spring密码加密

㈠ 单点登录JWT与Spring Security OAuth

通过 JWT 配合 Spring Security OAuth2 使用的方式，可以避免 每次请求 都 远程调度 认证授权服务。 资源服务器 只需要从 授权服务器 验证一次，返回 JWT。返回的 JWT 包含了 用户 的所有信息，包括 权限信息 。

1. 什么是JWT

jsON Web Token（JWT）是一种开放的标准（RFC 7519），JWT 定义了一种 紧凑 且 自包含 的标准，旨在将各个主体的信息包装为 JSON 对象。 主体信息 是通过 数字签名 进行 加密 和 验证 的。经常使用 HMAC 算法或 RSA（ 公钥 / 私钥 的 非对称性加密 ）算法对 JWT 进行签名， 安全性很高 。

2. JWT的结构

JWT 的结构由三部分组成：Header（头）、Payload（有效负荷）和 Signature（签名）。因此 JWT 通常的格式是 xxxxx.yyyyy.zzzzz。

2.1. Header

Header 通常是由 两部分 组成：令牌的 类型 （即 JWT）和使用的 算法类型 ，如 HMAC、SHA256 和 RSA。例如:

将 Header 用 Base64 编码作为 JWT 的 第一部分 ，不建议在 JWT 的 Header 中放置 敏感信息 。

2.2. Payload

下面是 Payload 部分的一个示例：

将 Payload 用 Base64 编码作为 JWT 的 第二部分 ，不建议在 JWT 的 Payload 中放置 敏感信息 。

2.3. Signature

要创建签名部分，需要利用 秘钥 对 Base64 编码后的 Header 和 Payload 进行 加密 ，加密算法的公式如下：

签名 可以用于验证 消息 在 传递过程 中有没有被更改。对于使用 私钥签名 的 token，它还可以验证 JWT 的 发送方 是否为它所称的 发送方 。

3. JWT的工作方式

客户端 获取 JWT 后，对于以后的 每次请求 ，都不需要再通过 授权服务 来判断该请求的 用户 以及该 用户的权限 。在微服务系统中，可以利用 JWT 实现 单点登录 。认证流程图如下：

4. 案例工程结构

工程原理示意图如下:

5. 构建auth-service授权服务

UserServiceDetail.java

UserRepository.java

实体类 User 和上一篇文章的内容一样，需要实现 UserDetails 接口，实体类 Role 需要实现 GrantedAuthority 接口。

User.java

Role.java

jks 文件的生成需要使用 Java keytool 工具，保证 Java 环境变量没问题，输入命令如下：

其中，-alias 选项为 别名 ，-keyalg 为 加密算法 ，-keypass 和 -storepass 为 密码选项 ，-keystore 为 jks 的 文件名称 ，-validity 为配置 jks 文件 过期时间 （单位：天）。

生成的 jks 文件作为 私钥 ，只允许 授权服务 所持有，用作 加密生成 JWT。把生成的 jks 文件放到 auth-service 模块的 src/main/resource 目录下即可。

对于 user-service 这样的 资源服务 ，需要使用 jks 的 公钥 对 JWT 进行 解密 。获取 jks 文件的 公钥 的命令如下：

这个命令要求安装 openSSL 下载地址，然后手动把安装的 openssl.exe 所在目录配置到 环境变量 。

输入密码 fzp123 后，显示的信息很多，只需要提取 PUBLIC KEY，即如下所示：

新建一个 public.cert 文件，将上面的 公钥信息 复制到 public.cert 文件中并保存。并将文件放到 user-service 等 资源服务 的 src/main/resources 目录下。至此 auth-service 搭建完毕。

maven 在项目编译时，可能会将 jks 文件 编译 ，导致 jks 文件 乱码 ，最后不可用。需要在 pom.xml 文件中添加以下内容：

6. 构建user-service资源服务

注入 JwtTokenStore 类型的 Bean，同时初始化 JWT 转换器 JwtAccessTokenConverter，设置用于解密 JWT 的 公钥 。

配置 资源服务 的认证管理，除了 注册 和 登录 的接口之外，其他的接口都需要 认证 。

新建一个配置类 GlobalMethodSecurityConfig，通过 @EnableGlobalMethodSecurity 注解开启 方法级别 的 安全验证 。

拷贝 auth-service 模块的 User、Role 和 UserRepository 三个类到本模块。在 Service 层的 UserService 编写一个 插入用户 的方法，代码如下：

配置用于用户密码 加密 的工具类 BPwdEncoderUtil：

实现一个 用户注册 的 API 接口 /user/register，代码如下：

在 Service 层的 UserServiceDetail 中添加一个 login() 方法，代码如下：

AuthServiceClient 作为 Feign Client，通过向 auth-service 服务接口 /oauth/token 远程调用获取 JWT。在请求 /oauth/token 的 API 接口中，需要在 请求头 传入 Authorization 信息， 认证类型 ( grant_type )、用户名 ( username ) 和 密码 ( password )，代码如下：

其中，AuthServiceHystrix 为 AuthServiceClient 的 熔断器 ，代码如下：

JWT 包含了 access_token、token_type 和 refresh_token 等信息，代码如下：

UserLoginDTO 包含了一个 User 和一个 JWT 成员属性，用于返回数据的实体：

登录异常类 UserLoginException

全局异常处理 切面类 ExceptionHandle

在 Web 层的 UserController 类中新增一个登录的 API 接口 /user/login 如下：

依次启动 eureka-service，auth-service 和 user-service 三个服务。

7. 使用Postman测试

因为没有权限，访问被拒绝。在数据库手动添加 ROLE_ADMIN 权限，并与该用户关联。重新登录并获取 JWT，再次请求 /user/foo 接口。

在本案例中，用户通过 登录接口 来获取 授权服务 加密后的 JWT。用户成功获取 JWT 后，在以后每次访问 资源服务 的请求中，都需要携带上 JWT。 资源服务 通过 公钥解密 JWT， 解密成功 后可以获取 用户信息 和 权限信息 ，从而判断该 JWT 所对应的 用户 是谁，具有什么 权限 。

获取一次 Token，多次使用， 资源服务 不再每次访问 授权服务 该 Token 所对应的 用户信息 和用户的 权限信息 。

一旦 用户信息 或者 权限信息 发生了改变，Token 中存储的相关信息并 没有改变 ，需要 重新登录 获取新的 Token。就算重新获取了 Token，如果原来的 Token 没有过期，仍然是可以使用的。一种改进方式是在登录成功后，将获取的 Token 缓存 在 网关上 。如果用户的 权限更改 ，将 网关 上缓存的 Token 删除 。当请求经过 网关 ，判断请求的 Token 在 缓存 中是否存在，如果缓存中不存在该 Token，则提示用户 重新登录 。

㈡ spring提供的几种密码加密方式

第一种：不使用任何加密方式的配置

[html]view plain

• <beanid="AuthenticationProvider"

• class="org.acegisecurity.providers..DaoAuthenticationProvider">

• <propertyname="userDetailsService"ref="userDetailsService"/>

• <!--明文加密，不使用任何加密算法,在不指定该配置的情况下，Acegi默认采用的就是明文加密-->

• <!--<propertyname="passwordEncoder"><beanclass="org.acegisecurity.providers.encoding.PlaintextPasswordEncoder">

• <propertyname="ignorePasswordCase"value="true"></property></bean></property>-->

• </bean>


第二种：MD5方式加密



[html]view plain

• <beanid="AuthenticationProvider"class="org.acegisecurity.providers..DaoAuthenticationProvider">

• <propertyname="userDetailsService"ref="userDetailsService"/>

• <propertyname="passwordEncoder">

• <beanclass="org.acegisecurity.providers.encoding.Md5PasswordEncoder">

• <!--false表示：生成32位的Hex版,这也是encodeHashAsBase64的,Acegi默认配置;true表示：生成24位的Base64版-->

• <propertyname="encodeHashAsBase64"value="false"/>

• </bean>

• </property>

• </bean>


第三种：使用MD5加密，并添加全局加密盐



Java代码

[html]view plain

• <beanid="AuthenticationProvider"class="org.acegisecurity.providers..DaoAuthenticationProvider">

• <propertyname="userDetailsService"ref="userDetailsService"/>

• <propertyname="passwordEncoder">

• <beanclass="org.acegisecurity.providers.encoding.Md5PasswordEncoder">

• <propertyname="encodeHashAsBase64"value="false"/>

• </bean>

• </property>

• <!--对密码加密算法中使用特定的加密盐及种子-->

• <propertyname="saltSource">

• <beanclass="org.acegisecurity.providers..salt.SystemWideSaltSource">

• <propertyname="systemWideSalt"value="acegisalt"/>

• </bean>

• </property>

• </bean>


第四种：使用MD5加密，并添加动态加密盐

[html]view plain

• <beanid="AuthenticationProvider"class="org.acegisecurity.providers..DaoAuthenticationProvider">

• <propertyname="userDetailsService"ref="userDetailsService"/>

• <propertyname="passwordEncoder">

• <beanclass="org.acegisecurity.providers.encoding.Md5PasswordEncoder">

• <propertyname="encodeHashAsBase64"value="false"/>

• </bean>

• </property>

• <!--对密码加密算法中使用特定的加密盐及种子-->

• <propertyname="saltSource">

• <!--通过动态的加密盐进行加密，该配置通过用户名提供加密盐,通过UserDetails的getUsername()方式-->

• <beanclass="org.acegisecurity.providers..salt.ReflectionSaltSource">

• <propertyname="userPropertyToUse"value="getUsername"/>

• </bean>

• </property>

• </bean>

第五种：使用哈希算法加密，加密强度为256

[html]view plain

• <beanid="AuthenticationProvider"class="org.acegisecurity.providers..DaoAuthenticationProvider">

• <propertyname="userDetailsService"ref="userDetailsService"/>

• <propertyname="passwordEncoder">

• <beanclass="org.acegisecurity.providers.encoding.ShaPasswordEncoder">

• <constructor-argvalue="256"/>

• <propertyname="encodeHashAsBase64"value="false"/>

• </bean>

• </property>

• </bean>

第六种：使用哈希算法加密，加密强度为SHA-256


[html]view plain

• <beanid="AuthenticationProvider"class="org.acegisecurity.providers..DaoAuthenticationProvider">

• <propertyname="userDetailsService"ref="userDetailsService"/>

• <propertyname="passwordEncoder">

• <beanclass="org.acegisecurity.providers.encoding.ShaPasswordEncoder">

• <constructor-argvalue="SHA-256"/>

• <propertyname="encodeHashAsBase64"value="false"/>

• </bean>

• </property>

• </bean>


上述配置只是在Acegi通过表单提交的用户认证信息中的密码做各种加密操作。而我们存储用户密码的时候，可以通过一下程序完成用户密码操作：



[java]view plain

• packageorg.hz.test;

• importjava.security.NoSuchAlgorithmException;

• importorg.springframework.security.authentication.encoding.Md5PasswordEncoder;

• importorg.springframework.security.authentication.encoding.ShaPasswordEncoder;

• publicclassMD5Test{

• publicstaticvoidmd5(){

• Md5PasswordEncodermd5=newMd5PasswordEncoder();

• //false表示：生成32位的Hex版,这也是encodeHashAsBase64的,Acegi默认配置;true表示：生成24位的Base64版

• md5.setEncodeHashAsBase64(false);

• Stringpwd=md5.encodePassword("1234",null);

• System.out.println("MD5:"+pwd+"len="+pwd.length());

• }

• publicstaticvoidsha_256(){

• ShaPasswordEncodersha=newShaPasswordEncoder(256);

• sha.setEncodeHashAsBase64(true);

• Stringpwd=sha.encodePassword("1234",null);

• System.out.println("哈希算法256:"+pwd+"len="+pwd.length());

• }

• publicstaticvoidsha_SHA_256(){

• ShaPasswordEncodersha=newShaPasswordEncoder();

• sha.setEncodeHashAsBase64(false);

• Stringpwd=sha.encodePassword("1234",null);

• System.out.println("哈希算法SHA-256:"+pwd+"len="+pwd.length());

• }

• publicstaticvoidmd5_SystemWideSaltSource(){

• Md5PasswordEncodermd5=newMd5PasswordEncoder();

• md5.setEncodeHashAsBase64(false);

• //使用动态加密盐的只需要在注册用户的时候将第二个参数换成用户名即可

• Stringpwd=md5.encodePassword("1234","acegisalt");

• System.out.println("MD5SystemWideSaltSource:"+pwd+"len="+pwd.length());

• }

• publicstaticvoidmain(String[]args){

• md5();//使用简单的MD5加密方式

• sha_256();//使用256的哈希算法(SHA)加密

• sha_SHA_256();//使用SHA-256的哈希算法(SHA)加密

• md5_SystemWideSaltSource();//使用MD5再加全局加密盐加密的方式加密

• }

• }

㈢ spring+mybatis数据源密码怎样加密有没有必要

不需要加密，可以直接放置在spring配置文件中，也可以定义应用程序服务器数据源，spring利用jndi数据源

㈣ Spring Boot 业务逻辑层

关于业务逻辑层（Service层）

业务逻辑层是被Controller直接调用的层（Controller不允许直接调用持久层），通常，在业务逻辑层中编写的代码是为了 保证数据的完整性和安全性 ，使得数据是随着我们设定的规则而产生或发生变化。

通常，在业务逻辑层的代码会由接口和实现类组件，其中， 接口被视为是必须的

关于抛出的异常，通常是自定义的异常，并且， 自定义异常 通常是`RuntimeException`的子类，主要原因：

所以，在实际编写业务逻辑层之前，应该先规划异常，例如先创建` ServiceException `类：

接下来，再创建具体的对应某种“失败”的异常，例如，在添加管理员时，可能因为“用户名已经存在”而失败，则创建对应的 `UsernameDuplicateException`异常 ：

另外，当插入数据时，如果返回的受影响行数不是1时，必然是某种错误，则 创建对应的插入数据异常 ：

关于抽象方法的参数，应该设计为客户端提交的数据类型或对应的封装类型，不可以是数据表对应的实体类型！如果使用封装的类型，这种类型在类名上应该添加某种后缀，例如` DTO`或其它后缀 ，例如：

并在以上`service`包下创建`impl`子包，再创建`AdminServiceImpl`类：

以上代码未实现对密码的加密处理！ 关于密码加密 ，相关的代码应该定义在别的某个类中，不应该直接将加密过程编写在以上代码中，因为加密的代码需要在多处应用（添加用户、用户登录、修改密码等），并且，从分工的角度上来看，也不应该是业务逻辑层的任务！所以，在`cn.celinf.boot.demo.util`（包不存在，则创建）下创建`PasswordEncoder`类，用于处理密码加密：

完成后，需要在`AdminServiceImpl`中自动装配以上`PasswordEncoder`，并在需要加密时调用`PasswordEncoder`对象的`encode()`方法。

控制器层开发

Spring MVC是用于处理控制器层开发的，在使用Spring Boot时，在`pom.xml`中添加`spring-boot-starter-web`即可整合Spring MVC框架及相关的常用依赖项（包含`jackson-databind`），可以将已存在的`spring-boot-starter`直接改为`spring-boot-starter-web`，因为在`spring-boot-starter-web`中已经包含了`spring-boot-starter`。

先在项目的根包下创建`controller`子包，并在此子包下创建`AdminController`，此类应该添加 `@RestController` 和` @RequestMapping (value = "/admins", proces = "application/json; charset=utf-8")`注解，例如：

由于已经决定了服务器端响应时，将响应JSON格式的字符串，为保证能够响应JSON格式的结果，处理请求的方法返回值应该是自定义的数据类型，则从此前学习的`spring-mvc`项目中找到`JsonResult`类及相关类型，复制到当前项目中来。

完成后，运行启动类，即可启动整个项目，在`spring-boot-starter-web`中，包含了Tomcat的依赖项，在启动时，会自动将当前项目打包并部署到此Tomcat上，所以，执行启动类时，会执行此Tomcat，同时，因为是内置的Tomcat，只为当前项目服务，所以，在将项目部署到Tomcat时，默认已经将Context Path（例如spring_mvc_war_exploded）配置为空字符串，所以，在启动项目后，访问的URL中并没有此前遇到的Context Path值。

当项目启动成功后，即可在浏览器的地址栏中输入网址进行测试访问！

【注意】 ：如果是未添加的管理员账号，可以成功执行结束，如果管理员账号已经存在，由于尚未处理异常，会提示500错误。

然后，在`cn.celinf.boot.demo.controller`下创建`handler.GlobalExceptionHandler`类，用于统一处理异常，例如：

完成后，重新启动项目，当添加管理员时的用户名没有被占用时，将正常添加，当用户名已经被占用时，会根据处理异常的结果进行响应！

由于在 统一处理异常的机制下 ，同一种异常，无论是在哪种业务中出现，处理异常时的描述信息都是完全相同的，也无法精准的表达错误信息，这是不合适的！另外，基于面向对象的“分工”思想，关于错误信息（异常对应的描述信息），应该是由Service来描述，即“谁抛出谁描述”，因为抛出异常的代码片段是最了解、最明确出现异常的原因的！

为了更好的描述异常的原因，应该在自定义的`ServiceException`和其子孙类异常中添加基于父类的全部构造方法（5个），然后，在`AdminServiceImpl`中，当抛出异常时，可以在异常的构造方法中添加`String`类型的参数，对异常发生的原因进行描述，例如：

最后，在处理异常时，可以 调用异常对象的`getMessage()`方法获取抛出时封装的描述信息 ，例如：

完成后，再次重启项目，当用户名已经存在时，可以显示在Service中描述的错误信息！

可以看到，无论是成功还是失败， 响应的JSON中都包含了不必要的数据 （为`null`的数据），这些数据属性是没有必要响应到客户端的，如果需要去除这些不必要的值，可以在对应的属性上使用注解进行配置，例如：

此注解还可以添加在类上，则作用于当前类中所有的属性，例如：

即使添加在类上，也只对当前类的3个属性有效，后续，当响应某些数据时，`data`属性可能是用户、商品、订单等类型，这些类型的 数据中为`null`的部分依然会被响应到客户端 去，所以，还需要对这些类型也添加相同的注解配置！

以上做法相对比较繁琐，可以在`application.properties` / `application.yml`中添加全局配置，则作用于当前项目中所有响应时涉及的类，例如在`properties`中配置为：

注意：当你需要在`yml`中添加以上配置时，前缀属性名可能已经存在，则不允许出现重复的前缀属性名的：

最后，以上配置只是“默认”配置，如果在某些类型中还有不同的配置需求，仍可以在类或属性上通过 `@JsonInclude`进行配置 。

15. 解决跨域问题

在使用前后端分离的开发模式下，前端项目和后端项目可能是2个完全不同的项目，并且，各自己独立开发，独立部署，在这种做法中，如果前端直接向后端发送异步请求，默认情况下，在前端会出现类似以下错误：

以上错误信息的关键字是`CORS`，通常称之为 “跨域问题” 。

在基于Spring MVC框架的项目中，当需要解决跨域问题时，需要一个Spring MVC的配置类（实现了`WebMvcConfigurer`接口的类），并重写其中的方法，以允许指定条件的跨域访问，例如：

16. 关于客户端提交请求参数的格式

通常，客户端向服务器端发送请求时，请求参数可以有2种形式，第1种是直接通过`&`拼接各参数与值，例如：

具体使用哪种做法，取决于服务器端的设计：

- 如果服务器端处理请求的方法中，在参数前添加了`@RequestBody`，则允许使用以上第2种做法（JSON数据）提交请求参数，不允许使用以上第1种做法（使用`&`拼接）

- 如果没有使用 `@RequestBody`，则只能使用以上第1种做法