如何将SpringBoot3与SpringSecurity6整合，实现用户密码加密并添加用户？

写在前面 还记得在之前的文章中，我们在user表中手动插入了3条数据吗？ 当时，大家就会有疑问。这一串密码是怎么来的呢，我们为啥要对密码进行加密？ 带着这些疑问，我们继续上路。我们在开发一个应用系统，肯定是少不了用户注册功能的。说到注册，无非就是往user用户信息表中插入一条数据。 这条数据包含用户名 [xiezhr]、密码 [123456]等字段，而往往 密码这个字段不可能将123456直接存储的，而是通过各种加密手段处理。最终如上图所示， 即使数据库因各种原因泄露，法外狂徒张三也不知道用户的密码，这让系统又加了一把锁。 一、密码明文存储的危害 不知道大家前段时间有没有听到这么一个新闻。爱尔兰数据保护委员会（DPC）对Meta(前Facebook) 处以9100万欧元（7.14亿元人民币）的罚款， 原因正是因为Meta在未加保护或加密的情况下以明文形式存储用户密码。 从Meta事件再次证明了，即使在大的企业，也难免会有所疏漏，虽然事件中并没有提到泄露信息，但一旦泄露，后果真的不可想象。 密码明文存储就像是你把家里的钥匙挂在门上，任何人都可以拿走钥匙，进入你的家；你的日记本没有上锁，任何人都可以打开看； 安全无小事，安全无小事，安全无小事。 二、加密方式及实现 2.1 对称加密 ① 简介 就像你和你的好朋友之间有一个只有你们俩知道的秘密暗号。你们用这个暗号来传递信息，别人就算看到了也看不懂。 ② 常见算法 AES（高级加密标准） DES（数据加密标准） ②实现 首先，你和你的朋友要商量好一个“暗号”（密钥）。然后，你把想说的话（明文）转换成只有你们俩能懂的暗号（密文）。你的朋友收到后，再用同样的“暗号”把密文变回原话。 2.2 非对称加密 ① 简介 你有一个带锁的信箱，你把钥匙分成两把，一把公钥（可以给别人），一把私钥（自己保管）。别人用公钥把信锁上，只有你能用私钥打开 ② 常见算法 RSA算法 ③ 实现 你生成一对钥匙，公钥和私钥。别人用你的公钥加密信息，然后发给你。你收到后，用自己的私钥解密。 2.3 哈希加密 ① 简介 像是把信息扔进一个特殊的搅拌机，出来的是一个固定大小的“信息指纹”。这个“指纹”不能还原成原来的信息。 ② 常见算法 MD5 SHA-1 SHA-256 SHA-512 ③ 实现 把信息（明文）通过一个哈希函数处理，生成一个哈希值。这个哈希值用来验证信息是否被篡改。 选择一个哈希算法（如SHA-256）。 把明文通过哈希算法处理，生成哈希值。 存储或传输哈希值。 接收者收到信息后，再次计算哈希值，与收到的哈希值对比，验证信息完整性。 回到Spring Sesurity中，框架提供了PasswordEncoder 接口来实现密码加密。通过不同的实现，来配置不同Hash算法（MD5、SHA-256、SHA-512等） 但是仅仅通过上面简单的加密依然不能防止恶意用户的攻击，为什么呢？ 恶意用户会预先计算很多密码的加密结果，保存到“表”里。这里的“表”指的就我们常说的彩虹表。 当想要破解某个密码时，就会用这个密码去“表”里查找对应的加密结果，如果找到了，就知道这个密码是什么了。 那么SpringSecurity怎么才能防止彩虹表攻击呢？ 常用的就是使用盐（Salt） 顾名思义，盐就是给密码加点“料”，每次加密时都加点不同的“料”，这样即使两个用户的密码相同，加密后的结果也会因为盐的不同而不同。 Spring Security可以通过配置密码编码器（如BCryptPasswordEncoder）来自动为每个密码生成一个唯一的盐来保证安全。 三、密码加密测试 上面说了一堆理论知识，接下来我们来测试下通过BCryptPasswordEncoder 来加密 @Test public void testPasswordEncoder(){ BCryptPasswordEncoder encoder = new BCryptPasswordEncoder(); //明文都是xiezhr,但是每次生成的密文是不一致的 String ret1 = encoder.encode("xiezhr"); String ret2 = encoder.encode("xiezhr"); System.out.println("第一次生成密码："+ret1); System.out.println("第二次生成密码："+ret2); Assert.isTrue(encoder.matches("xiezhr", ret1), "密码不一致"); Assert.isTrue(encoder.matches("xiezhr", ret2), "密码不一致"); } //输出 第一次生成密码：$2a$10$96WLiLGkHOcxYNw9wWHDeuXYVznW30S7F5u4Stib71gFp3Mq/mENa 第二次生成密码：$2a$10$f1JowhAXqYI1UBF4jRY5AeziL/83NRzWfvUtxoXzgW0xUQ/uLLUWK //这里并没有抛出密码不一致的异常 从上面测试中，我们可以看出，相同明文"xiezhr" 通过BCrypt算法加密后，每次生成的密文都是不同的。 再通过matches 来验证两次生成的密文，都与“xiezhr” 匹配 四、添加新用户 在前面的学习中，我们知道了怎么进行密码加密，接下来，该轮到实操了。 我们要实现将一个用户添加到数据库中，并且密码进行加密。 4.1 替换默认密码加密方式 在Spring Security中默认使用的PasswordEncoder要求数据库中的密码格式为：{id}password 。它会根据id去判断密码的 加密方式 ,所以我们之前数据库中存储的密码为{bcrypt}$2a$10$GRLdNijSQMUvl/au9ofL.eDwmoohzzS7.rmNSJZ.0FxO/BTk76klW 但是我们一般不会采用这种方式。所以就需要替换PasswordEncoder默认实现方式。 我们一般使用SpringSecurity为我们提供的BCryptPasswordEncoder。 怎么替换呢？其实非常简单 我们只需要使用把BCryptPasswordEncoder对象注入Spring容器中，SpringSecurity就会使用该PasswordEncoder来进行密码校验。 @Configuration //标明这个类为配置类，spring应用程序一启动，类中的been 就会被初始化在spring容器中 @EnableWebSecurity //开启spring security 自定义配置 public class WebSecurityConfig { @Bean public PasswordEncoder passwordEncoder(){ return new BCryptPasswordEncoder(); } } 4.2 Controller 添加addUser 方法，用于接收前台传过来的用户信息。这里省略了上一节的代码 @RestController @RequestMapping("/user") public class UserController { @Autowired private UserService userService; @PostMapping("/addUser") public int addUser(@RequestBody User user){ return userService.addUser(user); } } 4.3 Service 由于要对前台传过来的密码进行加密处理，我们这里需要单独添加addUser 单独处理密码,具体方法如下 1、UserService public interface UserService extends IService<User> { int addUser(User user); } 2、UserServiceImpl @Service public class UserServiceImpl extends ServiceImpl<UserMapper, User> implements UserService { @Autowired PasswordEncoder passwordEncoder; @Autowired UserMapper userMapper; @Override public int addUser(User user) { String encode = passwordEncoder.encode(user.getPassword()); user.setPassword(encode); user.setEnabled(true); return userMapper.insert(user); } } 4.4 测试一下 到了这里，小伙伴是不是觉得已经大功告成了，我们来用postman工具测试一下 哦豁，报401 Unauthorized了，这是为啥呢？ 我们要对/user/addUser 进行放行 @Configuration //标明这个类为配置类，spring应用程序一启动，类中的been 就会被初始化在spring容器中 @EnableWebSecurity //开启spring security 自定义配置 public class WebSecurityConfig { @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http.csrf(csrf-> csrf.disable()); http.authorizeHttpRequests(auth -> auth .requestMatchers("/user/addUser").permitAll() .anyRequest().authenticated() ); return http.build(); } } 添加上面代码之后，再用postman测试，用户就正常添加进去了 我们再来看看数据库，Jon这个用户已经加进去了，而且密码123456 也是加过密的 五、小结 到此，我们已经将一个新用户添加到数据库中了，并且用户密码也做了加密处理。 以上操作，我们只是为了演示添加用户的基本操作，实际项目中会比这个复杂一些，不过原理都是一样的。 在实际的前后端分离项目中，我们还会涉及到跨域处理、统一返回结果、再插入用户之前判断用户是否存在等等。 小伙伴们，不用着急，后续课程中会慢慢补充~