1. 为什么需要替换若依框架的默认加密算法很多开发者第一次接触若依框架时会发现系统默认使用BCryptPasswordEncoder进行密码加密。这个来自Spring Security的标准实现确实能满足大部分场景需求——它采用随机盐值、自动迭代哈希次数能有效防御彩虹表攻击。但在实际企业级开发中我们经常会遇到需要替换默认加密算法的情况。去年我在给某金融机构做系统升级时就碰到典型场景他们的安全规范要求必须使用国密SM3算法进行密码哈希。类似的需求还包括需要兼容历史系统的MD5/SHA-1加密数据虽然不推荐但现实存在企业有自定义的加密规范如混合加密特定盐值规则需要支持密码强度校验等附加功能这时候就需要理解若依的密码校验机制。框架通过SecurityConfig中的DaoAuthenticationProvider实现认证流程关键点在于用户提交的明文密码会经过PasswordEncoder加密加密结果与数据库存储的密文比对整个过程对业务代码透明这也是很多开发者找不到校验代码的原因2. 自定义PasswordEncoder的实现要点要实现自己的加密逻辑需要创建实现PasswordEncoder接口的类。这个接口只有两个核心方法public interface PasswordEncoder { String encode(CharSequence rawPassword); boolean matches(CharSequence rawPassword, String encodedPassword); }以国密SM3实现为例典型代码结构如下import org.springframework.security.crypto.password.PasswordEncoder; import org.bouncycastle.crypto.digests.SM3Digest; public class SM3PasswordEncoder implements PasswordEncoder { private static final int SALT_LENGTH 8; Override public String encode(CharSequence rawPassword) { byte[] salt generateSalt(); byte[] hash sm3Hash(rawPassword.toString().getBytes(), salt); return Hex.encodeHexString(salt) Hex.encodeHexString(hash); } Override public boolean matches(CharSequence rawPassword, String encodedPassword) { byte[] salt Hex.decodeHex(encodedPassword.substring(0, SALT_LENGTH*2)); byte[] storedHash Hex.decodeHex(encodedPassword.substring(SALT_LENGTH*2)); byte[] computedHash sm3Hash(rawPassword.toString().getBytes(), salt); return Arrays.equals(storedHash, computedHash); } private byte[] generateSalt() { byte[] salt new byte[SALT_LENGTH]; new SecureRandom().nextBytes(salt); return salt; } private byte[] sm3Hash(byte[] input, byte[] salt) { SM3Digest digest new SM3Digest(); digest.update(salt, 0, salt.length); digest.update(input, 0, input.length); byte[] hash new byte[digest.getDigestSize()]; digest.doFinal(hash, 0); return hash; } }几个关键实现细节盐值处理建议使用SecureRandom生成随机盐与哈希结果拼接存储算法选择如使用国密算法需要引入BouncyCastle依赖编码方式示例中使用Hex编码实际也可用Base64性能考量适当增加迭代次数提升安全性如SM3迭代1000次3. SecurityConfig的关键配置修改在若依框架中加密算法的切换主要涉及两个地方的修改Configuration EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { // 移除原有的BCrypt配置 // Bean // public BCryptPasswordEncoder bCryptPasswordEncoder() { // return new BCryptPasswordEncoder(); // } // 新增自定义编码器 Bean public PasswordEncoder passwordEncoder() { return new SM3PasswordEncoder(); } Bean public DaoAuthenticationProvider authenticationProvider() { DaoAuthenticationProvider authProvider new DaoAuthenticationProvider(); authProvider.setUserDetailsService(userDetailsService); authProvider.setPasswordEncoder(passwordEncoder()); // 注入自定义编码器 return authProvider; } }注意点Bean名称建议保持passwordEncoder这个标准命名避免其他组件依赖时出错依赖顺序确保PasswordEncoder在AuthenticationProvider之前初始化测试验证修改后务必测试以下场景新用户注册流程密码修改功能用户登录认证记住我功能如果启用4. 关联业务逻辑的同步调整很多开发者只改了SecurityConfig就觉得大功告成其实还有几个关键位置需要同步修改用户注册逻辑// 在SysUserServiceImpl中 public boolean registerUser(SysUser user) { user.setPassword(passwordEncoder.encode(user.getPassword())); return save(user); }密码重置功能// 在SysProfileServiceImpl中 public int resetPwd(String oldPassword, String newPassword) { LoginUser loginUser SecurityUtils.getLoginUser(); String storedPassword loginUser.getPassword(); if (!passwordEncoder.matches(oldPassword, storedPassword)) { throw new ServiceException(旧密码错误); } if (passwordEncoder.matches(newPassword, storedPassword)) { throw new ServiceException(新密码不能与旧密码相同); } return userMapper.resetUserPwd(loginUser.getUsername(), passwordEncoder.encode(newPassword)); }数据导入处理// 在Excel导入处理类中 public void processPassword(SysUser user) { if (StringUtils.isNotEmpty(user.getPassword())) { user.setPassword(passwordEncoder.encode(user.getPassword())); } else { user.setPassword(passwordEncoder.encode(default123)); } }特别提醒三个易错点默认密码处理系统自动生成的初始密码也需要加密测试数据准备单元测试中的测试密码要用新算法生成历史数据迁移如果是从其他系统迁移用户需要编写数据转换脚本5. 常见问题排查指南在实际改造过程中我遇到过不少坑这里分享几个典型问题的解决方法问题1登录时提示Bad credentials检查AuthenticationProvider是否注入了正确的PasswordEncoder确认数据库密码是用新算法生成的可通过单元测试验证问题2密码修改后无法登录检查密码修改逻辑是否跳过了加密步骤确认前端没有做额外的加密处理如某些框架会默认MD5预处理问题3性能明显下降复杂的加密算法可能影响性能建议使用缓存优化调整算法迭代次数考虑异步加密方案问题4与第三方系统集成异常如果其他系统依赖密码校验提供密码验证API或维护新旧算法过渡期或同步更新所有关联系统记得在完成改造后至少需要执行以下验证新用户注册流程测试密码修改功能测试用户登录认证测试记住我功能测试如启用密码强度校验测试如有