Spring Security 如何实现多种加密方案共存

这篇文章中，松哥给大家介绍了两种密码加密方案，但是两种都是独立使用的!能不能在同一个项目中同时存在多种密码加密方案呢?答案是肯定的!

今天松哥就来和大家聊一聊，如何在 Spring Security 中，让多种不同的密码加密方案并存。

为什么要加密?常见的加密算法等等这些问题我就不再赘述了，大家可以参考之前的：Spring Boot 中密码加密的两种姿势!，咱们直接来看今天的正文。

1.PasswordEncoder

在 Spring Security 中，跟密码加密/校验相关的事情，都是由 PasswordEncoder 来主导的，PasswordEncoder 拥有众多的实现类：

这些实现类，有的已经过期了，有的用处不大。对于我们而言，最常用的莫过于 BCryptPasswordEncoder。

PasswordEncoder 本身是一个接口，里边只有三个方法：

1. public interface PasswordEncoder { 
2.  String encode(CharSequence rawPassword); 
3.  boolean matches(CharSequence rawPassword, String encodedPassword); 
4.  default boolean upgradeEncoding(String encodedPassword) { 
5.   return false; 
6.  } 
7. } 

• encode 方法用来对密码进行加密。
• matches 方法用来对密码进行比对。
• upgradeEncoding 表示是否需要对密码进行再次加密以使得密码更加安全，默认为 false。

PasswordEncoder 的实现类，则具体实现了这些方法。

2.PasswordEncoder 在哪里起作用

对于我们开发者而言，我们通常都是在 SecurityConfig 中配置一个 PasswordEncoder 的实例，类似下面这样：

1. @Bean 
2. PasswordEncoder passwordEncoder() { 
3.     return new BCryptPasswordEncoder(); 
4. } 

剩下的事情，都是由系统调用的。今天我们就来揭开系统调用的神秘面纱!我们一起来看下系统到底是怎么调用的!

首先，松哥在前面的文章中和大家提到过，Spring Security 中，如果使用用户名/密码的方式登录，密码是在 DaoAuthenticationProvider 中进行校验的，大家可以参考：SpringSecurity 自定义认证逻辑的两种方式(高级玩法)。

我们来看下 DaoAuthenticationProvider 中密码是如何校验的：

1. protected void additionalAuthenticationChecks(UserDetails userDetails, 
2.   UsernamePasswordAuthenticationToken authentication) 
3.   throws AuthenticationException { 
4.  if (authentication.getCredentials() == null) { 
5.   throw new BadCredentialsException(messages.getMessage( 
6.     "AbstractUserDetailsAuthenticationProvider.badCredentials", 
7.     "Bad credentials")); 
8.  } 
9.  String presentedPassword = authentication.getCredentials().toString(); 
10.  if (!passwordEncoder.matches(presentedPassword, userDetails.getPassword())) { 
11.   throw new BadCredentialsException(messages.getMessage( 
12.     "AbstractUserDetailsAuthenticationProvider.badCredentials", 
13.     "Bad credentials")); 
14.  } 
15. } 

可以看到，密码校验就是通过 passwordEncoder.matches 方法来完成的。

那么 DaoAuthenticationProvider 中的 passwordEncoder 从何而来呢?是不是就是我们一开始在 SecurityConfig 中配置的那个 Bean 呢?

我们来看下 DaoAuthenticationProvider 中关于 passwordEncoder 的定义，如下：

1. public class DaoAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider { 
2.  private PasswordEncoder passwordEncoder; 
3.  public DaoAuthenticationProvider() { 
4.   setPasswordEncoder(PasswordEncoderFactories.createDelegatingPasswordEncoder()); 
5.  } 
6.  public void setPasswordEncoder(PasswordEncoder passwordEncoder) { 
7.   this.passwordEncoder = passwordEncoder; 
8.   this.userNotFoundEncodedPassword = null; 
9.  } 
10.  
11.  protected PasswordEncoder getPasswordEncoder() { 
12.   return passwordEncoder; 
13.  } 
14. } 

从这段代码中可以看到，在 DaoAuthenticationProvider 创建之时，就指定了 PasswordEncoder，似乎并没有用到我们一开始配置的 Bean?其实不是的!在 DaoAuthenticationProvider 创建之时，会制定一个默认的 PasswordEncoder，如果我们没有配置任何 PasswordEncoder，将使用这个默认的 PasswordEncoder，如果我们自定义了 PasswordEncoder 实例，那么会使用我们自定义的 PasswordEncoder 实例!

从何而知呢?

我们再来看看 DaoAuthenticationProvider 是怎么初始化的。

DaoAuthenticationProvider 的初始化是在 InitializeUserDetailsManagerConfigurer#configure 方法中完成的，我们一起来看下该方法的定义：

1. public void configure(AuthenticationManagerBuilder auth) throws Exception { 
2.  if (auth.isConfigured()) { 
3.   return; 
4.  } 
5.  UserDetailsService userDetailsService = getBeanOrNull( 
6.    UserDetailsService.class); 
7.  if (userDetailsService == null) { 
8.   return; 
9.  } 
10.  PasswordEncoder passwordEncoder = getBeanOrNull(PasswordEncoder.class); 
11.  UserDetailsPasswordService passwordManager = getBeanOrNull(UserDetailsPasswordService.class); 
12.  DaoAuthenticationProvider provider = new DaoAuthenticationProvider(); 
13.  provider.setUserDetailsService(userDetailsService); 
14.  if (passwordEncoder != null) { 
15.   provider.setPasswordEncoder(passwordEncoder); 
16.  } 
17.  if (passwordManager != null) { 
18.   provider.setUserDetailsPasswordService(passwordManager); 
19.  } 
20.  provider.afterPropertiesSet(); 
21.  auth.authenticationProvider(provider); 
22. } 

从这段代码中我们可以看到：

1. 首先去调用 getBeanOrNull 方法获取一个 PasswordEncoder 实例，getBeanOrNull 方法实际上就是去 Spring 容器中查找对象。
2. 接下来直接 new 一个 DaoAuthenticationProvider 对象，大家知道，在 new 的过程中，DaoAuthenticationProvider 中默认的 PasswordEncoder 已经被创建出来了。
3. 如果一开始从 Spring 容器中获取到了 PasswordEncoder 实例，则将之赋值给 DaoAuthenticationProvider 实例，否则就是用 DaoAuthenticationProvider 自己默认创建的 PasswordEncoder。

至此，就真相大白了，我们配置的 PasswordEncoder 实例确实用上了。

3.默认的是什么?

同时大家看到，如果我们不进行任何配置，默认的 PasswordEncoder 也会被提供，那么默认的 PasswordEncoder 是什么呢?我们就从这个方法看起：

1. public DaoAuthenticationProvider() { 
2.  setPasswordEncoder(PasswordEncoderFactories.createDelegatingPasswordEncoder()); 
3. } 

继续：

1. public class PasswordEncoderFactories { 
2.  public static PasswordEncoder createDelegatingPasswordEncoder() { 
3.   String encodingId = "bcrypt"; 
4.   Map<String, PasswordEncoder> encoders = new HashMap<>(); 
5.   encoders.put(encodingId, new BCryptPasswordEncoder()); 
6.   encoders.put("ldap", new org.springframework.security.crypto.password.LdapShaPasswordEncoder()); 
7.   encoders.put("MD4", new org.springframework.security.crypto.password.Md4PasswordEncoder()); 
8.   encoders.put("MD5", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("MD5")); 
9.   encoders.put("noop", org.springframework.security.crypto.password.NoOpPasswordEncoder.getInstance()); 
10.   encoders.put("pbkdf2", new Pbkdf2PasswordEncoder()); 
11.   encoders.put("scrypt", new SCryptPasswordEncoder()); 
12.   encoders.put("SHA-1", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-1")); 
13.   encoders.put("SHA-256", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("SHA-256")); 
14.   encoders.put("sha256", new org.springframework.security.crypto.password.StandardPasswordEncoder()); 
15.   encoders.put("argon2", new Argon2PasswordEncoder()); 
16.  
17.   return new DelegatingPasswordEncoder(encodingId, encoders); 
18.  } 
19.  
20.  private PasswordEncoderFactories() {} 
21. } 

可以看到：

1. 在 PasswordEncoderFactories 中，首先构建了一个 encoders，然后给所有的编码方式都取了一个名字，再把名字做 key，编码方式做 value，统统存入 encoders 中。
2. 最后返回了一个 DelegatingPasswordEncoder 实例，同时传入默认的 encodingId 就是 bcrypt，以及 encoders 实例，DelegatingPasswordEncoder 看名字应该是一个代理对象。

我们来看下 DelegatingPasswordEncoder 的定义：

1. public class DelegatingPasswordEncoder implements PasswordEncoder { 
2.  private static final String PREFIX = "{"; 
3.  private static final String SUFFIX = "}"; 
4.  private final String idForEncode; 
5.  private final PasswordEncoder passwordEncoderForEncode; 
6.  private final Map<String, PasswordEncoder> idToPasswordEncoder; 
7.  private PasswordEncoder defaultPasswordEncoderForMatches = new UnmappedIdPasswordEncoder(); 
8.  public DelegatingPasswordEncoder(String idForEncode, 
9.   Map<String, PasswordEncoder> idToPasswordEncoder) { 
10.   if (idForEncode == null) { 
11.    throw new IllegalArgumentException("idForEncode cannot be null"); 
12.   } 
13.   if (!idToPasswordEncoder.containsKey(idForEncode)) { 
14.    throw new IllegalArgumentException("idForEncode " + idForEncode + "is not found in idToPasswordEncoder " + idToPasswordEncoder); 
15.   } 
16.   for (String id : idToPasswordEncoder.keySet()) { 
17.    if (id == null) { 
18.     continue; 
19.    } 
20.    if (id.contains(PREFIX)) { 
21.     throw new IllegalArgumentException("id " + id + " cannot contain " + PREFIX); 
22.    } 
23.    if (id.contains(SUFFIX)) { 
24.     throw new IllegalArgumentException("id " + id + " cannot contain " + SUFFIX); 
25.    } 
26.   } 
27.   this.idForEncode = idForEncode; 
28.   this.passwordEncoderForEncode = idToPasswordEncoder.get(idForEncode); 
29.   this.idToPasswordEncoder = new HashMap<>(idToPasswordEncoder); 
30.  } 
31.  public void setDefaultPasswordEncoderForMatches( 
32.   PasswordEncoder defaultPasswordEncoderForMatches) { 
33.   if (defaultPasswordEncoderForMatches == null) { 
34.    throw new IllegalArgumentException("defaultPasswordEncoderForMatches cannot be null"); 
35.   } 
36.   this.defaultPasswordEncoderForMatches = defaultPasswordEncoderForMatches; 
37.  } 
38.  
39.  @Override 
40.  public String encode(CharSequence rawPassword) { 
41.   return PREFIX + this.idForEncode + SUFFIX + this.passwordEncoderForEncode.encode(rawPassword); 
42.  } 
43.  
44.  @Override 
45.  public boolean matches(CharSequence rawPassword, String prefixEncodedPassword) { 
46.   if (rawPassword == null && prefixEncodedPassword == null) { 
47.    return true; 
48.   } 
49.   String id = extractId(prefixEncodedPassword); 
50.   PasswordEncoder delegate = this.idToPasswordEncoder.get(id); 
51.   if (delegate == null) { 
52.    return this.defaultPasswordEncoderForMatches 
53.     .matches(rawPassword, prefixEncodedPassword); 
54.   } 
55.   String encodedPassword = extractEncodedPassword(prefixEncodedPassword); 
56.   return delegate.matches(rawPassword, encodedPassword); 
57.  } 
58.  
59.  private String extractId(String prefixEncodedPassword) { 
60.   if (prefixEncodedPassword == null) { 
61.    return null; 
62.   } 
63.   int start = prefixEncodedPassword.indexOf(PREFIX); 
64.   if (start != 0) { 
65.    return null; 
66.   } 
67.   int end = prefixEncodedPassword.indexOf(SUFFIX, start); 
68.   if (end < 0) { 
69.    return null; 
70.   } 
71.   return prefixEncodedPassword.substring(start + 1, end); 
72.  } 
73.  
74.  @Override 
75.  public boolean upgradeEncoding(String prefixEncodedPassword) { 
76.   String id = extractId(prefixEncodedPassword); 
77.   if (!this.idForEncode.equalsIgnoreCase(id)) { 
78.    return true; 
79.   } 
80.   else { 
81.    String encodedPassword = extractEncodedPassword(prefixEncodedPassword); 
82.    return this.idToPasswordEncoder.get(id).upgradeEncoding(encodedPassword); 
83.   } 
84.  } 
85.  
86.  private String extractEncodedPassword(String prefixEncodedPassword) { 
87.   int start = prefixEncodedPassword.indexOf(SUFFIX); 
88.   return prefixEncodedPassword.substring(start + 1); 
89.  } 
90.  private class UnmappedIdPasswordEncoder implements PasswordEncoder { 
91.  
92.   @Override 
93.   public String encode(CharSequence rawPassword) { 
94.    throw new UnsupportedOperationException("encode is not supported"); 
95.   } 
96.  
97.   @Override 
98.   public boolean matches(CharSequence rawPassword, 
99.    String prefixEncodedPassword) { 
100.    String id = extractId(prefixEncodedPassword); 
101.    throw new IllegalArgumentException("There is no PasswordEncoder mapped for the id \"" + id + "\""); 
102.   } 
103.  } 
104. } 

这段代码比较长，我来和大家挨个解释下：

1. DelegatingPasswordEncoder 也是实现了 PasswordEncoder 接口，所以它里边的核心方法也是两个：encode 方法用来对密码进行编码，matches 方法用来校验密码。
2. 在 DelegatingPasswordEncoder 的构造方法中，通过 通过传入的两个参数 encodingId 和 encoders ，获取到默认的编码器赋值给 passwordEncoderForEncode，默认的编码器实际上就是 BCryptPasswordEncoder。
3. 在 encode 方法中对密码进行编码，但是编码的方式加了前缀，前缀是 {编码器名称} ，例如如果你使用 BCryptPasswordEncoder 进行编码，那么生成的密码就类似 {bcrypt}$2a$10$oE39aG10kB/rFu2vQeCJTu/V/v4n6DRR0f8WyXRiAYvBpmadoOBE.。这样有什么用呢?每种密码加密之后，都会加上一个前缀，这样看到前缀，就知道该密文是使用哪个编码器生成的了。
4. 最后 matches 方法的逻辑就很清晰了，先从密文中提取出来前缀，再根据前缀找到对应的 PasswordEncoder，然后再调用 PasswordEncoder 的 matches 方法进行密码比对。
5. 如果根据提取出来的前缀，找不到对应的 PasswordEncoder，那么就会调用 UnmappedIdPasswordEncoder#matches 方法，进行密码比对，该方法实际上并不会进行密码比对，而是直接抛出异常。

OK，至此，相信大家都明白了 DelegatingPasswordEncoder 的工作原理了。

如果我们想同时使用多个密码加密方案，看来使用 DelegatingPasswordEncoder 就可以了，而 DelegatingPasswordEncoder 默认还不用配置。

4.体验

接下来我们稍微体验一下 DelegatingPasswordEncoder 的用法。

首先我们来生成三个密码作为测试密码：

1. @Test 
2. void contextLoads() { 
3.     Map<String, PasswordEncoder> encoders = new HashMap<>(); 
4.     encoders.put("bcrypt", new BCryptPasswordEncoder()); 
5.     encoders.put("MD5", new org.springframework.security.crypto.password.MessageDigestPasswordEncoder("MD5")); 
6.     encoders.put("noop", org.springframework.security.crypto.password.NoOpPasswordEncoder.getInstance()); 
7.     DelegatingPasswordEncoder encoder1 = new DelegatingPasswordEncoder("bcrypt", encoders); 
8.     DelegatingPasswordEncoder encoder2 = new DelegatingPasswordEncoder("MD5", encoders); 
9.     DelegatingPasswordEncoder encoder3 = new DelegatingPasswordEncoder("noop", encoders); 
10.     String e1 = encoder1.encode("123"); 
11.     String e2 = encoder2.encode("123"); 
12.     String e3 = encoder3.encode("123"); 
13.     System.out.println("e1 = " + e1); 
14.     System.out.println("e2 = " + e2); 
15.     System.out.println("e3 = " + e3); 
16. } 

生成结果如下：

1. e1 = {bcrypt}$2a$10$Sb1gAUH4wwazfNiqflKZve4Ubh.spJcxgHG8Cp29DeGya5zsHENqi 
2. e2 = {MD5}{Wucj/L8wMTMzFi3oBKWsETNeXbMFaHZW9vCK9mahMHc=}4d43db282b36d7f0421498fdc693f2a2 
3. e3 = {noop}123 

接下来，我们把这三个密码拷贝到 SecurityConfig 中去：

1. @Configuration("aaa") 
2. public class SecurityConfig extends WebSecurityConfigurerAdapter { 
3.  
4.     @Override 
5.     @Bean 
6.     protected UserDetailsService userDetailsService() { 
7.  
8.         InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager(); 
9.         manager.createUser(User.withUsername("javaboy").password("{bcrypt}$2a$10$Sb1gAUH4wwazfNiqflKZve4Ubh.spJcxgHG8Cp29DeGya5zsHENqi").roles("admin").build()); 
10.         manager.createUser(User.withUsername("sang").password("{noop}123").roles("admin").build()); 
11.         manager.createUser(User.withUsername("江南一点雨").password("{MD5}{Wucj/L8wMTMzFi3oBKWsETNeXbMFaHZW9vCK9mahMHc=}4d43db282b36d7f0421498fdc693f2a2").roles("user").build()); 
12.         return manager; 
13.     } 
14.  
15.     @Override 
16.     protected void configure(HttpSecurity http) throws Exception { 
17.         http.authorizeRequests() 
18.                 .antMatchers("/admin/**").hasRole("admin") 
19.                 .antMatchers("/user/**").hasRole("user") 
20.                 ... 
21.     } 
22. } 

这里三个用户使用三种不同的密码加密方式。

配置完成后，重启项目，分别使用 javaboy/123、sang/123 以及 江南一点雨/123 进行登录，发现都能登录成功。

5.意义何在?

为什么我们会有这种需求?想在项目种同时存在多种密码加密方案?其实这个主要是针对老旧项目改造用的，密码加密方式一旦确定，基本上没法再改了(你总不能让用户重新注册一次吧)，但是我们又想使用最新的框架来做密码加密，那么无疑，DelegatingPasswordEncoder 是最佳选择。

好啦，这就是今天和小伙伴们分享的多种密码加密方案问题，感兴趣的小伙伴记得点个在看鼓励下松哥哦～

原文链接：原文地址：https://mp.weixin.qq.com/s/8GJCqcEYW7ZGKlKXRTwGMg