用户密码两次MD5加密:
原因:一次MD5加密,很容易被反编译破解出来,通过前台进行一次MD5加密和后台一次MD5加密,可以有效保证数据的安全性
用户注册逻辑:
- 前台获取用户输入的密码(inputPassword),通过固定的salt(盐)例如:String salt=1234abc,通过一定顺序进行组合例如:salt.charAt(1)+salt.charAt(3)+inputPassword+salt.charAt(5)+salt.charAt(6),然后通过前台MD5插件,对组合密码进行加密
- 后台获取前台的密码数据(已经加密过一次的fromPassword),后台字母+数字随机生成salt(盐),通过一定顺序进行组合(原理同前台组合加密),然后把组合后的密码通过MD5加密,同时保存经过两次加密的MD5密码和后台随机生成的salt(字母+数字)
用户登录验证逻辑:
如果是用户登录验证,前台获取用户输入的用户名和密码,通过前台固定的salt(盐),通过顺序进行组合使用MD5加密,生成inputPassword和Username并传递给后台,后台获取经过一次加密的inputPassword和userName,通过UserName查询db中用户数据(用户名,密码(dbPassword),salt(随机生成的)),通过db中的salt(盐)+前台传递的inputPassword进行组合使用MD5进行二次加密,和数据库中dbPassword进行equals比较,如果相同则登录成功…
示例:
/**
* shiro 权限注解 value可以多值通过","分开,logical表示权限是并且和或的关系
*
* @return
*/
@RequiresPermissions(value = {