Spring安全密码哈希+盐

Question

我正在使用一个以明文形式存储密码的遗留应用程序。我已将应用程序移植到 spring 3 mvc + security。我还成功地让 spring security 使用 sha256 + 基于用户名的盐来处理身份验证和授权。这一切都很好，但是作为部署的一部分，我需要迁移现有数据库以使用新的密码架构。我不确定 Spring Security 如何使用盐对密码进行哈希处理，因此我无法编写可用于将旧的明文密码迁移到新的 sha256+salt 模式的 SQL 脚本。我可以使用任何文档或资源来解决这个问题吗？

Answer 1

这记录在 BasePasswordEncoder：

生成的密码将采用password{salt}的形式。

因此，在您的情况下，您可以使用以下简单的代码计算加盐密码：

new ShaPasswordEncoder(256).encodePassword(oldPassword, randomSalt)

注意： ShaPasswordEncoder 扩展 BasePasswordEncoder。

Answer 2

1. 如果您使用默认密码编码，则 源代码似乎很有用。 （选择适合您正在使用的版本的分支）。
2. 您可以实现自己的密码编码器并定义盐的使用方式。