Шифрування паролів за допомогою BCryptPasswordEncoder

Коли мова заходить про паролі, важливо пам'ятати два ключові моменти:

1. Паролі — це дуже особисті дані. Якщо твій сервер буде скомпрометований, витік паролів може призвести не тільки до злому твого додатку, але й інших сервісів користувачів, якщо вони використовують ті ж самі паролі — а це дуже типово.
2. Паролі не повинні бути "видимими". Ніколи, ніколи не зберігай паролі в базі даних у "чистому" вигляді. Це приблизно так само погано, як забути return у конструкції if. Навіть якщо ти думаєш, що сервер захищений, завжди обробляй паролі так, ніби витік неминучий.

Тому ми їх не зберігаємо. Ми зберігаємо лише їхні хеші.

Що таке хешування?

Ти вже зустрічався з хешуванням і хеш-таблицями під час вивчення Java. Проте нагадаю: хешування — це односпрямований процес, який перетворює рядок (наприклад, пароль) у фіксований рядок символів з використанням певного алгоритму. Наприклад:

• Пароль: password123
• Хеш (наприклад, через MD5): 482c811da5d5b4bc6d497ffa98491e38

Хешування необоротне, тобто з хешу не можна відновити текст пароля. Навіщо тоді хеш? Коли користувач вводить пароль, ми хешуємо його знову і порівнюємо з збереженим хешем.

Але є проблема…

Чому простих хешів недостатньо?

Сучасні комп'ютери такі потужні, що можуть перераховувати мільйони хешів за секунду. Навіть якщо ти використовуєш MD5, зловмисники можуть відновити пароль через атаки по "словнику" або простий перебір.

Ось чому нам потрібна "сіль" (від англ. salt) — випадкові дані, які додаються до пароля перед хешуванням. Це як унікальний підпис для кожного пароля.

BCrypt — сучасний охоронець паролів

BCrypt створили спеціально для надійного зберігання паролів. Чому він такий крутий?

• Вбудована "сіль" — автоматично додає випадкові дані до кожного пароля. Навіть якщо двоє користувачів виберуть пароль "123456", їхні хеші будуть зовсім різними.
• Розумне сповільнення — навмисно робить процес хешування трохи повільнішим. Для одного пароля це непомітно, але перебір мільйонів варіантів стає дуже тривалим.
• Росте разом з технологіями — можна збільшувати складність хешування в міру зростання потужності комп'ютерів.

Spring Security дає всю цю захист через простий клас BCryptPasswordEncoder. Одна стрічка коду — і твої паролі під надійним захистом!

BCryptPasswordEncoder в дії

Додаємо залежність

Ймовірно, у тебе вже є залежність Spring Security, але якщо її немає, додай цей рядок у pom.xml твого проєкту:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

Тепер у твоєму арсеналі є BCryptPasswordEncoder.

Хешування пароля

Напишемо невеликий приклад. Припустимо, нам потрібно зареєструвати користувача з паролем:

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

public class PasswordHashingExample {
    public static void main(String[] args) {
        // Створюємо об'єкт BCryptPasswordEncoder
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();

        // Початковий пароль
        String rawPassword = "my_secure_password";

        // Хешуємо пароль
        String encodedPassword = passwordEncoder.encode(rawPassword);

        // Виводимо захешований пароль
        System.out.println("Захешований пароль: " + encodedPassword);
    }
}

Приклад виводу:

Захешований пароль: $2a$10$Dow7EvhZyJ1NPo6QK9j.K.uZt6WbV1g3DQQu7GptucjPnlzxFJq9e

Перевірка пароля

Коли користувач намагається увійти, треба порівняти введений пароль з збереженим хешем:

public class PasswordVerificationExample {
    public static void main(String[] args) {
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();

        // Захешований пароль, який ми зберігаємо (наприклад, у базі даних)
        String storedPasswordHash = "$2a$10$Dow7EvhZyJ1NPo6QK9j.K.uZt6WbV1g3DQQu7GptucjPnlzxFJq9e";

        // Пароль, введений користувачем
        String enteredPassword = "my_secure_password";

        // Порівнюємо
        boolean isPasswordMatch = passwordEncoder.matches(enteredPassword, storedPasswordHash);

        System.out.println("Паролі співпадають? " + isPasswordMatch);
    }
}

Ось і все: за допомогою matches ти можеш перевірити відповідність пароля за лічені мілісекунди.

Інтеграція зі Spring Security

Давай тепер поєднаємо вивчене з нашим додатком Spring Boot.

Конфігурація BCryptPasswordEncoder як біна

Додамо бин у конфігураційний клас:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
public class SecurityConfig {

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

Чому бин? Бо більшість компонентів Spring Security, наприклад обробка реєстрації й аутентифікації користувачів, автоматично використовують цей бин для шифрування й перевірки паролів.

Приклад використання в UserDetailsService

Припустимо, у нас є кастомна реалізація UserDetailsService, яка завантажує дані про користувача з бази даних:

import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Service;

@Service
public class CustomUserDetailsService implements UserDetailsService {

    private final UserRepository userRepository;
    private final PasswordEncoder passwordEncoder;

    public CustomUserDetailsService(UserRepository userRepository, PasswordEncoder passwordEncoder) {
        this.userRepository = userRepository;
        this.passwordEncoder = passwordEncoder;
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username)
                .orElseThrow(() -> new UsernameNotFoundException("User not found"));

        return org.springframework.security.core.userdetails.User.builder()
                .username(user.getUsername())
                .password(user.getPassword()) // Захешований пароль з БД
                .roles(user.getRoles().toArray(new String[0]))
                .build();
    }

    public void registerUser(String username, String rawPassword) {
        String encodedPassword = passwordEncoder.encode(rawPassword);
        userRepository.save(new User(username, encodedPassword));
    }
}

Зверни увагу, що під час реєстрації ми використовуємо passwordEncoder.encode(rawPassword).

Практика: реєстрація та вхід користувача

Тепер створимо простий додаток, який дозволяє користувачу зареєструватися й увійти. Ось основні кроки:

контролер реєстрації

Додаємо REST-ендпоінт для реєстрації:

import org.springframework.http.HttpStatus;
import org.springframework.web.bind.annotation.*;

@RestController
@RequestMapping("/auth")
public class AuthController {

    private final CustomUserDetailsService userDetailsService;

    public AuthController(CustomUserDetailsService userDetailsService) {
        this.userDetailsService = userDetailsService;
    }

    @PostMapping("/register")
    @ResponseStatus(HttpStatus.CREATED)
    public String registerUser(@RequestParam String username, @RequestParam String password) {
        userDetailsService.registerUser(username, password);
        return "Користувач успішно зареєстрований!";
    }
}

Тестування

1. Зареєструй користувача через POST-запит:

   
   POST /auth/register
   {
       "username": "test_user",
       "password": "strong_password"
   }
   

2. Перевір базу даних: пароль має бути збережений у захешованому вигляді.

Типові помилки

• Залишати паролі в "чистому" вигляді навіть на проміжних етапах. Ніколи цього не роби.
• Використовувати застарілі алгоритми на кшталт MD5 чи SHA-1. Вони застаріли й не підходять для паролів.
• Намагатися порівнювати паролі вручну без використання matches. Це легко може призвести до помилок.

Для правильної роботи достатньо покластися на BCryptPasswordEncoder — він уже містить усі необхідні заходи безпеки.

Практичне застосування

BCryptPasswordEncoder — це стандарт для більшості додатків. Якщо ти робиш безпечний додаток, наприклад інтернет-магазин, платформу для роботи з даними користувачів або банківську систему, тобі точно знадобиться цей інструмент.

Ти також часто зіткнешся з питаннями про шифрування паролів на співбесідах, тож тепер ти до них готовий. Спробуй пояснити інтерв'юеру різницю між MD5 і BCrypt — і, можливо, отримаєш плюсик у карму.

Тепер усе готово для наступного кроку: роботи з токенами й сесіями!