最新のリリースバージョン5春のセキュリティ、調整PasswordEncoderの実装と使用ポリシーのセキュリティの考慮事項で。
1.以前StandardPasswordEncoder、MessageDigestPasswordEncoder、もはや推奨StandardPasswordEncoder、プラス全体@Deprecatedを達成するために使用され、具体的な指示があります
推奨されるBCryptPasswordEncoder、Pbkdf2PasswordEncoder、SCryptPasswordEncoderなど
2.大きくPasswordEncoderFactoriesクラスは、委託の使用を実装PasswordEncoderを作成する静的メソッドcreateDelegatingPasswordEncoder()メソッドを提供します
実際には、このメソッドの実装では(私はそれをお勧めします、これは春のセキュリティチームだと思う)デフォルトの実装としてBCryptPasswordEncoderを使用。
3.次のように変更して暗号化塩(塩値)使用前に、通常は塩の値に、構成例を自分自身を指定:
新しい用途では、塩は記載BCryptPasswordEncoderを達成するために、(例えば、ランダムに生成された値を使用して)処理するように実装クラスによって達成されます
暗号化は、ソルト値を用いて実行またはランダムに生成するランダム、指定された強度によって生成されたときに、図示のように。
たとえば、古いパスワードの管理、および暗号化の結果として、二度あるbcryptの
$ 2A $ 10 $ OEaUDkvTlWY / BpoAL7f.H.X7Cz9x3OR3pfWv5wasidP4B7izvyRy6
$ 2A $ 10 $ BBFV5eyg4YoBLThOzi1bDO0WYDBCzcLq3ISokgzxCB / CM0YTXHrha
これはまた、塩の効果があります。
上記は、春のセキュリティ5 PasswordEncoder要約の変化を使用することで、私はあなたに役立つ願っています。
もちろん、あなたが彼らのPasswordEncoderを達成延長を申し出春のセキュリティクラスに基づいて、より安全な暗号化を使用することができます
オリジナル住所:のhttp://andaily.com/blog/ P = 927?