SaltSource

SaltSource

关注
发信
关注(28)粉丝(399)

security - Spring 安全盐

我正在尝试在添加新用户/ pwd时添加盐,但文档似乎缺少如何执行此操作。

这是一个基本示例:

<authentication-manager>
    <authentication-provider user-service-ref="userDetailsService">
        <password-encoder hash="md5">
            <salt-source user-property="username"/>
        </password-encoder>
    </authentication-provider>
</authentication-manager>

通过示例可以看到,没有使用自定义盐或自定义密码编码器。

那么,在添加新用户/密码时我该如何连接Salt?我认为这将是类似的事情:
@Autowired SaltSource saltSource;
protected void foo(final CustomUser user) {
    final PasswordEncoder encoder = new Md5PasswordEncoder();
    user.setPassword(encoder.encodePassword(user.getPassword(), saltSource));
}

但是,由于我使用的是默认的盐/密码编码器,而我没有自定义的盐 bean ,因此 Autowiring 会失败。

任何线索如何使这项工作?

最佳答案

添加用户时,您不会自动连接SaltSourceSaltSource是Spring使用的抽象,用于为密码仅检查提供盐的来源。

创建正确编码的密码哈希您只需将盐本身放到PasswordEncoder-username属性的值,而不是SaltSource的值上:

private PasswordEncoder encoder = new Md5PasswordEncoder();

public User createUser(String username, String plainTextPassword) {
    User u = new User();
    u.setUsername(username);
    u.setPassword(encoder.encodePassword(plainTextPassword, username));
    getEntityManager().persist(u); // optional
    return u;
}

而且,在将SaltSource的 Autowiring 定义为内部bean之前,它不会起作用。您可以将ReflectionSaltSource定义为顶级bean,并将其ID传递给password-encoder,即:
<bean id="saltSource"
    class="org.springframework.security.authentication.dao.ReflectionSaltSource"
    p:userPropertyToUse="username" />

<bean id="passwordEncoder"
    class="org.springframework.security.authentication.encoding.Md5PasswordEncoder" />

<bean id="daoAuthenticationProvider"
    class="org.springframework.security.authentication.dao.DaoAuthenticationProvider"
    p:passwordEncoder-ref="passwordEncoder"
    p:saltSource-ref="saltSource"
    p:userDetailsService-ref="userDetailsService" />

<authentication-manager>
    <authentication-provider ref="daoAuthenticationProvider" />
</authentication-manager>

接着:
@Autowired private PasswordEncoder passwordEncoder;
@Autowired private SaltSource saltSource;

public CustomUserDetails createUser(String username, String plainTextPassword) {
    CustomUserDetails u = new CustomUserDetails();
    u.setUsername(username);
    u.setPassword(passwordEncoder.encodePassword(
            plainTextPassword, saltSource.getSalt(u)));
    getEntityNamager().persist(u); // optional
    return u;
}

09-25 21:43
Powered by LMLPHP ©2024 SaltSource 0.027052