在开发项目时为了提高数据的安全性和保护用户的隐私我们通常会对用户注册登录时的密码进行加密处理。大致流程是注册时前端对密码进行加密传给后端,后端在拿到数据后进行二次加密后存入数据库,在登录时后端对接受到前端传来的密码进行加密,加密后在与数据库密码进行比对。
前端加密:
前端加密使用插件crypto-js来处理。
- 插件安装:
npm install crypto-js
在安装插件时如遇到一下报错:npm ERR! request to https://registry.npm.taobao.org/json-server failed, reason: certificate has expired。
意思是证书过期了。这时候我们可以通过运行以下命令来解决。
npm cache clean --force
npm config set strict-ssl false
npm install
- 代码实现
//引入依赖
import CryptoJS from "crypto-js";
//加密密码
const encryptedPassword = CryptoJS.SHA256(password).toString();
后端加密:
后端接受到参数后进行相同的加密,使用哈希函数+盐值的方式来实现。
- 哈希函数
public class HashUtil {
public static String sha256(String input) {
try {
// 获取SHA-256哈希函数实例
MessageDigest digest = MessageDigest.getInstance("SHA-256");
// 将输入字符串转换为字节数组
byte[] inputBytes = input.getBytes(StandardCharsets.UTF_8);
// 计算哈希值
byte[] hashBytes = digest.digest(inputBytes);
// 将哈希值转换为十六进制字符串
StringBuilder hexString = new StringBuilder();
for (byte b : hashBytes) {
String hex = Integer.toHexString(0xff & b);
if (hex.length() == 1) hexString.append('0');
hexString.append(hex);
}
return hexString.toString();
} catch (NoSuchAlgorithmException e) {
throw new RuntimeException("Hashing algorithm not found", e);
}
}
}
- 调用实现
// 对接收到的密码再进行加密(使用相同的算法和密钥)
String serverSalt = "xxxx"; // 这是加密过程中的盐值
String encryptedPassword = HashUtil.sha256(request.getPassword() + serverSalt);
注:盐值一般是一个随机字符串,需要在注册时跟密码一起存储到数据库。当用户登录时,在从数据库读出来进行二次加密,加密后在比对密码。