如何在不中断服务的情况下,通过Spring Security的DelegatingPasswordEncoder无缝切换用户密码哈希策略?
- 内容介绍
- 文章标签
- 相关推荐
本文共计863个文字,预计阅读时间需要4分钟。
可以做到,关键不是换算方法,而是让新旧密码格式共存并自动识别——DelegatingPasswordEncoder就是为此设计的。它不强制统一格式,而是根据前缀+{id}区分使用哪种解码器验证。
为什么直接替换 BCryptPasswordEncoder 会失败
如果把全局 PasswordEncoder 直接换成新的 BCryptPasswordEncoder(12),所有旧密码(比如用 BCryptPasswordEncoder(10) 或 MD5 存的)都会验证失败,因为哈希值不可逆、也无法跨参数比对。
- 用户登录时,框架拿新编码器去验旧哈希,必然
matches()返回false - 数据库里没存原始密码,无法批量重算
- 强制要求用户改密码才能登录,等于变相停服
DelegatingPasswordEncoder 的工作方式
它本身不加密,只看密码字符串开头的 {id} 前缀,再查表选对应编码器做验证。
本文共计863个文字,预计阅读时间需要4分钟。
可以做到,关键不是换算方法,而是让新旧密码格式共存并自动识别——DelegatingPasswordEncoder就是为此设计的。它不强制统一格式,而是根据前缀+{id}区分使用哪种解码器验证。
为什么直接替换 BCryptPasswordEncoder 会失败
如果把全局 PasswordEncoder 直接换成新的 BCryptPasswordEncoder(12),所有旧密码(比如用 BCryptPasswordEncoder(10) 或 MD5 存的)都会验证失败,因为哈希值不可逆、也无法跨参数比对。
- 用户登录时,框架拿新编码器去验旧哈希,必然
matches()返回false - 数据库里没存原始密码,无法批量重算
- 强制要求用户改密码才能登录,等于变相停服
DelegatingPasswordEncoder 的工作方式
它本身不加密,只看密码字符串开头的 {id} 前缀,再查表选对应编码器做验证。