Springboot-04:Panic Buying Project MD5加密登录+JSR303校验

最新推荐文章于 2023-07-24 20:09:07 发布
最新推荐文章于 2023-07-24 20:09:07 发布
阅读量107 收藏
点赞数
分类专栏: Springboot 文章标签: spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43378019/article/details/113543737
版权

MD5加密登录


如果不做任何处理:那么明文密码就会在网络上进行传输,假如说恶意用户取得这个数据包,那么就可以得到这个密码,这不安全。

为什么做两次MD5?

  1. 用户端:PASS=MD5   (明文+固定Salt)
  2. 服务端:PASS=MD5(用户输入+随机Salt)

第一次 (在前端加密,客户端):密码加密是(明文密码+固定盐值)生成md5用于传输,目的由于http是明文传输,当输入密码若直接发送服务端验证,此时被截取将直接获取到明文密码,获取用户信息。加盐值是为了混淆密码,原则就是明文密码不能在网络上传输。
第二次:服务端接收到已经计算过依次MD5的密码后,我们并不是直接存至数据库里面,而是生成一个随机的salt,跟用户输入的密码一起拼装,再做一次MD5,然后再把最终密码存在数据库里面。
第二次的目的:
防止数据库被入侵,被人通过彩虹表反查出密码。所以服务端接受到后,也不是直接写入到数据库,而是生成一个随机盐(salt),再进行一次MD5后存入数据库。

在pom文件里面引入两个MD5的依赖

    <dependency>
    	<groupId>commons-codec</groupId>
    	<artifactId>commons-codec</artifactId>
    	<version>1.9</version>
    </dependency>
    <dependency>
    	<groupId>org.apache.commons</groupId>
    	<artifactId>commons-lang3</artifactId>
    	<version>3.6</version>
    </dependency>

编写MD5Util工具类用于生成MD5密码:

public class MD5Util {
	public static String md5(String src) {
		return DigestUtils.md5Hex(src);
	}
	//客户端固定的salt,跟用户的密码做一个拼装
	private static final String salt="1a2b3c4d";
	
	public static String inputPassToFormPass(String inputPass) {
		String str=""+salt.charAt(0)+salt.charAt(2)+inputPass+salt.charAt(5)+salt.charAt(4);
		System.out.println(md5(str));
		return md5(str); 			//char类型计算会自动转换为int类型
	}
	//二次MD5
	public static String formPassToDBPass(String formPass,String salt) {//随机的salt
		String str=""+salt.charAt(0)+salt.charAt(2)+formPass+salt.charAt(5)+salt.charAt(4);
		return md5(str); 			 
	}
	//数据库md5,使用数据库随机salt
	public static String inputPassToDbPass(String input,String saltDB) {
		String formPass=inputPassToFormPass(input);
		System.out.println(formPass);
		String dbPass=formPassToDBPass(formPass,saltDB);
		return dbPass;
	}
	
	public static void main(String[] args) {
		String pass = "123456";
        String salt = "1a2b3c4d";
        System.out.println(inputPassToDBPass(pass,salt));
	}
}

数据库里面存的是做了两次MD5的用户密码与其对应的salt值
在这里插入图片描述
现在我们登录的时候,要去取得数据库里面对应用户的密码和salt值,然后后台接收了前端做了一次MD5的密码formPass,然后将这个formPass去和数据库里面的salt一起再做一次MD5,然后检测是否与数据库里面存的那个密码一致。

问题引用:

第二次MD5所用的随机saltDB为什么要保存在数据库里?
当数据库被侵入,做MD5之后的密码和saltDB一起被盗的话,用户密码不就泄露了吗?
但是如果不保存这个随机的saltDB,下次用户登录的时候不就没法和数据库保存的密码进行校验了吗?

问题思考:
实际上做MD5也不是绝对安全的,但是我们可以使得破解的难度指数级增长md5是不可逆的,不能反向解密的,网上所谓的“解密”都是把“加密”结果存储到数据库再比对的只能暴力破解,即有一个字典,从字典中读取一条记录,将密码用加salt盐值做MD5来对比数据库里面的值是否相等。

因为好事者收集常用的密码,然后对他们执行 MD5,然后做成一个数据量非常庞大的数据字典,然后对泄露的数据库中的密码进行对比,如果你的原始密码很不幸的被包含在这个数据字典中,那么花不了多长时间就能把你的原始密码匹配出来,这个数据字典很容易收集,假设有600w个密码。坏人们可以利用他们数据字典中的密码,加上我们泄露数据库中的 Salt,然后散列,然后再匹配。

但是由于我们的 Salt 是随机产生的,每条数据都要加上 Salt 后再散列,假如我们的用户数据表中有 30w 条数据,数据字典中有 600w 条数据,坏人们如果想要完全覆盖的话,他们就必须加上 Salt 后再散列的数据字典数据量就应该是 300000* 6000000 = 1800000000000,所以说干坏事的成本太高了吧。但是如果只是想破解某个用户的密码的话,只需为这 600w 条数据加上 Salt,然后散列匹配。可见 Salt 虽然大大提高了安全系数,但也并非绝对安全

实际项目中,Salt 不一定要加在最前面或最后面,也可以插在中间,也可以分开插入,也可以倒序,程序设计时可以灵活调整,都可以使破解的难度指数级增长。

步骤:

1.创建秒杀User的domain类

@lombok
public class MiaoshaUser {
	private Long id;
	private String nickname;
	private String pwd;
	private String salt;
	private String head;
	private Date registerDate;
	private Date lastLoginDate;
	private Integer loginCount;
}

2.新建MiaoshaUserDao

@Mapper
	public interface MiaoshaUserDao {
	@Select("select * from miaosha_user where id=#{id}")  //这里#{id}通过后面参数来为其赋值
	public MiaoshaUser getById(@Param("id")long id);    //绑定
	
	//绑定在对象上面了----@Param("id")long id,@Param("pwd")long pwd 效果一致
	@Update("update miaosha_user set pwd=#{pwd} where id=#{id}")
	public void update(MiaoshaUser toupdateuser);	
	//public boolean update(@Param("id")long id);    //绑定	
}

3.新建MiaoshaUserService:

在service层,协调redis和mysql的存取

@Service
	public class MiaoshaUserService {
	public static final String COOKIE1_NAME_TOKEN="token";
	
	@Autowired
	MiaoshaUserDao miaoshaUserDao;
	@Autowired
	RedisService redisService;
	/**
	 * 根据id取得对象,先去缓存中取
	 * @param id
	 * @return
	 */
	public MiaoshaUser getById(long id) {
		//1.取缓存	---先根据id来取得缓存
		MiaoshaUser user=redisService.get(MiaoshaUserKey.getById, ""+id, MiaoshaUser.class);
		//能再缓存中拿到
		if(user!=null) {
			return user;
		}
		//2.缓存中拿不到,那么就去取数据库
		user=miaoshaUserDao.getById(id);
		//3.设置缓存
		if(user!=null) {
			redisService.set(MiaoshaUserKey.getById, ""+id, user);
		}
		return user;
	}
	}

4.新建LoginController

判断用户密码是否匹配

@RequestMapping("/login")
	@Controller
	public class LoginController{
	@Autowired
	UserService userService;
	@Autowired
	RedisService redisService;
	@Autowired
	MiaoshaUserService miaoshaUserService;	
	//slf4j
	private static Logger log=(Logger) LoggerFactory.getLogger(Logger.class);	
	@RequestMapping("/to_login")
	public String toLogin() {
		return "login";// 返回页面login
	}
	@RequestMapping("/do_login") // 作为异步操作
	@ResponseBody
	public CodeMsg doLogin(LoginVo loginVo) {// 0代表成功
		// log.info(loginVo.toString());
		if (loginVo == null) {
			return CodeMsg.SERVER_ERROR;
		}
		// 验证
		String formPass = loginVo.getPassword();
		String mobile = loginVo.getMobile();
		// 验证用户
		MiaoshaUser user = miaoshaUserService.getById(Long.parseLong(mobile));
		if (user == null) {
			return CodeMsg.MOBILE_NOTEXIST;
		}
		// 验证密码
		String dbPass = user.getPwd();
		String dbSalt = user.getSalt();
		System.out.println("dbPass:" + dbPass + "   dbSalt:" + dbSalt);
		// 验证密码,计算二次MD5出来的pass是否与数据库一致
		String tmppass = MD5Util.formPassToDBPass(formPass, dbSalt);
		System.out.println("formPass:" + formPass);
		System.out.println("tmppass:" + tmppass);
		if (!tmppass.equals(dbPass)) {
			return CodeMsg.PASSWORD_ERROR;
		}
		return CodeMsg.SUCCESS;
	}
}
5.前端login.html:引入bootstrap, 相关的js和css

		var pass=$("#password").val();
				//pass='111111';
				//固定salt
				var salt='1a2b3c4d';
				var str=""+salt.charAt(0)+salt.charAt(2)+pass+salt.charAt(5)+salt.charAt(4);
				var password=md5(str);
				//alert(salt);
				//alert(pass);
				//alert(password);
				//与后台Md5规则一致
				//var str=""+salt.charAt(0)+salt.charAt(2)+formPass+salt.charAt(5)+salt.charAt(4);
				$.ajax({
					url:"/login/do_login",
					type:"POST",
					data:{
						mobile:$("#phone").val(),
						password:password,
					},
					success:function(data){
						if(data.code==0){
							alert("success");
							//成功后跳转
							window.location.href="/goods/to_list";
						}else{
							alert(data.msg);
						}
					},
					error:function(data){
						alert("error");
						//alert(data.msg);
					}
				});

JSR303校验

系统在登录的时候做了一个参数校验,也就是说每一个方法的开头都要去做一个校验,那么有没有更简洁的方法呢?那就是使用JSR 303 校验。

JSR 303 用于对Java Bean 中的字段的值进行验证,使得验证逻辑从业务代码中脱离出来。是一个运行时的数据验证框架,在验证之后验证的错误信息会被马上返回。

1.引入依赖:

	 <dependency>
    	<groupId>org.springframework.boot</groupId>
    	<artifactId>spring-boot-starter-validation</artifactId>
    </dependency>

2.用法:

在需要验证的参数前面打上标签注解@Valid,那么此注解就会自动对该Bean 进行参数校验。具体校验规则在该Bean内部实现。本项目是对登陆时候,利用到了参数校验。

	public class LoginVo {
	private String mobile;
	private String password;	
	@NotNull
	@IsMobile
	public String getMobile() {
		return mobile;
	}	
	public void setMobile(String mobile) {
		this.mobile = mobile;
	}
	@NotNull
	@Length(min=32)//限定密码的长度
	public String getPassword() {
		return password;
	}
	public void setPassword(String password) {
		this.password = password;
	}
}
  • 好处:可以直接使用@NotNull、@Length(min=32)等注解进行验证,避免重复的校验代码,只需在传入的参数上打上注解就可以进行参数校验,避免代码冗余。
21秋招拒做分母
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
秒杀系统 - 实现用户登录(两次MD5JSR303参数检验,全局异常处理器)和分布式session功能
天天向上
06-01 385
文章目录用户登录数据库设计明文密码两次MD5处理思路导入MD5依赖,封装MD5Utils实现登录功能JSR303参数检验+全局异处理器 用户登录 数据库设计 CREATE TABLE `user` ( `id` bigint(20) NOT NULL COMMENT '用户ID,手机号码', `nickname` varchar(255) NOT NULL, `password` varchar(32) DEFAULT NULL COMMENT 'MD5(MD5(pass明文+固定salt) +
SpringBoot+MQ+Redis+BootStrap 秒杀系统(二) 登录业务之多次md5加密
尔等同学的博客
08-14 377
项目地址:https://github.com/wannengdek/spring-boot-seckill 如果项目对您有所帮助,麻烦帮忙点亮小⭐⭐ 登录业务 1、数据库设计 DROP TABLE IF EXISTS `miaosha_user`; CREATE TABLE `miaosha_user` ( `id` bigint(20) NOT NULL AUTO_INCRE...
xjar 解密不超过15行代码
最新发布
weixin_46519031的博客
07-24 734
xjar 解密10行代码搞定
MD5加密jar包及案例
07-16
MD5加密jar包及案例,其中含有两个MD5加密jar包,使用哪个都可以,及本人自己写的一个MD5算法工具类,也可以进行加密,三者选其一即可。附有案例
MD5加密中文—在jar包下和idea下加密结果不一致问题
qq_38526239的博客
07-10 1338
原因:jar包下默认编码为GBK,idea设置的编码为UTF-8 统一编码:在MD5加密方法里面找到: byte[] btInput = s.getBytes(); 修改为: byte[] btInput = s.getBytes("UTF-8"); ...
Coda-bootstrap-clips:Panic Coda 2的引导夹
04-27
适用于Panic Coda 2的Twitter Bootstrap 3.x剪辑 笔记 这些剪辑产生的所有html代码都使用标准制表符缩进。 引导两个空格很烂。 为了避免冲突,不包括诸如table + TAB , select + TAB或form + TAB类的某些剪辑,...
tailwindcss-nova-ext:Panic Nova编辑器的TailwindCSS扩展
05-04
Tailwind CSS扩展,用于Panic的Nova代码编辑器 为Panic的macOS代码编辑器Nova提供Tailwind CSS补全。 感谢Tailwind Labs,Adam Wathan和Steve Schoger对开发社区所做的贡献,包括Tailwind CSS,Headless UI和...
nova-todo:Panic Nova扩展,用于待办事项和修订程序管理
05-26
Panic Nova代码编辑器的TODO扩展在Panic的macOS代码编辑器Nova中的边栏树状视图中显示诸如TODO和FIXME之类的标签。 该扩展提供了许多配置选项,可以为所有工作空间全局设置,也可以为单个工作空间覆盖。 例如,可以...
nova-eslint-forked:用于Panic的Nova Code Editor的ESLint扩展
02-04
公告 由于此扩展在总安装量上已经超过了原始扩展,并且分叉的存储库具有一些限制,这使我更难以管理此扩展,因此我没有分叉。 这已移至 (您应该将星星移到那儿 :winking_face: )。
panic-button::butter:简单的按钮即可娱乐,将消息发送到电报组或频道
03-30
Panic-Button 内容 :cloud: 安装 git clone https: //github.com/ekaone/panic-button.git cd panic - button npm install npm run dev :exclamation_question_mark: 用法 注意:您必须在浏览器中启用(允许)位置...
登录功能:md5加密与分布式Session
热门推荐
至尊宝
07-16 1万+
1.依赖jar包 &amp;amp;lt;!--md5工具类--&amp;amp;gt; &amp;amp;lt;dependency&amp;amp;gt; &amp;amp;lt;groupId&amp;amp;gt;commons-codec&amp;amp;lt;/groupId&amp;amp;gt; &amp;amp;lt;artifactId&amp;amp;gt
python语法中错误_Python中的错误和异常
weixin_39864453的博客
12-03 112
前言错误是程序中的问题,由于这些问题而导致程序停止执行。另一方面,当某些内部事件发生时,会引发异常,从而改变程序的正常流程。python中会发生两种类型的错误。语法错误逻辑错误(异常)语法错误如果未遵循正确的语言语法,则会引发语法错误。例#初始化amount变量amount = 10000#检查你是否有资格#是否购买某某自学课程if(amount>2999)print("您有资格购买某课程"...
idea打包可执行的jar与Error: Invalid or corrupt jarfile问题
he_321的博客
04-01 1万+
build前的设置 1、在菜单中选择 File->project structure 2、选择Artifacts,点击"+",选择jar -> from modules with dependencies 3、选择执行主类。执行jar的之后,就会从这个类中的main函数开始执行 4、选择执行主类之后,idea会自动默认填充META-INF/MANIFEST.MF目录,这个自动默认...
xjar加密后运行错误_XJar首页、文档和下载 - Spring Boot JAR 安全加密运行工具
weixin_29889741的博客
02-22 532
XJarSpring-Boot JAR加密运行工具,避免源码泄露以及反编译。Spring Boot JAR安全加密运行工具,同时支持原生的JAR。基于对JAR包内资源的加密以及拓展ClassLoader来构建的一套程序加密启动,动态解密运行的方案,避免源码泄露或反编译。功能特性无需侵入代码,只需要把编译好的JAR包通过工具加密即可。完全内存解密,杜绝源码以及字节码泄露以及反编译。支持所有...
MD5Util
weixin_30487201的博客
01-17 109
import org.apache.commons.codec.digest.DigestUtils; public class MD5Util { public static String md5(String src) { return DigestUtils.md5Hex(src); } private static final String...
基于SpringBoot的秒杀demo
小小志愿者的博客
01-20 595
商品秒杀,Redis,RabbitMQ
SpringBoot登录设计---对密码进行两次Md5加密
qq_45968950的博客
06-29 916
MD5密码加密
springbootmd5加解密工具类
weixin_43652507的博客
12-17 5435
springbootmd5加解密工具类
前后端日常使用:前后端两次MD5加密
qq_44760332的博客
11-15 3152
MD5加密设计 前端后端分别进行一次md5 salt加密 前端加密 为了防止密码明文在http上传输,则需要在前端进行一次md5 salt加密 使用JQuery md5 前端JQuery md5工具:https://github.com/emn178/js-md5 在前端js中声明一个固定盐salt //salt var g_passsword_salt="ewn...
you-get: [error] oops, something went wrong. you-get: don't panic, c'est la vie. please try the following steps: you-get: (1) rule out any network problem. you-get: (2) make sure you-get is up-to-date. you-get: (3) check if the issue is already known, on you-get: https://github.com/soimort/you-get/wiki/known-bugs you-get: https://github.com/soimort/you-get/issues you-get: (4) run the command with '--debug' option, you-get: and report this issue with the full output.
04-09
你-get: [错误] 哎呀,出了点问题。你-get: 别惊慌,这就是人生。请尝试以下步骤: 你-get: (1) 排除任何网络问题。你-get: (2) 确保你-get是最新的版本。你-get: (3) 检查是否已知此问题,访问你-get的网站: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值