加盐算法:手撕+Spring Security、提高密码安全性的必杀技

已于 2023-05-31 20:31:19 修改
阅读量2.1k 收藏 6
点赞数 1
分类专栏: 基础 其他 # Spring 文章标签: java 开发语言 spring
于 2023-05-31 20:25:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52328493/article/details/130966291
版权
其他 同时被 3 个专栏收录
13 篇文章 0 订阅
订阅专栏
Spring
8 篇文章 0 订阅
订阅专栏
基础
7 篇文章 0 订阅
订阅专栏

目录

一、概念和理解

(一)MD5加密

(二)加密解密过程

(三)加盐

1.什么是盐值?

2.如何加盐?

 二、手写加盐算法

(一)密码工具类

(二)项目改动

 注册

 登录

三、Spring Security 加盐和实现的实现步骤

(一)引入依赖

(二)排除 Spring Security 的自动注入

(三)实现加盐

密码组成

实现加盐

验证密码

一、概念和理解

(一)MD5加密

  • MD5消息摘要算法,属Hash算法一类。
  • MD5算法对输入任意长度的消息进行运行,产生一个128位的消息摘要(32位的数字字母混合码)。
  • 特征:一对一、不可逆。

(二)加密解密过程

(三)加盐

1.什么是盐值?

  • 盐值是指在密码哈希过程中,为了增强密码强度而添加的随机字符串。
  • 通过将一个原始的密码与盐值结合起来进行哈希,以生成一个不可逆的密文,从而增加破解密码的困难度。
  • 盐值通常被保存在数据库中,以便在验证用户的输入密码时使用。

2.如何加盐?

 二、手写加盐算法

(一)密码工具类

package com.example.demo.common;

import org.springframework.util.DigestUtils;
import org.springframework.util.StringUtils;

import java.util.UUID;

/**
 * 关于密码的一个工具类
 * 主要方法:
 * 1.encrypt 给定明文 得到 数据库密码(创建账号存到数据库使用)
 * 2.encrypt 给定明文和盐值 得到 数据库密码(校验密码使用)
 * 3.verifyPassword 给定明文,校验是否正确
 */
public class PasswordUtils {

    /**
     * 加盐 并生成密码 --- 产生随机盐值进行加密
     *
     * @param password 用户输入的密码
     * @return 数据库密码
     */
    public static String encrypt(String password) {
        if (!StringUtils.hasLength(password)) {
            return null;
        }
        //1 产生 盐值
        String salt = UUID.randomUUID().toString().replace("-", "");
        //2 生成加盐 后的密码
        String saltPassword = DigestUtils.md5DigestAsHex((salt + password).getBytes());
        //3 数据库密码
        return salt + "&" + saltPassword;
    }

    /**
     * 给定盐值和密码,生成数据库
     *
     * @param password 用户输入的密码
     * @param salt     盐值
     * @return 数据库密码
     */
    private static String encrypt(String password, String salt) {
        if (!StringUtils.hasLength(password) || !StringUtils.hasLength(salt) || salt.length() != 32) {
            return null;
        }
        //1 加密密码
        String saltPassword = DigestUtils.md5DigestAsHex((salt + password).getBytes());
        //2 数据库密码
        return salt + "&" + saltPassword;
    }

    /**
     * 校验密码
     *
     * @param inputPassword 用户输入的密码
     * @param finalPassword 数据库密码
     * @return 校验成功、校验失败
     */
    public static boolean verifyPassword(String inputPassword, String finalPassword) {
        if (!StringUtils.hasLength(inputPassword) || !StringUtils.hasLength(finalPassword) || finalPassword.length() != 65) {
            return false;
        }
        String salt = finalPassword.substring(0, 32);
        String finalPassword1 = encrypt(inputPassword, salt);
        return finalPassword.equals(finalPassword1);
    }

}

(二)项目改动

 注册

@RequestMapping("/reg")
    public AjaxResult reg(User user) {
        //1.非空校验 和 参数有效性校验
        if (user == null || !StringUtils.hasLength(user.getUsername()) || !StringUtils.hasLength(user.getPassword())) {
            return AjaxResult.fail(400, "前端数据发送错误!");
        }
        //2.密码加盐处理
        user.setPassword(PasswordUtils.encrypt(user.getPassword()));
        return AjaxResult.success(200, "注册", userService.reg(user));
    }

 登录

@RequestMapping("/login")
    public AjaxResult login(HttpServletRequest request, String username, String password) {
        //1.非空校验
        if (!StringUtils.hasLength(username) || !StringUtils.hasLength(password)) {
            return AjaxResult.fail(400, "非法请求: 用户名或密码not Has Length");
        }
        //2.数据库查询
        User user = userService.getUserByName(username);
        if (user != null && user.getId() > 0) {
            //但到这里说明存在这个用户,是还没判断密码是否ok
            if (PasswordUtils.verifyPassword(password,user.getPassword())) {
                //登陆成功:账号密码均正确
                user.setPassword(null);//抹除敏感信息:返回前端数据之前抹除密码这个敏感信息
                //3.将用户信息存储到 session
                HttpSession session = request.getSession(true);
                session.setAttribute(AppVariable.USER_SESSION_KEY, user);
                return AjaxResult.success(200, "登陆成功", user);
            }
        }
        return AjaxResult.success(400, "账号或密码不正确!", null);
    }

三、Spring Security 加盐和实现的实现步骤

  • Spring security是springboot官方提供的一种更加齐全的安全框架。(security -- 安全)
  • Spring Security 的三大功能:授权、认证、安全相关的所有周边产品(比如加盐),其中 加密功能的思路 和我们手写的基本一致。

(一)引入依赖

可以使用Edit Starters插件,在pom.xml中直接按 alt + insert 即可,选择 spring security。或者使用下方的依赖复制粘贴进去也可。

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

(二)排除 Spring Security 的自动注入

在启动类中DemoApplication中关闭自动注入

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration;

@SpringBootApplication(exclude = {SecurityAutoConfiguration.class})
public class DemoApplication {

    public static void main(String[] args) {
        SpringApplication.run(DemoApplication.class, args);
    }

}

(三)实现加盐

密码组成

实现加盐

    /**
     * 加密
     * @param password 用户输入的 明文
     */
    String AddSalt(String password) {
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        String finalPassword = passwordEncoder.encode(password);//数据库密码
        System.out.println(finalPassword);
        return finalPassword;
    }

验证密码

/**
 * 验证密码
 * @param password 用户输入的 明文
 * @param finalPassword 数据库密码
 */
boolean Verify(String password,String finalPassword){
    BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
    return passwordEncoder.matches(password,finalPassword);//使用passwordEncoder.matches对比即可
}

shn!
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
MD5加盐算法 含mysql数据库
04-05
一个简单的MD5加盐算法,对存入数据库的密码进行加密达到保护用户信息的作用
SpringCloud微服务项目:nacos+springsecurity+gateway+令牌桶限流
09-27
在这个项目中,开发者将Nacos用于服务的配置管理和发现,Spring Security提供安全认证和授权,Spring Cloud Gateway作为微服务的统一入口并实现限流控制。这种组合为微服务架构提供了高效、安全且易于管理的解决方案...
Spring Security加密解密
程序三两行
08-03 7204
我们开发时进行密码加密,可用的加密段有很多,比如对称加密、非对称加密、信息摘要等。在一般的项目里,常用的就是信息摘要算法,也可以被称为散列加密函数,或者称为散列算法、哈希函数。这是一种可以从任何数据中创建数字“指纹”的方法,常用的散列函数有 MD5 消息摘要算法、安全散列算法(Secure Hash Algorithm)等。散列函数通过把消息或数据压缩成摘要信息,使得数据量变小,将数据的格式固定下来,然后将数据打乱混合,再重新创建成一个散列值,从而达到加密的目的。散列值通常用一个短的随机字母和数字组成的字
密码加盐(盐值salt)
weixin_66107760的博客
01-03 2007
密码加盐(盐值salt)
密码加密——加盐算法(两种方式)
m0_60354608的博客
04-12 1万+
密码安全是一件很重要的事情,所以一定要谨慎对待常见的主要是3种方式首先明文肯定是不可取的,在数据库中明文存储密码风险实在是太大了简单来说,使用MD5就是将一串字符串通过某特定的算法来将其变成另一种形式,这样子就在外观上起到了加密的效果,但是由于背后的算法是固定的,所以每一个字符串都有固定的MD5格式密码破解程序可以是暴力破解:将得到的密码使用MD5转换成哈希,之后将得到的哈希与最初的哈希进行比较,要是匹配就说明已经破解了密码,但是这种方法的时间复杂度很高,会耗时很久。
密码如何“加盐加密”处理?程序员一定要掌握的知识
CYK_byte的博客
03-22 7141
为什么要使用加盐的方式对密码进行加密?我们知道传统的 md5 加密方式是可以通过 “彩虹表” 很容易破解的,因为 md5 加密每次生成的密码都是固定的~ 为了解决这个问题,就出现了加盐加密方式,每次生成的密码都是不一样的~接下来我会讲两种加盐加密方式(),那么就一起来看一下使用加盐的方式进行加密和解密吧~
解决方案:加盐加密算法BCrypt
chuanchengdabing的博客
08-16 4301
加密算法剖析
盐值加密
cyn_653620的博客
04-14 7676
(一)盐值加密 第一次听说盐值加密的时候,总是感觉怪怪的。因为总会联想到咸,联想到密码是咸的。    其实这里所说的盐,简单的说,就是一组安全随机数。它会在特定的时候,加入到密码中(一般来说是加密后的密码)。从而使密码变得更有味道(从单一简单化到复杂化),更安全。 下面我们就通过安全威胁分析分别说说当前两种加盐的形式: 一、数据库泄露 众所周知,用户名和密码是被保存在数据库中。可是一旦数据库发生了...
Spring security密码加密实现代码实例
08-19
Spring Security 密码加密实现代码实例 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,它...密码加密是一个非常重要的安全机制,Spring Security 提供了一种灵活的方式来管理应用程序的安全性
Springsecurity安全框架案例+多页面登录+redis+token
12-08
在本案例中,我们将深入探讨如何使用Spring Security构建安全框架,实现多页面登录功能,并结合Redis存储Token来提高系统的安全性与性能。 1. **Spring Security 基础** Spring Security 提供了全面的安全管理组件...
spring security 5.x实现兼容多种密码的加密方式
08-28
Spring Security 5.x 版本中,它提供了对多种密码加密方式的兼容性,以适应不同场景下的安全性需求。本文将深入探讨如何在 Spring Security 中实现这种兼容性,并通过实例进行演示。 首先,Spring Security 提供...
springsecuritytotp:使用Google Authenticator登录Spring Security(基于时间的一次性密码算法,TOTP)
02-05
在本文中,我们将深入探讨如何使用Google Authenticator与Spring Security集成,实现基于时间的一次性密码算法(TOTP)的双因素身份验证。这是一项重要的安全措施,它为应用程序提供了额外的安全层,防止未经授权的...
加盐算法的使用
ZHANGWEI19930118的博客
12-24 593
加盐算法的使用
spring security提供的加密方法(自动加盐
qq_55578844的博客
10-23 1070
1.pom.xml中导入依赖 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-core</artifactId> <version>5.4.2</version> </dependen
SpringSecurity中使用MD5密码加密
热门推荐
润青
01-12 1万+
前言: 在上一篇中说到了SpringSecurity中的表单验证和权限控制,接下来说一下如果你在SpringSecurity中不使用默认的加密方式,而是使用自定义的加密方式,比如MD5,该如何继承呢? 一、为什么使用加密 我们先来说一下使用加密后的密码处理流程。我们为什么要使用密文呢?也就是加密后的密码呢?如果一个用户在网站注册时写入的密码是123456,当他点击保存之后,如果不加密的话,在...
Spring Security BCryptPasswordEncoder 密码加盐
biubiubiubibibi的博客
10-28 2239
Spring Security BCryptPasswordEncoder 密码加盐
shiro整合springboot的随机盐的登录认证
虾米大王的学习历程
10-09 124
【代码】shiro整合springboot的随机盐的登录认证。
RuoYi SpringSecurity使用MD5加密用户密码
勋味十足
03-16 1114
***/@Component/*** 自定义MD5 加密*/@Autowired@Autowired/*** 自定义验证方式*/@Override//获取用户输入的用户名和密码//通过获取的用户名,得到userDetails对象//加密过程在这里体现,明文,密文if (!@Override> arg0) {实现加密|解密处理@Component@Override@Override/*** 身份认证接口*/@Override。
12. Hibernate 模板设计模式
最新发布
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 1113
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shn!

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值