如何在 Spring MVC 中实现胡椒

Question

我试图确保我的应用程序的安全，当我告诉自己应该实施辣椒时，这样密码是安全的。我还没有真正找到任何使用 spring-security 框架的解决方案，所以我想问一下是否可能。

Answer 1

根据 Spring Security >特点>>认证>密码存储
，Spring Security 提供了许多内置方法来对密码存储中的密码进行编码。事实上，您可以实现自己的编码方案。

查看现有的StandardPasswordEncoderjavadoc 我们看到它被描述为将密码、盐和秘密组合到加密哈希函数 (SHA-256) 的输入中。该秘密可以是“系统范围的”或特定于编码器的。您可以直接使用此类，也可以克隆并修改它。

但是

Spring 已弃用 StandardPasswordEncoder 类。根据他们的说法，对加盐密码进行哈希处理的方法是不安全的，即使您添加了秘密；例如“辣椒”。

根据他们的说法，更安全的方法是使用计算成本非常高（即速度慢）的函数来进行散列。他们提供了许多以这种方式工作的编码器；例如BCryptPasswordEncoder、Argon2PasswordEncoder、Pbkdf2PasswordEncoder和SCryptPasswordEncoder。

所以我的建议是：

1. 不要使用StandardPasswordEncoder。它已被弃用。

2. 不要尝试推出自己的基于椒盐的 Spring 密码编码方案。除了此类方案的系统弱点（这就是 StandardPasswordEncoder 被弃用的原因）之外，您还面临着由于您自己的实现中的缺陷而注入额外弱点的风险；例如“pepper”秘密的处理。

3. 一定要使用 Spring 工程师开发、测试和支持的替代方案之一（见上文）。