,但当我通过控制台检查mysql
数据库时,数据库中存储的密码是一组奇怪的字符,或者当ivAMgsKo*H
显示在页面中时,密码是一个奇怪的字符集。
有什么帮助吗?
最后我提出了这个解决方案,感谢@Oleg Estekhin的评论:
public String sha256(String original) throws NoSuchAlgorithmException {
MessageDigest md = MessageDigest.getInstance("SHA-256");
md.update(original.getBytes());
byte[] digest = md.digest();
return new String(Hex.encodeHexString(digest));
}
但是,配置文件中的散列密码是8c6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f2ab448a918,但当我通过控制台或ivAMgsKo*H。
8c6976e5b541041...
看起来像Base64编码的数据。
而
ivAMgsKo*H
和你的代码
new String(digest, "UTF-8")
告诉我,您的摘要不是编码的,而是存储为UTF-8字符串。
哈希值可以包含不可打印的字节值,因此对该值进行编码是很常见的。例如使用Base64。