今天我将我正在开发的应用程序的 Spring Security 版本从 3.1.3 升级到了 3.1.4,我注意到org.springframework.security.authentication.encoding.ShaPasswordEncoder类上有一个弃用警告。
所以我切换到新的org.springframework.security.crypto.password.StandardPasswordEncoder实现。
我让它工作了,我可以注册一个新用户并在我的应用程序中登录,但是,正如我担心的那样,我无法使用以前的 ShaPasswordEncoder 和我的自定义盐生成的密码登录。
由于我有一个已经注册了许多用户的数据库,我应该怎么做才能在不使旧编码密码失效的情况下切换实现?甚至可能吗?
如果您想切换到更安全的密码编码机制,那么我建议您使用BCrypt。我会使用这样的东西来迁移您的用户:
// Implement the old PasswordEncoder interface
public class MigrateUsersPasswordEncoder implements PasswordEncoder {
@Autowired
ShaPasswordEncoder legacyEncoder;
@Autowired
JdbcTemplate template;
BCryptPasswordEncoder bcryptEncoder = new BCryptPasswordEncoder();
@Override
public String encodePassword(String rawPass, Object salt) {
return bcryptEncoder.encode(rawPass);
}
@Override
public boolean isPasswordValid(String encPass, String rawPass, Object salt) {
if (legacyEncoder.isPasswordValid(encPass, rawPass, salt)) {
template.update("update users set password = ? where password = ?", bcryptEncoder.encode(rawPass), encPass);
return true;
}
return bcryptEncoder.matches(rawPass, encPass);
}
}
您可以通过密码字段的格式查看迁移的用户比例。BCrypt 字符串具有以$符号开头的独特语法。
其他答案之一指出,此代码可能会意外地同时更新多个密码。该问题表明正在使用自定义盐,因此如果随机选择盐,碰撞的可能性可以忽略不计,但情况可能并非总是如此。如果更新了两个密码,会出现什么问题?然后可以从 bcrypt 哈希中检测到帐户具有相同的密码。无论如何都是这样,因为它要求 SHA 哈希值相同才能进行更新。如果您认为这可能是一个问题(例如,由于盐选择不佳或什至使用了未加盐的散列),那么修改 SQL 以检测这一点并使用单独的 BCrypt 散列值执行多次更新将是微不足道的。
我试图在已接受的答案中添加评论,但可惜我还没有足够的信誉。:(
我相信接受的答案的代码片段在更新数据库中的密码时具有潜在的危险。如果 ShaPasswordEncoder 在加密时产生相同的结果(这就是假设可以找到旧密码的原因,并且我验证这绝对是正确的,至少在 ShaPasswordEncoder 上使用 null salt),您仍然不能保证密码在所有用户中是唯一的。您可能会偶然与系统上的另一个用户共享相同的密码,并且该 SQL 代码最终会更改所有碰巧拥有您密码的用户。
我认为最安全的策略是不更新用户的密码,而是提供一个迁移策略,计划最终删除 ShaPasswordEncoder。
这是一个很好的问题,我期待着阅读一些答案。
AFAIK 不可能在一次大规模更新中完成:您只是无法从哈希中检索原始字符串。您必须在登录尝试期间检查提交的密码是否与任一策略匹配,并在必要时将其转换为新策略,但这意味着您必须同时使用这两种编码策略,直到所有用户都已登录,因此所有密码都已转换。对于新加入的开发人员来说不是很方便也不一定直观。