2024年1月Java项目开发指南9:密码加密存储

最新推荐文章于 2024-04-17 00:16:54 发布
最新推荐文章于 2024-04-17 00:16:54 发布
阅读量960 收藏 8
点赞数 6
文章标签: java 哈希算法 开发语言 算法
原创文章谢绝转载!不允许搬运!不授权任何人!
本文链接:https://blog.csdn.net/ks2686/article/details/136012006
版权

提前声明:
你不会写这加密算法没关系啊,你会用就行。
要求就是:你可以不会写这个加密算法,但是你要知道加密流程,你要会用。

@Service
public class PasswordEncryptor{}

很好,请在service层中创建一个名字为PasswordEncryptor的服务类,用来负责密码的加密。

加密的方法有很多。
简单一点的,直接加密为MD5,或者使用base64进行编码到达伪加密的效果(毕竟base64编码是可以解码的)

在这里,用一种比较通常的方式进行加密

这种加密方式是一种结合了哈希函数和“盐”(Salt)的密码存储策略。以下是该加密方式的详细介绍:

  1. 哈希函数(Hashing Function)
    哈希函数是一种从任何大小的数据(通常是字符串)生成固定长度字符串的方法。在这个例子中,使用了SHA-256,它是一种常用的加密哈希函数。SHA-256生成的哈希值总是256位(32字节)长。哈希函数有一个重要的特性,那就是它们是单向的。这意味着,虽然从原始数据很容易生成哈希值,但从哈希值反向推导出原始数据却几乎是不可能的。

  2. 盐(Salt)
    “盐”是一个随机生成的数据,它与原始密码一起哈希处理。在这个例子中,盐的长度是16字节。盐的主要目的是防止所谓的“彩虹表”攻击。彩虹表是一种预先计算好的、从原始密码到其哈希值的映射。通过使用盐,即使两个用户使用了相同的密码,他们的哈希值也会是不同的,因为每个用户的盐都是不同的。这使得攻击者无法简单地使用预先计算好的彩虹表来查找原始密码。

  3. 加密过程
    在hashPassword方法中,首先生成一个新的随机盐。然后,将这个盐和密码一起哈希处理。最后,将盐和哈希值合并,并使用Base64编码以便于存储和传输。

  4. 验证过程
    在verifyPassword方法中,首先从存储的Base64编码字符串中解码出盐和哈希值。然后,使用相同的盐对用户输入的密码进行哈希处理。最后,比较计算出的哈希值和存储的哈希值是否相同。如果相同,那么密码就是正确的。

  5. 安全性
    这种加密方式提供了相当高的安全性。由于哈希函数的单向性,攻击者无法从哈希值中直接获取原始密码。同时,由于使用了盐,攻击者也无法使用彩虹表来查找原始密码。然而,需要注意的是,没有任何加密方式是绝对安全的。例如,如果攻击者能够获取到足够多的哈希值和对应的原始密码(这通常是通过某种形式的“钓鱼”攻击或恶意软件实现的),那么他们可能会使用这些信息来尝试“破解”哈希函数,尽管这在实践中是非常困难的。

代码如下:

package cc.xrilang.serversystem.service;

import org.springframework.stereotype.Service;

import java.nio.charset.StandardCharsets;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;
import java.util.Base64;
@Service
public class PasswordEncryptor {

    // 盐的长度,这里设置为16字节
    private static final int SALT_LENGTH = 16;

    // SecureRandom用于生成安全的随机数
    private final SecureRandom secureRandom;

    // 构造函数,初始化SecureRandom实例
    public PasswordEncryptor() {
        this.secureRandom = new SecureRandom();
    }

    // 生成随机的盐
    private byte[] generateSalt() {
        byte[] salt = new byte[SALT_LENGTH];
        secureRandom.nextBytes(salt);
        return salt;
    }

    // 哈希密码并附带盐一起存储
    public String hashPassword(String password) throws NoSuchAlgorithmException {
        // 生成随机的盐
        byte[] salt = generateSalt();
        // 使用盐对密码进行哈希处理
        byte[] hash = hash(password.getBytes(StandardCharsets.UTF_8), salt);

        // 将盐和哈希值合并存储
        byte[] saltedHash = new byte[salt.length + hash.length];
        System.arraycopy(salt, 0, saltedHash, 0, salt.length);
        System.arraycopy(hash, 0, saltedHash, salt.length, hash.length);

        // 使用Base64对合并后的数据进行编码,便于存储和传输
        return Base64.getEncoder().encodeToString(saltedHash);
    }

    // 使用SHA-256算法和盐对输入数据进行哈希处理
    private byte[] hash(byte[] input, byte[] salt) throws NoSuchAlgorithmException {
        MessageDigest md = MessageDigest.getInstance("SHA-256");
        md.update(salt);
        return md.digest(input);
    }

    // 验证密码是否正确
    public boolean verifyPassword(String storedSaltedHash, String passwordToVerify) throws NoSuchAlgorithmException {
        // 对存储的Base64编码的盐和哈希值进行解码
        byte[] saltedHash = Base64.getDecoder().decode(storedSaltedHash);

        // 从解码后的数据中提取盐
        byte[] salt = new byte[SALT_LENGTH];
        System.arraycopy(saltedHash, 0, salt, 0, salt.length);

        // 从解码后的数据中提取哈希值
        byte[] hash = new byte[saltedHash.length - salt.length];
        System.arraycopy(saltedHash, salt.length, hash, 0, hash.length);

        // 使用提取的盐对用户输入的密码进行哈希处理
        byte[] computedHash = hash(passwordToVerify.getBytes(StandardCharsets.UTF_8), salt);

        // 比较计算出的哈希值与存储的哈希值是否一致
        return MessageDigest.isEqual(computedHash, hash);
    }

    // 主函数,用于测试
    public static void main(String[] args) {
        PasswordEncryptor encryptor = new PasswordEncryptor();
        String password = "userPassword123";

        try {
            // 对密码进行哈希处理并附带盐一起存储
            String encryptedPassword = encryptor.hashPassword(password);
            System.out.println("加密后的密码(包含盐): " + encryptedPassword);

            // 验证密码是否正确
            boolean isVerified = encryptor.verifyPassword(encryptedPassword, password);
            System.out.println("密码验证结果: " + isVerified);

            // 使用错误的密码进行验证
            boolean isWrongPasswordVerified = encryptor.verifyPassword(encryptedPassword, "wrongPassword");
            System.out.println("错误密码验证结果: " + isWrongPasswordVerified);
        } catch (NoSuchAlgorithmException e) {
            System.err.println("找不到哈希算法: " + e.getMessage());
        }
    }
}

接下来,我们在新增用户的时候,就要应用上这个加密

// 增加用户
    @PostMapping
    public ResponseEntity<?> createUser(@RequestBody Users user) {
        if (usersService.selectUserAccount(user.getUserAccount()) != null) {
            return ResponseEntity.error("该账号已注册");
        }
        String password = user.getUserPassword();
        //对密码进行加密
        String plainPassword = user.getUserPassword();
        String encryptedPassword = null;
        try {
            encryptedPassword = passwordEncryptor.hashPassword(plainPassword);
        } catch (NoSuchAlgorithmException e) {
            // 处理加密异常,这里可以记录日志并返回错误信息
            return ResponseEntity.error("密码加密失败");
        }

        // 设置加密后的密码到用户对象
        user.setUserPassword(encryptedPassword);

        user.setUserStatus(1);
        user.setUserRegTime(new Timestamp(System.currentTimeMillis()));
        Users createdUser = usersService.createUser(user);
        return ResponseEntity.success(createdUser);
    }

那么,我们再编写一个登录接口吧。

// 登录接口
    @PostMapping("/login")
    public ResponseEntity<?> login(@RequestParam String userAccount,@RequestParam String userPassword) {
        // 从登录请求中获取用户名和密码
//        System.out.println(userAccount);
//        System.out.println(userPassword);
        // 尝试从数据库中查找用户
        Users user = usersService.selectUserAccount(userAccount);

        // 验证用户是否存在
        if (user == null) {
            return ResponseEntity.error("用户不存在");
        }
        try {
            // 验证密码是否正确
            boolean passwordMatches = passwordEncryptor.verifyPassword(user.getUserPassword(),userPassword);
            if (!passwordMatches) {
                // 密码不匹配
                return ResponseEntity.error("密码错误");
            }
        }catch (NoSuchAlgorithmException e){
            return ResponseEntity.error("密码验证失败");
        }catch (Exception e){
            return ResponseEntity.error(e.getMessage());
        }


        return ResponseEntity.success(user);

    }

验证密码的时候,首先根据账号去获取数据里面加密的密码

加密的密码包括 盐值+哈希值
对存储的Base64编码的盐和哈希值进行解码
从解码后的数据中分别提取盐和哈市值
使用提取的盐对用户输入的密码进行哈希处理
比较计算出的哈希值与存储的哈希值是否一致
这就是判断流程了

当然不要忘记了修改密码的时候,也要对密码进行加密哦

// 更新用户
    @PutMapping
    public ResponseEntity<Users> updateUser(@RequestBody Users user) {
        //获取参数的内容
        String userNickname = user.getUserNickname();
        String userPassword = user.getUserPassword();
        String userIdentity = user.getUserIdentity();
        Timestamp userLoginTime = user.getUserLastLoginTime();
        String remarks = user.getRemarks();
        long userStatus = user.getUserStatus();
        long userId = user.getUserId();
        //根据ID查出原本的数据
        Users u = usersService.readUser(user.getUserId());
        if (u == null) {
            return ResponseEntity.error("用户不存在");
        }

        // 更新用户信息(此处代码保持不变)
        //将需要修改的内容替换进去
        if (userNickname != null) {
            u.setUserNickname(userNickname);
        }
        if (userPassword != null) {
            //密码要加密后存储

            //对密码进行加密
            String encryptedPassword = null;
            try {
                encryptedPassword = passwordEncryptor.hashPassword(userPassword);
            } catch (NoSuchAlgorithmException e) {
                // 处理加密异常,这里可以记录日志并返回错误信息
                return ResponseEntity.error("密码加密失败");
            }

            // 设置加密后的密码到用户对象
            u.setUserPassword(encryptedPassword);
        }
        if (userIdentity != null) {
            u.setUserIdentity(userIdentity);
        }
        if (userLoginTime != null) {
            u.setUserLastLoginTime(userLoginTime);
        }
        if (remarks != null) {
            u.setRemarks(remarks);
        }
        if (userStatus != 0) {
            u.setUserStatus(userStatus);
        }
        Users updatedUser = usersService.updateUser(u);
        return ResponseEntity.success(updatedUser);
    }

image

登录试试看

image

故意输错密码:image

故意输错账号image

萌狼蓝天
关注
  • 6
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
java实现仿射密码加密解密
08-26
主要为大家详细介绍了java实现仿射密码加密解密的相关资料,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
ClassFinal是一款java class文件安全加密工具。.zip
01-12
ClassFinal是一款java class文件安全加密工具,支持直接加密jar包或war包,无需修改任何项目代码,兼容spring-framework;可避免源码泄漏或字节码被反编译。.zip 软件开发设计:应用软件开发、系统软件开发、移动应用开发、网站开发C++、Java、python、web、C#等语言项目开发与学习资料 硬件与设备:单片机、EDA、proteus、RTOS、包括计算机硬件、服务器、网络设备、存储设备、移动设备等 操作系统:LInux、树莓派、安卓开发、微机操作系统、网络操作系统、分布式操作系统等。此外,还有嵌入式操作系统、智能操作系统等。 网络与通信:数据传输、信号处理、网络协议、网络与通信硬件、网络安全网络与通信是一个非常广泛的领域,它涉及到计算机科学、电子工程、数学等多个学科的知识。 云计算与大数据:包括云计算平台、大数据分析、人工智能、机器学习等,云计算是一种基于互联网的计算方式,通过这种方式,共享的软硬件资源和信息可以按需提供给计算机和其他设备。
java用户密码加密方法有哪些
最新发布
高性价比服务器就选:蓝易云
04-17 420
以上就是Java中对用户名和密码进行加密的一些常见方法。同时,无论选择哪种方式,请记住:安全性并不只取决于你使用哪种算法。注意:在实际应用中,我们通常会将盐值与加密后的密码一起存储。当需要验证密码时,我们会取出盐值和存储密码,然后用同样的方法对输入密码进行加密,最后比较两个加密结果是否一致。使用SHA系列的方法与MD5类似,只需要将"MD5"替换为相应的"SHA-256", "SHA-512"等。在Java中,我们有多种方法可以对用户名和密码进行加密
Java实现简单密码加密功能
08-24
主要为大家详细介绍了Java实现简单密码加密功能,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Java基于mybatis的数据库加密项目源码+项目使用说明.zip
07-05
【资源说明】 Java基于mybatis的数据库加密项目源码+项目使用说明.zip 该项目是个人毕设项目源码,评审分达到95分,都经过严格调试,确保可以运行!放心下载使用。 该项目资源主要针对计算机、自动化等相关专业的学生或从业者下载使用,也可作为期末课程设计、课程大作业、毕业设计等。 具有较高的学习借鉴价值!基础能力强的可以在此基础上修改调整,以实现类似其他功能。 一、说明 在某些涉及到数据安全的场景(如客户数据),为了防止脱库或者少数需要做数据安全防范的场景。需要针对数据做加密,但通常整库加密的时候直接使用数据库自带的加密即可。 本代码库基于MyBatis的数据库列加密库。现行很多解决方案要么是基于整库实施, 要么就是基于没有办法实现加密以后的LIKE查询。通常情况下,普通业务最多只需要对部分字段进行加密即可。因此,开发了这个库。 ### 设计思路 基于MyBatis的Alias与TypeHandler。其中,com.stableforever.mybatis.encryption.alias.EncryptedString为用于HOLD加密数据的类型Alias。com.stableforever.mybatis.encryption.handler.EncryptedStringHandler为具体的TypeHandler,用于处理数据库查询的入参时,自动把未加密的字符串转换为加密格式;同时,从数据库查询结果当中读取数据时自动把数据解密。 三、关于样例的说明 样例目录:examples/spring-boot-example/ 样例使用的数据库:mariadb(mysql同样适用) 数据库脚本:examples/spring-boot-example/src/main/resources/testdb.sql 如果你有更多的alias或者handler,根据mybatis的说明,你的spring boot配置当中可以使用逗号分隔,像这样写:xxxx.xxx,xxxx.xxxx 【备注】 更多项目详情见资源中的项目说明文件!!!
Java如何实现密码加密
08-24
主要介绍了Java如何实现密码加密,帮助大家更好的理解和学习java,感兴趣的朋友可以了解下
Java安全——基于密码加密
多头注意力探索Now
07-07 2771
java安全中的密码机密,使用,加封过程
Java中五种最常见加密算法
热门推荐
吴名氏的博客
07-21 8万+
Java中五种最常见加密算法
Java编写密码加密
m0_63593689的博客
07-04 1587
输入一段数字,然后对每段数字采用加密方式进行传输,每位数字加5在除10取余得到新的密码
JAVA常用加密方式介绍及使用汇总(全集)
tttalk的博客
03-22 5897
引文:如果开发者需要保存密码(比如网站用户密码),要考虑如何保护这些密码数据,网站用户密码的泄露是一件非常严重的事情,容易引起用户恐慌,所以在安全方面是重中之重,直接将密码以明文写入数据库中是极不安全的,因为任何可以打开数据库的人,都将可以直接看到这些密码。解决的办法是将密码加密后再存储进数据库,比较常用的加密方法是使用哈希函数(Hash Function),也就是摘要加密。通过哈希函数,我们就可以将密码的哈希值存储进数据库。
Java】使用MD5进行加密解密(代码实现)
m0_64210833的博客
09-06 1万+
我们的,对于用户来说,不应该知道我们的在正式环境,我们的数据需要通过网络传输,必须要保证明文:加密之前的内容,原始内容暗文:加密之后的内容公钥:可见的公共的钥匙私钥:不可见的私有的钥匙作用:一般对登录密码处理,用于做密码比对问题:只能加密,不能解密,特征:1. 可以加密,也可以解密2. 加密和解密的密钥是同一个作用:对数据库密码进行加密,秘钥为k,加密:s = AES(k,c)解密:c = AES(k,s)问题:1. 数据可能会被其他人2. 数据可能会。
《web商务安全设计与开发宝典》:对称加密系统
03-03
使用密码的目的是防止信息在传输和存储过程中被除目标接受者以外的任何人读取和理解。理想情况下,未经授权的个人永远都不能对一个加密信息进行解密。实际上,读取加密通信只是一个时间函数,但未经授权的个人破解一个加密信息需要付出相当大的努力,花费大量的时间,所以不太切合实际。等到他破解了该消息的时候,这个消息所包含的信息可能已没什么价值了。
Java安全知识点详解:加密、认证、防护和漏洞扫描
06-19
深入介绍了Java安全领域的关键知识点,包括加密和解密、安全认证和授权、安全通信和防护以及安全漏洞扫描。通过详细解析和说明,读者将获得全面的Java安全知识,了解加密算法、认证协议、防护机制和漏洞扫描工具的原理和应用。涵盖了加密和解密、安全认证和授权、安全通信和防护、安全漏洞和漏洞扫描、密码学、安全日志和审计等方面。每个知识点都通过详细的解析和说明,帮助读者全面了解Java安全相关概念、原理和应用。无论您是希望加强Java安全方面的知识储备,还是准备面试或开发安全的Java应用程序,本文将为您提供必要的指导和参考。通过学习这些知识点,您将能够更好地理解和应用Java安全技术,保护系统和用户的安全。
JAVA中使用MD5加密实现密码加密
08-30
JAVA 中实现密码加密是一个非常重要的安全机制,MD5 加密是其中一种常用的加密方式。本文将详细介绍如何使用 MD5 加密JAVA 中实现密码加密。 一、MD5 加密的原理 MD5(Message-Digest Algorithm 5)是一种...
Springboot项目对数据库用户密码实现加密过程解析
08-19
例如,使用上述命令对密码"password"进行加密,我们将获得加密后的密文:2p9NblOkkwNqsYhDruu5TFPR1RgkL9aH。 然后,我们需要将加密后的密码密文配置到Spring Boot的配置文件中,例如application.properties或...
java常见的密码加密方式Sha256,MD5
qq_43380361的博客
06-24 3222
java密码常见的加密方式: 一、Base64 String password="123456"; byte[] bytes = password.getBytes(); String pwd= Base64.getEncoder().encodeToString(bytes); 二、MD5 String password="123456"; String salt = StaticConstant.SALT; new SimpleHash("MD5", password, salt, 1024).to
Java 密码加密
letterljhx的博客
10-23 6705
Java 密码加密
常用的加密方式介绍以及java代码实现
寂夜了无痕的博客
02-10 1417
常用的加密方式介绍以及java代码实现
Java实现密码加密实现步骤【bcrypt算法
weixin_52721608的博客
08-26 1637
SpringBoot和SSM框架均可实现密码加密的方法
java密码加密
05-25
Java中,可以使用多种方式对密码进行加密,其中一种常见的方法是使用MessageDigest类来计算摘要。下面是一个示例代码: ```java import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; public class PasswordEncryption { public static void main(String[] args) throws NoSuchAlgorithmException { String password = "mypassword"; MessageDigest md = MessageDigest.getInstance("SHA-256"); md.update(password.getBytes()); byte[] digest = md.digest(); String encryptedPassword = bytesToHex(digest); System.out.println("Encrypted Password: " + encryptedPassword); } private static String bytesToHex(byte[] bytes) { StringBuilder sb = new StringBuilder(); for (byte b : bytes) { sb.append(String.format("%02x", b)); } return sb.toString(); } } ``` 这个示例使用SHA-256算法计算密码的摘要,并将结果转换为十六进制字符串作为加密后的密码。可以使用其他算法,例如MD5或SHA-1,具体取决于你的需求和安全性要求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

萌狼蓝天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值