我想使用bcrypt和Spring安全性对用户密码进行哈希处理和加盐处理。

这是我的用户模型(我删除了无用的代码):

public class User {
  private Integer id;
  private String email;
  private String hashedPassword;
  private String salt; //I want to use this salt.
  private Boolean enabled;

  //Getters & Setters
}


这是我用自己的salt创建新用户的方式:

@Transactional
public User create(String email, String password) {
  User user = new User();
  user.setSalt(BCrypt.gensalt(12)); //Generate salt
  user.setEnabled(true);
  user.setEmail(email);
  user.setHashedPassword(BCrypt.hashpw(password, user.getSalt()));
  return dao.persist(user);
}


这是弹簧配置:

<beans:bean id="userService"  class="com.mycompany.service.UserService"/>
<beans:bean id="myCustomUserDetailService" class="com.mycompany.service.MyCustomUserDetailService"/>
<beans:bean id="bcryptEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

<beans:bean id="saltSource" class="org.springframework.security.authentication.dao.ReflectionSaltSource">
    <beans:property name="userPropertyToUse" value="salt"/>
</beans:bean>

<authentication-manager>
  <authentication-provider user-service-ref="myCustomUserDetailService">
    <password-encoder ref="bcryptEncoder">
      <salt-source ref="saltSource"/>
    </password-encoder>
  </authentication-provider>
</authentication-manager>


在此配置中,我指出PasswordEncoder必须使用User.getSalt()

问题:我收到以下错误500:


  与加密模块PasswordEncoder一起使用时,salt值必须为null。


在查看stackoverflow之后,盐似乎必须为空,因为BCryptPasswordEncoder使用其自己的SaltSource。


有没有办法使用我的SaltSource?要么
哪种可靠算法允许我的SaltSource


谢谢。

最佳答案

回答第一个问题:

BCryptPasswordEncoder具有hardcoded盐源(Bcrypt.getsalt)。
因此,不可能强制BCryptPasswordEncoder使用其他盐源。
但是,您可以尝试将其子类化,并添加自定义的salt属性。

09-19 06:14