秒杀系统 MD5

最新推荐文章于 2021-06-25 16:36:32 发布
最新推荐文章于 2021-06-25 16:36:32 发布
阅读量973 收藏 1
点赞数 33
分类专栏: 商城秒杀实战 文章标签: ajax jquery js javabean bootstrap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41620020/article/details/105942528
版权

笔者认为登录功能不难做,但是要做出一个安全可靠的登录界面却非常的难,很多人会说,登录功能是最简单的业务代码,但是笔者认为许多网站出现用户登录密码泄露事件都和这个登录有一定的关系,所以登录功能必须好好研究一下,现在就利用MD5实现相对安全的登录模块。注意是相对安全。

思考

md5真的无法解密吗?

  • MD5加密无法解密,不可逆转,是很安全的。
  • 从技术的角度讲,MD5真的很安全,因为无法解密,破解MD5的方式只有一个:撞库(我是不知道别的方式),然而,就在大数据的今天。我今天随意的生成了几个自己常用的密码的MD5密文,很恐怖,随意百度到的工具都给破解出来了。大家可以试试,大数据是真的恐怕,我记得好像谁说过大数据是未来的生产力,也理解为什么。反正非常恐怕。
    在这里插入图片描述
    所以,我相信,不久的将来,随着各种加密原文的收集,我们的MD5已不再安全,就像一个post请求一样,只是你认为他不是明文。他只是阻隔了一部分什么都不知道的人群,对于黑客(甚至入门级别的黑客)来说,只要抓到了你的请求,数据暴露无疑。

数据库存放的是用户的真实密码吗?

大学老师一般都是把真实密码存放到数据库中,但那只是演示,并非企业开发是这样做的。

数据库里面存的是做了两次MD5的用户密码 与其对应的salt值

如何判断密码输入正确?

现在我们登录的时候,要去取得数据库里面对应用户的密码和salt值,然后后台接收了前端做了一次MD5的密码formPass,然后将这个formPass去和数据库里面的salt一起再做一次MD5,然后检测是否与数据库里面存的那个密码一致。

如何灵活使用MD5加强安全性?

MD5也不是绝对安全的,但是我们可以使得破解的难度指数级增长。md5是不可逆的,不能反向解密的,网上所谓的“解密”都是把“加密”结果存储到数据库再比对的只能暴力破解,即有一个字典,从字典中读取一条记录,将密码用加salt盐值做MD5来对比数据库里面的值是否相

  1. 加盐
  2. 盐的位置灵活多变,不固定,也可倒序。

思路:

先弄清楚原理再来实现代码

两次MD5:

  • 用户端:PASS=MD5(明文+固定Salt)
  • 服务端:PASS=MD5(用户输入处理+随机Salt)

代码实现步骤:

创建秒杀User的domain类

	@Getter
	@Setter
	public class MiaoshaUser {
	private Long id;
	private String nickname;
	private String pwd;
	private String salt;
	private String head;
	private Date registerDate;
	private Date lastLoginDate;
	private Integer loginCount;

新建MiaoshaUserDao

	@Mapper
	public interface MiaoshaUserDao {
	@Select("select * from miaosha_user where id=#{id}")  //这里#{id}通过后面参数来为其赋值
	public MiaoshaUser getById(@Param("id")long id);    //绑定
	
	//绑定在对象上面了----@Param("id")long id,@Param("pwd")long pwd 效果一致
	@Update("update miaosha_user set pwd=#{pwd} where id=#{id}")
	public void update(MiaoshaUser toupdateuser);	
	//public boolean update(@Param("id")long id);    //绑定	
}

新建MiaoshaUserService

	@Service
	public class MiaoshaUserService {
	public static final String COOKIE1_NAME_TOKEN="token";
	
	@Autowired
	MiaoshaUserDao miaoshaUserDao;
	@Autowired
	RedisService redisService;
	/**
	 * 根据id取得对象,先去缓存中取
	 * @param id
	 * @return
	 */
	public MiaoshaUser getById(long id) {
		//1.取缓存	---先根据id来取得缓存
		MiaoshaUser user=redisService.get(MiaoshaUserKey.getById, ""+id, MiaoshaUser.class);
		//能再缓存中拿到
		if(user!=null) {
			return user;
		}
		//2.缓存中拿不到,那么就去取数据库
		user=miaoshaUserDao.getById(id);
		//3.设置缓存
		if(user!=null) {
			redisService.set(MiaoshaUserKey.getById, ""+id, user);
		}
		return user;
	}
	}

新建LoginController

	@RequestMapping("/login")
	@Controller
	public class LoginController{
	@Autowired
	UserService userService;
	@Autowired
	RedisService redisService;
	@Autowired
	MiaoshaUserService miaoshaUserService;	
	//slf4j
	private static Logger log=(Logger) LoggerFactory.getLogger(Logger.class);	
	@RequestMapping("/to_login")
	public String toLogin() {
		return "login";// 返回页面login
	}
	@RequestMapping("/do_login") // 作为异步操作
	@ResponseBody
	public CodeMsg doLogin(LoginVo loginVo) {// 0代表成功
		// log.info(loginVo.toString());
		if (loginVo == null) {
			return CodeMsg.SERVER_ERROR;
		}
		// 验证
		String formPass = loginVo.getPassword();
		String mobile = loginVo.getMobile();
		// 验证用户
		MiaoshaUser user = miaoshaUserService.getById(Long.parseLong(mobile));
		if (user == null) {
			return CodeMsg.MOBILE_NOTEXIST;
		}
		// 验证密码
		String dbPass = user.getPwd();
		String dbSalt = user.getSalt();
		System.out.println("dbPass:" + dbPass + "   dbSalt:" + dbSalt);
		//现在我们登录的时候,要去取得数据库里面对应用户的密码和salt值,然后后台接收了前端做了一次MD5的密码formPass,然后将这个formPass去和数据库里面的salt一起再做一次MD5,然后检测是否与数据库里面存的那个密码一致。
		// 验证密码,计算二次MD5出来的pass是否与数据库一致
		String tmppass = MD5Util.formPassToDBPass(formPass, dbSalt);
		System.out.println("formPass:" + formPass);
		System.out.println("tmppass:" + tmppass);
		if (!tmppass.equals(dbPass)) {
			return CodeMsg.PASSWORD_ERROR;
		}
		return CodeMsg.SUCCESS;
	}
}

前端login.html

引入bootstrap
引入相关的js和css

核心代码:
(最下面有完整的代码)

var pass=$("#password").val();
			//pass='111111';
			//固定salt
			var salt='1a2b3c4d';
			var str=""+salt.charAt(0)+salt.charAt(2)+pass+salt.charAt(5)+salt.charAt(4);
			var password=md5(str);
			//alert(salt);
			//alert(pass);
			//alert(password);
			//与后台Md5规则一致
			//var str=""+salt.charAt(0)+salt.charAt(2)+formPass+salt.charAt(5)+salt.charAt(4);
			$.ajax({
				url:"/login/do_login",
				type:"POST",
				data:{
					mobile:$("#phone").val(),
					password:password,
				},
				success:function(data){
					if(data.code==0){
						alert("success");
						//成功后跳转
						window.location.href="/goods/to_list";
					}else{
						alert(data.msg);
					}
				},
				error:function(data){
					alert("error");
					//alert(data.msg);
				}
			});

完整的前端login.html代码:

<!DOCTYPE html>
<!-- 使用thymeleaf,配置相应的 -->
<html xmlns:th="http://www.thymeleaf.org">  <!-- th!!! 命名空间使用 -->
<head>
<meta charset="UTF-8"/><!--<meta charset="UTF-8" />  thymeleaf模板引擎默认是Template modes:HTML5解析的,所以解析比较严格。  -->
	<title>登录</title>
	<!-- thymeleaf引入静态资源的方式,@加大括弧    "/" 代表static路径-->
	<!-- jquery -->
	<!-- <script type="text/javascript" th:src="@{/js/jequery.min.js}"></script> -->
	<script type="text/javascript" th:src="@{/jquery-validation/lib/jquery-1.11.1.js}"></script>
	<!-- bootstrap -->
	<!-- <link type="text/css" rel="stylesheet" th:href="@{/bootstrap/css/bootstrap.min.css}"/> -->
	<link rel="stylesheet" href="https://stackpath.bootstrapcdn.com/bootstrap/4.1.0/css/bootstrap.min.css" integrity="sha384-9gVQ4dYFwwWSjIDZnLEWnxCjeSWFphJiwGPXr1jddIhOegiu1FwO5qRGvFXOdJZ4" crossorigin="anonymous"/>	
	<script type="text/javascript" th:src="@{/bootstrap/js/bootstrap.min.js}"></script>
	<!--jquery-validator  -->
	<script type="text/javascript" th:src="@{/jquery-validation/jquery.validate.min.js}"></script>	
	<!-- <script type="text/javascript" th:src="@{/jquery-validation/jquery.validate.js}"></script> -->	  
	<script type="text/javascript" th:src="@{/jquery-validation/localization/messages_zh.min.js}"></script>
	<!-- layer -->
	<script type="text/javascript" th:src="@{/layer/layer.js}"></script>
	<!-- md5.js -->
	<script type="text/javascript" th:src="@{/js/md5.min.js}"></script>
</head>
<body>
	<div class="container">
		<div class="row">
			<div class="col-sm-8 offset-sm-2">
				<div class="border-bottom mb-4 mt-4 pb-2">
					
				</div>
				<div class="card">
					<div class="card-header">
						<h6 class="card-text">Simple Form</h6><!--</h3>  -->
					</div>
					<div class="card-body">
						<form id="signupForm"  method="post" class="form-horizontal" ><!-- action="" -->
							<div class="form-group row">
								<label class="col-sm-4 col-form-label" for="phone">Phone</label>
								<div class="col-sm-6">
									<input type="text" class="form-control" id="phone" name="phone" placeholder="phone" />
								</div>
							</div>
						
							
							<div class="form-group row">
								<label class="col-sm-4 col-form-label" for="username">Username</label>
								<div class="col-sm-6">
									<input type="text" class="form-control" id="username" name="username" placeholder="Username" />
								</div>
							</div>
							<div class="form-group row">
								<label class="col-sm-4 col-form-label" for="email">Email</label>
								<div class="col-sm-6">
									<input type="text" class="form-control" id="email" name="email" placeholder="Email" />
								</div>
							</div>

							<div class="form-group row">
								<label class="col-sm-4 col-form-label" for="password">Password</label>
								<div class="col-sm-6">
									<input type="password" class="form-control" id="password" name="password" placeholder="Password" />
								</div>
							</div>

							<div class="form-group row">
								<label class="col-sm-4 col-form-label" for="confirm_password">Confirm password</label>
								<div class="col-sm-6">
									<input type="password" class="form-control" id="confirm_password" name="confirm_password" placeholder="Confirm password" />
								</div>
							</div>
							<div class="form-group row">
								<div class="col-sm-6 offset-sm-4">
									<div class="form-check">
										<input type="checkbox" id="agree" name="agree" value="agree" class="form-check-input"/>
										<label class="form-check-label">Please agree to our policy</label>
									</div>
								</div>
							</div>

							<div class="form-group row">
								<div class="col-sm-9 offset-sm-4">
									<button type="submit" class="btn btn-primary" name="signup" value="Sign up">Sign up</button>
								</div>
							</div>
						</form>
					</div>
				</div>
			</div>
		</div>
	</div>
	<script type="text/javascript">
		$.validator.setDefaults( {
			submitHandler: function () {
				var pass=$("#password").val();
				//pass='111111';
				var salt='1a2b3c4d';
				var str=""+salt.charAt(0)+salt.charAt(2)+pass+salt.charAt(5)+salt.charAt(4);
				var password=md5(str);
				//alert(salt);
				//alert(pass);
				//alert(password);
				//与后台Md5规则一致
				//var str=""+salt.charAt(0)+salt.charAt(2)+formPass+salt.charAt(5)+salt.charAt(4);
				$.ajax({
					url:"/login/do_login",
					type:"POST",
					data:{
						mobile:$("#phone").val(),
						password:password,
					},
					success:function(data){
						if(data.code==0){
							alert("success");
							//成功后跳转
							window.location.href="/goods/to_list";
						}else{
							alert(data.msg);
						}
					},
					error:function(data){
						alert("error");
						//alert(data.msg);
					}
				});
				//alert( "submitted!" );
			}
		} );
		$( document ).ready( function () {
			$( "#signupForm" ).validate( {
				rules: {
					firstname: "required",
					lastname: "required",
					username: {
						required: true,
						minlength: 2
					},
					password: {
						required: true,
						minlength: 5
					},
					confirm_password: {
						required: true,
						minlength: 5,
						equalTo: "#password"
					},
					email: {
						required: true,
						email: true
					},
					agree: "required"
				},
				messages: {
					firstname: "Please enter your firstname",
					lastname: "Please enter your lastname",
					username: {
						required: "Please enter a username",
						minlength: "Your username must consist of at least 2 characters"
					},
					password: {
						required: "Please provide a password",
						minlength: "Your password must be at least 5 characters long"
					},
					confirm_password: {
						required: "Please provide a password",
						minlength: "Your password must be at least 5 characters long",
						equalTo: "Please enter the same password as above"
					},
					email: "Please enter a valid email address",
					agree: "Please accept our policy"
				},
				errorElement: "em",
				errorPlacement: function ( error, element ) {
					// Add the `invalid-feedback` class to the error element
					error.addClass( "invalid-feedback" );

					if ( element.prop( "type" ) === "checkbox" ) {
						error.insertAfter( element.next( "label" ) );
					} else {
						error.insertAfter( element );
					}
				},
				highlight: function ( element, errorClass, validClass ) {
					$( element ).addClass( "is-invalid" ).removeClass( "is-valid" );
				},
				unhighlight: function (element, errorClass, validClass) {
					$( element ).addClass( "is-valid" ).removeClass( "is-invalid" );
				}
			} );

		} );
	</script>
</body>
</html>
长勺
关注
  • 33
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 19
    评论
专栏目录
秒杀系统java实现
06-19
java实现秒杀系统@Controller @RequestMapping("seckill")//url:/模块/资源/{id}/细分 /seckill/list public class SeckillController { private final Logger logger = LoggerFactory.getLogger(this.getClass());...
秒杀商城系统 MD5加密 (六)
了凡
05-05 1132
什么是MD5加密? 通俗说 md5是一种信息摘要算法,它可以从需要加密的数据中按照一定的规则生成一个特殊的字符串,并且一个文件所对应的MD5摘要是固定的,当文件内容变化后,其MD5值也会不一样,因此,在应用中经常使用MD5值来验证一段数据有没有被篡改。 比如,在数据的发送方将原始数据生成出MD5值,然后把原始数据连同其MD5值一起传给接收方,接收该收到数据后,先将原始数据用MD5算法生成摘要信息,然后再将此摘要信息与发送方发过来的摘要信息进行比较,如果一致就认为原始数据没有被修改,否则原始数据就是被
高并发秒杀项目——两次MD5
Zz_xiaohuihui_Hh的博客
05-31 322
高并发秒杀项目——两次MD5用户端:PASS=MD5(明文+固定Salt)服务端:PASS=MD5(用户输入+随机Salt) 用户端:PASS=MD5(明文+固定Salt) 防止数据包被截取到,获取明文密码 两次MD5加密,首先写一个固定的salt,将salt与用户输入的密码做一个拼装,然后将拼装后的密码传入服务端,(输入到服务端的密码稍微做一下改动) 服务端:PASS=MD5(用户输入+随机Salt) 防止数据库被盗,用户可以根据MD5值反推出明文密码 ...
秒杀商城项目----两次MD5加密+Redis缓存+Token实现分布式Session登录
https://github.com/hakusai22
06-25 534
两次MD5加密+Redis缓存+Token实现分布式Session登录一. 两次MD5加密①. 做MD5加密的目的②. 做两次MD5加密的目的③. 实现MD5两次加密功能二. 分布式Session的实现①. 产生的问题②. 解决的办法③. Threadlocal存储User对象④. 登录功能创建token,存入到Redis和cookies中⑤. 配置每次请求打到Controller层接口自动绑定User用户信息⑤. 自定义配置中添加UserArgumentResolver用户参数解析器⑤.访问接口测试t
【商城秒杀项目】-- 登录时使用两次MD5加密
weixin_42687829的博客
02-21 1712
MD5加密的目的 如果不做任何处理,那明文密码就会在网络上进行传输,假如在传输过程中被恶意用户取得这个数据,就可以得到这个密码,所以不安全 做两次MD5加密的目的 用户端:pwd=MD5(明文+固定Salt) 服务端:pwd=MD5(第一次加密后的密码+随机Salt) 第一次 (在前端加密):密码加密是(明文密码+固定盐值)生成MD5用于传输,目的是由于http是明文传输,当输入密码若直...
秒杀系统(二):两次MD5加密
xiliaoding1808的博客
04-21 927
秒杀系统(二):两次MD5加密 md5是什么 MD5信息摘要算法(英语:MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。 两次MD5 1.用户端:pass = MD5(明文密码+固定Salt) 2.服务端:pass = MD5 (前端传来的加密后的密码+随机Salt) 为什么要与salt混合 第一次 (在前端加密,客户端):密码加密是(明文密码+固定盐值)生成md5用于
秒杀系统分析与总结
红尘之一骑的专栏
09-18 3105
秒杀是一种常见的营销手段,商品以极低的价格,在特定的时间点开售,引发大量的用户抢购,制造轰动效应。但是它给网站技术带来了极大的挑战,下面我们首先看下秒杀活动的一些业务特性与行为: 1,活动时间短,并发流量极高,对网站的其他业务形成冲击 2,因为秒杀活动,用户访问量突然增加,大大超过平时网站的带宽 3,秒杀活动前,用户为了不错过秒杀,不停的刷详情页,如果请求一直穿透到后端服务器和数据库,会对后...
【SpringBoot商城秒杀系统项目实战09】使用两次MD5实现登录功能
pitt1997的博客
05-28 2374
两次MD5: 用户端:PASS=MD5(明文+固定Salt) 服务端:PASS=MD5(用户输入+随机Salt) 登录界面: 数据库里面存的是做了依次MD5的用户密码与其对应的salt值 现在我们登录的时候,要去取得数据库里面对应用户的密码和salt值,然后后台接收了前端做了依次MD5的密码formPass,然后将这个formPass去和数据库里面的salt一起再做一次MD5,然后检测...
Java商城秒杀系统设计视频教程
09-12
java高并发秒杀系统2-1节两次md5.mp4 java高并发秒杀系统2-2节登录功能实现上.mp4 java高并发秒杀系统2-3节登录功能实现下.mp4 java高并发秒杀系统2-4节jsr303参数校验.mp4 java高并发秒杀系统2-5节异常处理.mp4 ...
resk:重新阅读信封seckill红包秒杀系统
03-11
后续更新介绍重新阅读信封seckill红包秒杀系统软件架构软件架构说明安装教程xxx xxx xxx使用说明xxx xxx xxx参与贡献叉本仓库新建Feat_xxx分支提交代码新建Pull Request编码云特技使用Readme_XXX.md来支持不同的语言...
SpringBoot开发的高并发限时抢购秒杀系统
04-22
系统介绍: 本系统是使用SpringBoot开发的高并发限时抢购秒杀系统,除了实现基本的登录、...1. 两次MD5加密 2. session共享 3. JSR303自定义参数 4. 全局异常统一处理 5. 页面缓存 + 对象缓存 6. 页面静态化 ......
Java秒杀系统方案优化高性能高并发学习实战源代码以及笔记..zip
最新发布
03-03
Java秒杀系统方案优化高性能高并发学习实战源代码以及笔记..zip 章节笔记 第1章-课程介绍及项目框架搭建 知识点 使用spring boot 搭建项目基础框架 使用Thymeleaf做页面展示,封装Result统一结果 集成 mybatis + ...
秒杀系统 安全优化 秒杀接口地址隐藏
了凡
05-08 2261
秒杀接口地址隐藏 每次点击秒杀按钮,才会生成秒杀地址,秒杀地址不是写死的,是从服务端获取,动态拼接而成的地址。(HTTP协议是明文传输,前端是防不住恶意用户的攻击,所以安全校验要放在服务端,从而禁止掉这些恶意攻击。) 实现思路: 在进行秒杀之前,去后端获取一个动态的秒杀地址path(服务端生成随机数作为path)...
秒杀系统 高并发秒杀系统接口优化 RabbitMQ异步下单
了凡
05-08 1704
针对秒杀的业务场景,在大并发下,仅仅依靠页面缓存、对象缓存或者页面静态化等还是远远不够。数据库压力还是很大,所以需要异步下单,如果业务执行时间比较长,那么异步是最好的解决办法,但会带来一些额外的程序上的复杂性。 思路: 系统初始化,把商品库存数量stock加载到Re...
秒杀系统 高并发秒杀接口优化
了凡
05-08 1310
高并发秒杀接口优化 接口优化(核心思路:减少对数据库的访问) Redis预减库存减少对数据库的访问 内存标记减少Redis的访问 请求先入队缓冲,异步下单,增强用户体验 RabbitMQ安装与SpringBoot的集成(目的:同步下单改成异步下单) Nginx水平拓展 压测 项目迭代是一个优化和调整的过程,发现问题解决问题,不断优化。 秒杀业务场景,并发量很大,瓶颈在数据库,怎么解决,加缓存。用户发起请求时,从浏览器开始,在浏览器上做页面静态化直接将页面缓存到用户的浏览器端,然后请求到达网站之前可以部
秒杀系统 秒杀功能实现
了凡
05-07 1270
先去设置数据库里面的秒杀时间 假设当前时间是2019-05-28 19:30:12 1.已经开始 2.秒杀结束 3.秒杀倒计时 所以我们去秒杀第一个商品: 在之前的goods_detail.html里面的秒杀按钮点击之后提交/miaosha/do_miaosha,以POST类型提交,带有数据是秒杀商品的goo...
秒杀系统 安全优化 数学公式验证码
了凡
05-08 1229
秒杀接口地址的隐藏可以防止恶意用户通过频繁调用接口来请求的操作,但是无法防止机器人,刷票软件恶意频繁点击按钮来刷请求秒杀地址接口的操作。 高并发下场景,在刚刚开始秒杀的那一瞬间,迎来的并发量是最大的,减少同一时间点的并发量,将并发量分流也是一种减少数据库以及系统压力的措施(使得1s中来10万次请求过渡为10s中来...
秒杀系统 页面优化技术 商品详情页面静态化(前后端分离)
了凡
05-08 1205
页面静态化+前后端分离 常用技术AngularJS、Vue.js 优点:利用浏览器的缓存 本文只是简单的实现页面静态化: 将页面直接缓存到用户的浏览器上面,好处:用户访问数据的时候,不用去请求服务器,直接在本地缓存中取得需要的页面缓存。 未作页面静态化:请求某一个页面,访问缓存,查看缓存中是否有,缓存中有直接...
java秒杀系统文档
12-26
Java秒杀系统文档是一份详细介绍Java秒杀系统设计和实现的文档。该文档包括系统架构设计、技术选型、数据库设计、代码实现、系统性能测试等内容。 首先,文档会介绍Java秒杀系统的架构设计,包括系统的整体结构、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 19
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值