Переключение с MD5 на BCrypt с Spring Security

Question

Пока мое приложение представляет собой хэширование пользовательских паролей с использованием простого алгоритма MD5, теперь мы внедрили Spring Security в приложение и предпочли бы вместо этого использовать BCrypt. Моя проблема: как перенести старые пароли в новый алгоритм.

1. Могу ли я предоставить несколько кодеров с паролем для обеспечения безопасности Spring, чтобы их можно было использовать по очереди?
2. После успешного входа в систему, как изменить пароль, поскольку пароль передается с использованием алгоритма SHA1?

Для проблемы 1, я считаю, что использование CustomAuthenticationProvider может работать, но я полностью смущен тем, как использовать это в нашей системе. Ниже моя configureGlobal функция из класса SecurityConfig

@Autowired 
     public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { 
      auth.jdbcAuthentication() 
        .dataSource(dataSource) 
        .passwordEncoder(passwordEncoder) 
        .usersByUsernameQuery("SELECT uname AS username, upwd AS password, true AS enabled FROM user_table WHERE uname!='' AND uname IS NOT NULL AND uname=?") 
        .authoritiesByUsernameQuery("SELECT uname AS username, 'Default' AS role FROM user_table WHERE uname!='' AND uname IS NOT NULL AND uname=?"); 
     } 

я не использовал UserDetailsService в моем приложении, и только выше запросы поступают. Я использовал CustomUsernamePasswordAuthetationFilter и CustomPasswordEncoder, если это может быть полезно в этой проблеме.

Спасибо,

Answer 1

Вы должны быть в состоянии подкласса BCryptPasswordEncoder, переопределить метод matches сначала давайте BCryptPasswordEncoder попробовать и найти матч, если матч не удается, попробуйте MD5 матч с существующим кодом. Таким образом, каждый, у кого есть BCrypt хэшированный пароль и обеспечивает правильное значение, будет быстро зарегистрирован (из-за встроенной логики BCryptPasswordEncoder). Каждый, у кого есть старый пароль MD5 и содержит правильное значение, также войдет в систему (из-за вашего пользовательского кода), но повлечет за собой дополнительное наказание за то, что он прошел через матч BCrypt. Все остальные не войдут в систему, но путь к неудаче входа в систему повлечет за собой штраф в размере MD5.

Вместо того, чтобы пытаться повторно хэш существующие пароли, это может быть лучше посоветовать пользователям изменять свои пароли, как только вы полностью перешли на BCrypt с тех пор вновь выбранные пароли будут автоматически получать хэшируются с помощью BCrypt и вы избавите себя сложность сопоставления с хешем MD5. Многие компании сделали это в прошлом, так что это не может быть таким удивительным шагом для пользователей.

Если у вас есть надежная функция «Забыл пароль», возможно, даже не будет соответствовать MD5. Вы просто разрешите пользователям входить в систему со старым хешированным паролем MD5 и попросить их использовать функциональность Forgot Password для создания новой (которая будет зашифрована с BCrypt в любом случае).