【SpringBoot商城秒杀系统项目实战09】使用两次MD5实现登录功能

最新推荐文章于 2022-05-07 16:44:34 发布
最新推荐文章于 2022-05-07 16:44:34 发布
阅读量2.4k 收藏 6
点赞数 4
分类专栏: 商城秒杀系统 文章标签: MD5登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Brad_PiTt7/article/details/90611514
版权

两次MD5:

  1. 用户端:PASS=MD5(明文+固定Salt)

  2. 服务端:PASS=MD5(用户输入处理+随机Salt)

    登录界面:
    在这里插入图片描述
    数据库里面存的是做了两次MD5的用户密码与其对应的salt值
    在这里插入图片描述
    现在我们登录的时候,要去取得数据库里面对应用户的密码和salt值,然后后台接收了前端做了一次MD5的密码formPass,然后将这个formPass去和数据库里面的salt一起再做一次MD5,然后检测是否与数据库里面存的那个密码一致。

问题引用:

第二次MD5所用的随机saltDB为什么要保存在数据库里?
当数据库被侵入,做MD5之后的密码和saltDB一起被盗的话,用户密码不就泄露了吗?
但是如果不保存这个随机的saltDB,下次用户登录的时候不就没法和数据库保存的密码进行校验了吗?

问题思考:
实际上做MD5也不是绝对安全的,但是我们可以使得破解的难度指数级增长md5是不可逆的,不能反向解密的,网上所谓的“解密”都是把“加密”结果存储到数据库再比对的只能暴力破解,即有一个字典,从字典中读取一条记录,将密码用加salt盐值做MD5来对比数据库里面的值是否相等。

因为好事者收集常用的密码,然后对他们执行 MD5,然后做成一个数据量非常庞大的数据字典,然后对泄露的数据库中的密码进行对比,如果你的原始密码很不幸的被包含在这个数据字典中,那么花不了多长时间就能把你的原始密码匹配出来,这个数据字典很容易收集,假设有600w个密码。坏人们可以利用他们数据字典中的密码,加上我们泄露数据库中的 Salt,然后散列,然后再匹配。

但是由于我们的 Salt 是随机产生的,每条数据都要加上 Salt 后再散列,假如我们的用户数据表中有 30w 条数据,数据字典中有 600w 条数据,坏人们如果想要完全覆盖的话,他们就必须加上 Salt 后再散列的数据字典数据量就应该是 300000* 6000000 = 1800000000000,所以说干坏事的成本太高了吧。但是如果只是想破解某个用户的密码的话,只需为这 600w 条数据加上 Salt,然后散列匹配。可见 Salt 虽然大大提高了安全系数,但也并非绝对安全

实际项目中,Salt 不一定要加在最前面或最后面,也可以插在中间嘛,也可以分开插入,也可以倒序,程序设计时可以灵活调整,都可以使破解的难度指数级增长。

引入文章:https://www.xttblog.com/?p=986

步骤:

  1. 创建秒杀User的domain类
	public class MiaoshaUser {
	private Long id;
	private String nickname;
	private String pwd;
	private String salt;
	private String head;
	private Date registerDate;
	private Date lastLoginDate;
	private Integer loginCount;
	
	public String getPwd() {
		return pwd;
	}
	public void setPwd(String pwd) {
		this.pwd = pwd;
	}
	public Long getId() {
		return id;
	}
	public void setId(Long id) {
		this.id = id;
	}
	public String getNickname() {
		return nickname;
	}
	public void setNickname(String nickname) {
		this.nickname = nickname;
	}
	
	public String getSalt() {
		return salt;
	}
	public void setSalt(String salt) {
		this.salt = salt;
	}
	public String getHead() {
		return head;
	}
	public void setHead(String head) {
		this.head = head;
	}
	public Date getRegisterDate() {
		return registerDate;
	}
	public void setRegisterDate(Date registerDate) {
		this.registerDate = registerDate;
	}
	public Date getLastLoginDate() {
		return lastLoginDate;
	}
	public void setLastLoginDate(Date lastLoginDate) {
		this.lastLoginDate = lastLoginDate;
	}
	public Integer getLoginCount() {
		return loginCount;
	}
	public void setLoginCount(Integer loginCount) {
		this.loginCount = loginCount;
	}
  1. 新建MiaoshaUserDao
	@Mapper
	public interface MiaoshaUserDao {
	@Select("select * from miaosha_user where id=#{id}")  //这里#{id}通过后面参数来为其赋值
	public MiaoshaUser getById(@Param("id")long id);    //绑定
	
	//绑定在对象上面了----@Param("id")long id,@Param("pwd")long pwd 效果一致
	@Update("update miaosha_user set pwd=#{pwd} where id=#{id}")
	public void update(MiaoshaUser toupdateuser);	
	//public boolean update(@Param("id")long id);    //绑定	
}
  1. 新建MiaoshaUserService
	@Service
	public class MiaoshaUserService {
	public static final String COOKIE1_NAME_TOKEN="token";
	
	@Autowired
	MiaoshaUserDao miaoshaUserDao;
	@Autowired
	RedisService redisService;
	/**
	 * 根据id取得对象,先去缓存中取
	 * @param id
	 * @return
	 */
	public MiaoshaUser getById(long id) {
		//1.取缓存	---先根据id来取得缓存
		MiaoshaUser user=redisService.get(MiaoshaUserKey.getById, ""+id, MiaoshaUser.class);
		//能再缓存中拿到
		if(user!=null) {
			return user;
		}
		//2.缓存中拿不到,那么就去取数据库
		user=miaoshaUserDao.getById(id);
		//3.设置缓存
		if(user!=null) {
			redisService.set(MiaoshaUserKey.getById, ""+id, user);
		}
		return user;
	}
	}
  1. 新建LoginController
	@RequestMapping("/login")
	@Controller
	public class LoginController{
	@Autowired
	UserService userService;
	@Autowired
	RedisService redisService;
	@Autowired
	MiaoshaUserService miaoshaUserService;	
	//slf4j
	private static Logger log=(Logger) LoggerFactory.getLogger(Logger.class);	
	@RequestMapping("/to_login")
	public String toLogin() {
		return "login";// 返回页面login
	}
	@RequestMapping("/do_login") // 作为异步操作
	@ResponseBody
	public CodeMsg doLogin(LoginVo loginVo) {// 0代表成功
		// log.info(loginVo.toString());
		if (loginVo == null) {
			return CodeMsg.SERVER_ERROR;
		}
		// 验证
		String formPass = loginVo.getPassword();
		String mobile = loginVo.getMobile();
		// 验证用户
		MiaoshaUser user = miaoshaUserService.getById(Long.parseLong(mobile));
		if (user == null) {
			return CodeMsg.MOBILE_NOTEXIST;
		}
		// 验证密码
		String dbPass = user.getPwd();
		String dbSalt = user.getSalt();
		System.out.println("dbPass:" + dbPass + "   dbSalt:" + dbSalt);
		// 验证密码,计算二次MD5出来的pass是否与数据库一致
		String tmppass = MD5Util.formPassToDBPass(formPass, dbSalt);
		System.out.println("formPass:" + formPass);
		System.out.println("tmppass:" + tmppass);
		if (!tmppass.equals(dbPass)) {
			return CodeMsg.PASSWORD_ERROR;
		}
		return CodeMsg.SUCCESS;
	}
}

  1. 前端login.html

    引入bootstrap
    引入相关的js和css

核心代码:
(最下面有完整的代码)

		var pass=$("#password").val();
				//pass='111111';
				//固定salt
				var salt='1a2b3c4d';
				var str=""+salt.charAt(0)+salt.charAt(2)+pass+salt.charAt(5)+salt.charAt(4);
				var password=md5(str);
				//alert(salt);
				//alert(pass);
				//alert(password);
				//与后台Md5规则一致
				//var str=""+salt.charAt(0)+salt.charAt(2)+formPass+salt.charAt(5)+salt.charAt(4);
				$.ajax({
					url:"/login/do_login",
					type:"POST",
					data:{
						mobile:$("#phone").val(),
						password:password,
					},
					success:function(data){
						if(data.code==0){
							alert("success");
							//成功后跳转
							window.location.href="/goods/to_list";
						}else{
							alert(data.msg);
						}
					},
					error:function(data){
						alert("error");
						//alert(data.msg);
					}
				});

完整的前端login.html代码:

<!DOCTYPE html>
<!-- 使用thymeleaf,配置相应的 -->
<html xmlns:th="http://www.thymeleaf.org">  <!-- th!!! 命名空间使用 -->
<head>
<meta charset="UTF-8"/><!--<meta charset="UTF-8" />  thymeleaf模板引擎默认是Template modes:HTML5解析的,所以解析比较严格。  -->
	<title>登录</title>
	<!-- thymeleaf引入静态资源的方式,@加大括弧    "/" 代表static路径-->
	<!-- jquery -->
	<!-- <script type="text/javascript" th:src="@{/js/jequery.min.js}"></script> -->
	<script type="text/javascript" th:src="@{/jquery-validation/lib/jquery-1.11.1.js}"></script>
	<!-- bootstrap -->
	<!-- <link type="text/css" rel="stylesheet" th:href="@{/bootstrap/css/bootstrap.min.css}"/> -->
	<link rel="stylesheet" href="https://stackpath.bootstrapcdn.com/bootstrap/4.1.0/css/bootstrap.min.css" integrity="sha384-9gVQ4dYFwwWSjIDZnLEWnxCjeSWFphJiwGPXr1jddIhOegiu1FwO5qRGvFXOdJZ4" crossorigin="anonymous"/>	
	<script type="text/javascript" th:src="@{/bootstrap/js/bootstrap.min.js}"></script>
	<!--jquery-validator  -->
	<script type="text/javascript" th:src="@{/jquery-validation/jquery.validate.min.js}"></script>	
	<!-- <script type="text/javascript" th:src="@{/jquery-validation/jquery.validate.js}"></script> -->	  
	<script type="text/javascript" th:src="@{/jquery-validation/localization/messages_zh.min.js}"></script>
	<!-- layer -->
	<script type="text/javascript" th:src="@{/layer/layer.js}"></script>
	<!-- md5.js -->
	<script type="text/javascript" th:src="@{/js/md5.min.js}"></script>
</head>
<body>
	<div class="container">
		<div class="row">
			<div class="col-sm-8 offset-sm-2">
				<div class="border-bottom mb-4 mt-4 pb-2">
					
				</div>
				<div class="card">
					<div class="card-header">
						<h6 class="card-text">Simple Form</h6><!--</h3>  -->
					</div>
					<div class="card-body">
						<form id="signupForm"  method="post" class="form-horizontal" ><!-- action="" -->
							<div class="form-group row">
								<label class="col-sm-4 col-form-label" for="phone">Phone</label>
								<div class="col-sm-6">
									<input type="text" class="form-control" id="phone" name="phone" placeholder="phone" />
								</div>
							</div>
						
							
							<div class="form-group row">
								<label class="col-sm-4 col-form-label" for="username">Username</label>
								<div class="col-sm-6">
									<input type="text" class="form-control" id="username" name="username" placeholder="Username" />
								</div>
							</div>
							<div class="form-group row">
								<label class="col-sm-4 col-form-label" for="email">Email</label>
								<div class="col-sm-6">
									<input type="text" class="form-control" id="email" name="email" placeholder="Email" />
								</div>
							</div>

							<div class="form-group row">
								<label class="col-sm-4 col-form-label" for="password">Password</label>
								<div class="col-sm-6">
									<input type="password" class="form-control" id="password" name="password" placeholder="Password" />
								</div>
							</div>

							<div class="form-group row">
								<label class="col-sm-4 col-form-label" for="confirm_password">Confirm password</label>
								<div class="col-sm-6">
									<input type="password" class="form-control" id="confirm_password" name="confirm_password" placeholder="Confirm password" />
								</div>
							</div>
							<div class="form-group row">
								<div class="col-sm-6 offset-sm-4">
									<div class="form-check">
										<input type="checkbox" id="agree" name="agree" value="agree" class="form-check-input"/>
										<label class="form-check-label">Please agree to our policy</label>
									</div>
								</div>
							</div>

							<div class="form-group row">
								<div class="col-sm-9 offset-sm-4">
									<button type="submit" class="btn btn-primary" name="signup" value="Sign up">Sign up</button>
								</div>
							</div>
						</form>
					</div>
				</div>
			</div>
		</div>
	</div>
	<script type="text/javascript">
		$.validator.setDefaults( {
			submitHandler: function () {
				var pass=$("#password").val();
				//pass='111111';
				var salt='1a2b3c4d';
				var str=""+salt.charAt(0)+salt.charAt(2)+pass+salt.charAt(5)+salt.charAt(4);
				var password=md5(str);
				//alert(salt);
				//alert(pass);
				//alert(password);
				//与后台Md5规则一致
				//var str=""+salt.charAt(0)+salt.charAt(2)+formPass+salt.charAt(5)+salt.charAt(4);
				$.ajax({
					url:"/login/do_login",
					type:"POST",
					data:{
						mobile:$("#phone").val(),
						password:password,
					},
					success:function(data){
						if(data.code==0){
							alert("success");
							//成功后跳转
							window.location.href="/goods/to_list";
						}else{
							alert(data.msg);
						}
					},
					error:function(data){
						alert("error");
						//alert(data.msg);
					}
				});
				//alert( "submitted!" );
			}
		} );
		$( document ).ready( function () {
			$( "#signupForm" ).validate( {
				rules: {
					firstname: "required",
					lastname: "required",
					username: {
						required: true,
						minlength: 2
					},
					password: {
						required: true,
						minlength: 5
					},
					confirm_password: {
						required: true,
						minlength: 5,
						equalTo: "#password"
					},
					email: {
						required: true,
						email: true
					},
					agree: "required"
				},
				messages: {
					firstname: "Please enter your firstname",
					lastname: "Please enter your lastname",
					username: {
						required: "Please enter a username",
						minlength: "Your username must consist of at least 2 characters"
					},
					password: {
						required: "Please provide a password",
						minlength: "Your password must be at least 5 characters long"
					},
					confirm_password: {
						required: "Please provide a password",
						minlength: "Your password must be at least 5 characters long",
						equalTo: "Please enter the same password as above"
					},
					email: "Please enter a valid email address",
					agree: "Please accept our policy"
				},
				errorElement: "em",
				errorPlacement: function ( error, element ) {
					// Add the `invalid-feedback` class to the error element
					error.addClass( "invalid-feedback" );

					if ( element.prop( "type" ) === "checkbox" ) {
						error.insertAfter( element.next( "label" ) );
					} else {
						error.insertAfter( element );
					}
				},
				highlight: function ( element, errorClass, validClass ) {
					$( element ).addClass( "is-invalid" ).removeClass( "is-valid" );
				},
				unhighlight: function (element, errorClass, validClass) {
					$( element ).addClass( "is-valid" ).removeClass( "is-invalid" );
				}
			} );

		} );
	</script>
</body>
</html>
pitt1997
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
高并发秒杀项目——两次MD5
Zz_xiaohuihui_Hh的博客
05-31 330
高并发秒杀项目——两次MD5用户端:PASS=MD5(明文+固定Salt)服务端:PASS=MD5(用户输入+随机Salt) 用户端:PASS=MD5(明文+固定Salt) 防止数据包被截取到,获取明文密码 两次MD5密,首先写一个固定的salt,将salt与用户输入的密码做一个拼装,然后将拼装后的密码传入服务端,(输入到服务端的密码稍微做一下改动) 服务端:PASS=MD5(用户输入+随机Salt) 防止数据库被盗,用户可以根据MD5值反推出明文密码 ...
两次MD5密设计
weixin_38035852的博客
07-15 7217
/** 用于生成MD5 密码的工具类 * */ public class Md5Util { public static String md5(String input){ return DigestUtils.md5Hex(input);//注意导包为codec中的DigestUtils类 } /*固定值*/ private static...
登录密码两次MD5密设计的原因和流程
weixin_40571937的博客
12-22 2502
一、为什么要对密码进行MD5 密码明文传递或者直接写到数据库中,都有被偷看的风险。 二、为什么要对密码进行两次MD5密 单次的MD5不一定安全,在实验室条件下可能通过碰撞进行解码。并且针对一些简单的密码,有一些反查md5的软件,对密码进行两次md5操作是为了更好地保密。 三、两次MD5密整体流程如何实现 整体密流程: MD5(MD5(pass明文+固定salt)+随机salt) 第一次固定salt写死在前端 第二次密采用随机的salt 并将每次生成的salt保存在数据库登录流程: 前端对用户输入
Spring boot登录项目,有验证码,MD5密。还有简单的 增删改查,还有分页
10-24
这是我自己写的一个Spring boot项目的登录源码,里面登录用到了动态验证码,Mybatis 逆向生成工具,密码使用Base64密前端,后端解密以后,再用MD5密到数据库比对。还有资源页面的增删改查和页面分页:http:localhost:8888/ziyuan -这是分页和增删改查页面,登录页面:http:localhost:8888/login 。里面打包了sql文件,大家直接在mysql运行即可。压缩包解压以后,改一下数据库配置,就可以启动。
实现两次md5
Young_Naive的博客
01-24 1250
文章目录为什么需要两次md5密?引入MD5所需依赖创建md5密工具类 为什么需要两次md5密? 1.用户端:Pass = MD5(明文+固定salt) 目的:防止被人恶意截取数据包,得到明文密码 2.服务端:Pass = MD5(用户输入+随机salt) 目的:万一数据库被盗,有可能通过反查表来得到密码 引入MD5所需依赖 <dependency> <groupId>commons-codec</groupId> <artifactId>co
SpringBoot商城秒杀系统项目实战miaosha_idea-master.zip
最新发布
05-25
该项目利用了基于springboot + vue + mysql的开发模式框架实现的课设系统,包括了项目的源码资源、sql文件、相关指引文档等等。 【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理...
【IDEA+SpringBoot+Java商城秒杀实战09实现登录功能
01-08
创建秒杀User的domain类 @Getter @Setter public class MiaoshaUser { private Long id; private String nickname; private String pwd; private String salt; private String head; private Date ...
如何通过SpringBoot实现商城秒杀系统
08-25
"如何通过SpringBoot实现商城秒杀系统" 本文主要介绍了如何通过SpringBoot实现商城秒杀系统。该系统主要包括用户登陆、商品秒杀、订单生成和邮件通知等功能。下面将对该系统的实现进行详细的介绍。 系统架构 该...
java基于SpringBoot+Mybatis+Mysql+中间件构建的商城秒杀系统源码
02-07
综上所述,这个基于SpringBoot+Mybatis+Mysql的商城秒杀系统,结合中间件技术,旨在实现高效、稳定的秒杀功能。通过合理的架构设计和优化,可以有效地应对高并发场景,提供良好的用户体验。在实际项目中,还需要结合...
SpringBoot项目基于SpringBoot秒杀系统设计与实现.zip
04-13
SpringBoot项目基于SpringBoot秒杀系统设计与实现是一个高性能的网络应用程序,旨在处理高并发的商品抢购场景。该系统通过优化数据处理和缓存策略,确保在极端压力下也能平稳运行,为用户提供公平且高效的购物体验...
用2次MD5技术实现登陆注册
05-16
以2次MD5技术实现登陆注册,可以保证用户信息安全,防止黑客窃取信息。
使用SpringBoot进行MD5登录注册功能的实现
sfz1234567890的博客
01-13 2281
一、项目架构 pom.xml配置 注意添MD5的依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://mav
登录md5两次密+
m0_59850969的博客
09-13 1917
1、第一次md5密 用户输入明文密码到后端,目的是防止明文传输的信息被盗取 2、第二次md5密 是将第一次密完了的数据再一次密 3、第三次是 第二次的结果+,存进数据库,这样数据库密码别人是无法获取到密码的 项目中写法为: 1、导入pom文件 <!--md5密--> <dependency> <groupId>commons-codec</groupId> <artifactId>common
SpringBoot秒杀系统实战08-两次MD5密设计
程序鹏
05-08 222
什么是MD5密?漫画:什么是MD5算法?https://zhuanlan.zhihu.com/p/55841123转载自:程序员小灰 为什么做MD5?如果不做任何处理:那么明文密码就会在网络上进行传输,假如说恶意用户取得这个数据包,那么就可以得到这个密码,所有不安全。 为什么做两次MD5? 用户端:PASS=MD5(明文+固定Salt)...
登录与注册时两次md5密过程详解
yxg520s的博客
05-07 5197
1 当前端传送密码到后端时候,需要进行两次MD5密,登录和注册时的解密流程是怎么样的? 前端和后端密都可以规定使用密码的某几位作为进行解密操作,而这种约定俗成的选取操作只有程序员自己知道,所以安全性较高,不需要前后端传送。 或者是前端和后端开发人员在开发的时候商量好这个第一层密的,分别在前端和后端存储起来,这样前端在每次发送密码的时候都使用md5配合进行密,服务器因为知道,所以可以自然的解密出来。 答: 1 无论是注册还是登录密码的第一次md5密是在前端完成的,第二次密都是在侯
MD5为什么要两次
qq_37707826的博客
03-11 5527
第一次 (在前端密,客户端):密码密是(明文密码+固定值)生成md5用于传输,目的,由于http是明文传输,当输入密码若直接发送服务端验证,此时被截取将直接获取到明文密码,获取用户信息。 第二次(服务端):当获取到前端发送来的密码后。通过MD5密码+随机值)再次生成密码后存入数据库。 防止数据库被盗的情况下,通过md5反查,查获用户密码。方法是值会在用户登陆的时候随机生成,并存在数据库中,这个时候就会获取到。 ...
从零到壹搭建一个商城架构--MD5&MD5
温润如风的博客
10-15 238
MD5 Message Digest algorithm 5,信息摘要算法 压缩性:任意长度的数据,算出的MD5值长度都是固定的。 容易计算:从原数据计算出MD5值很容易。 抗修改性:对原数据进行任何改动,哪怕只修改1个字节,所得到的MD5值都有很大区别。 强抗碰撞:想找到两个不同的数据,使它们具有相同的MD5值,是非常困难的。 不可逆 : 通过生成随机数与MD5生成字符串进行组合 数据库同时存储MD5值与salt值。验证正确性时使用salt进行MD5即可 ...
电商商城MD5密【工具类】
Richard_666的博客
04-29 372
package com.leosanqing.utils; import org.apache.commons.codec.binary.Base64; import java.security.MessageDigest; public class MD5Utils { /** * @Description: 对字符串进行md5密 */ public static Str...
springboot商城秒杀项目思路
04-11
对于商城秒杀项目,可以考虑使用SpringBoot框架搭建后端,前端可以使用Vue或React进行开发。在秒杀过程中,可以使用Redis进行数据缓存,避免数据库压力过大。同时,可以使用消息队列异步处理请求,提高系统的并发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值