前台慢加密实现

最新推荐文章于 2024-08-03 21:57:47 发布
最新推荐文章于 2024-08-03 21:57:47 发布
阅读量133 收藏
点赞数
文章标签: 数据库 java python
原文链接:https://my.oschina.net/u/2518412/blog/615211
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

流程:

  1. 用户注册:

    输入用户名,密码,确认密码后,点击提交时

    首先生成一份随机盐salt


  2. function encrypt(source, salt) {
	for (i = 0; i < 100000; i++) {
		source = $.md5(source + salt);
	}
	return source;
}

    将密码和盐传入,因为要慢加密,所以使密码加密了10W次,大约是0.6秒左右,将加密后的字符串作为密码与用户名和盐一起传到后台

  3. 后台再将密码和盐做一次md5加密,方法可以和前台不同作为密文保存在数据库中

  4. 用户登录时,输入用户名,密码

    在输入完用户名时,ajax请求后台,判断用户名是否存在的同时,将存在的用户名所对应的盐返回给前台

  5. 同步骤2,慢加密密码,

  6. 这时,会重新生成一次盐,同步骤2,再慢加密一次密码,得到第二份慢加密密码,然后将用户名、第一次慢加密密码、第二份盐、第二份慢加密密码传到后台

  7. 后台再将密码和数据库中的盐做一次md5加密,和数据库中的密码比对,一样表示密码正确,同时存入6中的第二份盐和第二份密码,将数据库中的密码和盐更新了。

可以看出再次过程中相当于自动为用户更新了密码。这种方法可以有效的对抗彩虹表这种暴力破解的方式,有效的提高了密码破解难度。

下面是一个实现的demo。

因为最近在学习jfinal,所以这个demo是使用的Jfianl

从底层起,数据库用的mysql,建立一个数据库demo,建立一张表user

CREATE TABLE `user` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(20) NOT NULL,
  `password` varchar(32) NOT NULL,
  `tryCount` int(4) NOT NULL,
  `salt` int(4) NOT NULL,
  `regTime` datetime NOT NULL,
  `updateTime` datetime DEFAULT NULL,
  PRIMARY KEY (`id`)
)

建立一个Controller

package com.chmin.demo.controller;

import com.chmin.demo.model.User;
import com.chmin.demo.service.UserService;
import com.jfinal.core.Controller;

/**
 * @author chmin
 * @time 2016年2月14日 下午2:21:26
 */
public class UserController extends Controller {

	private UserService userService = new UserService();

	public void index() {
		toLogin();
	}

	/**
	 * 跳转到注册页面
	 */
	public void toReg() {
		renderJsp("reg.jsp");
	}

	/**
	 * 跳转到登陆页面
	 */
	public void toLogin() {
		renderJsp("login.jsp");
	}
	
	/**
	 * 获取用户盐,并验证用户名是否存在
	 */
	public void getSalt(){
		User user = getModel(User.class);
		renderJson(userService.getSalt(user));
	}

	/**
	 * 用户注册
	 */
	public void reg() {
		User user = getModel(User.class);
		renderText(userService.save(user));
	}
	
	/**
	 * 用户登陆
	 */
	public void login() {
		User user = getModel(User.class);
		String newPassword = getPara("newPassword");
		renderText(userService.login(user, newPassword));
	}
}

和一个service

package com.chmin.demo.service;

import java.util.ArrayList;
import java.util.Date;
import java.util.List;

import com.chmin.demo.model.User;
import com.chmin.demo.util.Md5Util;
import com.chmin.demo.util.StringUtil;

/**
 * @author chmin
 * @time 2016年2月14日 下午4:24:08
 */
public class UserService {

	/**
	 * 保存用户
	 * 
	 * @param user
	 * @return
	 */
	public String save(User user) {
		if (user == null) {
			return "系统繁忙,请稍后重试!";
		} else if (StringUtil.isEmpty(user.getUsername())) {
			return "请输入用户名!";
		} else if (StringUtil.isEmpty(user.getPassword())) {
			return "请输入密码!";
		} else if (StringUtil.isEmpty(user.getSalt()+"")) {
			return "系统繁忙,请稍后重试!";
		} else if (User.dao.nameUsed(user.getUsername())) {
			return "用户名已被使用!";
		} else {
			user.setPassword(Md5Util.encrypt(user.getPassword() + user.getSalt()));
			user.setRegTime(new Date());
			user.setTryCount(0);
			return user.save() ? "用户注册成功!" : "系统繁忙,请稍后重试!";
		}
	}
	
	/**
	 * 登陆操作
	 * @param user
	 * @param newPassword
	 * @return
	 */
	public String login(User user, String newPassword){
		User user2 = null;
		if (user == null || StringUtil.isEmpty(user.getUsername())) {
			return "系统繁忙,请稍后重试!";
		} else if ((user2 = User.dao.findFirst("select * from user where username = ?", user.getUsername())) == null){
			return "用户不存在!";
		} else if (user2.getTryCount() >= 5){
			return "用户已被冻结!";
		} else {
			user.setPassword(Md5Util.encrypt(user.getPassword() + user2.getSalt()));
			if(user.getPassword().equals(user2.getPassword())){
				user2.setSalt(user.getSalt());
				user2.setPassword(Md5Util.encrypt(newPassword + user.getSalt()));
				user2.setTryCount(0);
				user2.update();
				return "true";
			} else {
				user2.setTryCount(user2.getTryCount() + 1);
				user2.update();
				return "密码错误!还有" + (5 - user2.getTryCount()) + "次尝试机会!";
			}
		}
	}
	
	/**
	 * 获取用户盐操作
	 * @param user
	 * @return
	 */
	public List<Object> getSalt(User user){
		List<Object> result = new ArrayList<>();
		boolean flag = false;
		String msg = null;
		if (user == null || StringUtil.isEmpty(user.getUsername())) {
			msg = "系统繁忙,请稍后重试!";
		} else if ((user = User.dao.findFirst("select * from user where username = ?", user.getUsername())) == null){
			msg = "用户不存在!";
		} else {
			msg = user.getSalt() + "";
			flag = true;
		}
		System.out.println(msg);
		result.add(flag);
		result.add(msg);
		return result;
	}
}

前台的注册页面

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<%
	String path = request.getContextPath();
	String basePath = request.getScheme() + "://"
			+ request.getServerName() + ":" + request.getServerPort()
			+ path + "/";
%>

<!DOCTYPE>
<html>
<head>
<base href="<%=basePath%>">
<title>登陆页面</title>
<meta name="pragma" content="no-cache">
<meta name="cache-control" content="no-cache">
<meta name="expires" content="0">
<meta name="keywords" content="keyword1,keyword2,keyword3">
<meta name="description" content="RegPage">
<script src="js/jquery-2.1.3.min.js"></script>
<script src="js/jquery.md5.js"></script>
</head>
<body>
	<div style="margin: 300px auto; width: 360px;">
		<form id="reg">
			<div style="width: 360px;">
				<span style="text-align: right; width: 120px; display: inline-block; margin-bottom: 10px;">用户名:</span>
				<input type="text" id="username" name="user.username">
			</div>
			<div style="width: 360px;">
				<span style="text-align: right; width: 120px; display: inline-block; margin-bottom: 10px;">密码:</span>
				<input type="password" id="password" name="user.password">
			</div>
			<div style="width: 360px;">
				<span style="text-align: right; width: 120px; display: inline-block; margin-bottom: 10px;">验证密码:</span>
				<input type="password" id="password2">
			</div>
			<div style="width: 360px;">
				<span style="text-align: right; width: 140px; display: inline-block;"></span>
				<a href="user/toLogin"><input type="button" value="Login"></a>
				<a href="javascript:reg()"><input type="button" value="Register"></a>
			</div>
			<input type="hidden" id="salt" name="user.salt">
		</form>
	</div>
</body>
<script type="text/javascript">
	function reg() {
		var username = $("#username").val().trim();

		if (username.length == 0) {
			alert("用户名不能为空!");
			return;
		}

		var password = $("#password").val().trim();

		if (password.length == 0) {
			alert("密码不能为空!");
			return;
		}

		var password2 = $("#password2").val().trim();

		if (password2.length == 0) {
			alert("密码不能为空!");
			return;
		}

		if (password != password2) {
			alert("两次密码不一致!");
			return;
		}

		var salt = getSalt();

		$("#salt").val(salt);

		$("#password").val(encrypt(password, salt));
		
		$.ajax({
			type: "post",
			data : $("#reg").serialize(),
			url : "user/reg",
			success : function(msg) {
				alert(msg);
				if(msg == "用户注册成功!"){
					window.location.href = "user/toLogin";
				}
			}
		})
	}

	function getSalt() {
		return ~~(Math.random() * 9000 + 1000);
	}

	function encrypt(source, salt) {
		for (i = 0; i < 100000; i++) {
			source = $.md5(source + salt);
		}
		return source;
	}
</script>
</html>

登陆页面

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<%
	String path = request.getContextPath();
	String basePath = request.getScheme() + "://"
			+ request.getServerName() + ":" + request.getServerPort()
			+ path + "/";
%>

<!DOCTYPE>
<html>
<head>
<base href="<%=basePath%>">
<title>登陆页面</title>
<meta name="pragma" content="no-cache">
<meta name="cache-control" content="no-cache">
<meta name="expires" content="0">
<meta name="keywords" content="keyword1,keyword2,keyword3">
<meta name="description" content="RegPage">
<script src="js/jquery-2.1.3.min.js"></script>
<script src="js/jquery.md5.js"></script>
</head>
<body>
	<div style="margin: 300px auto; width: 450px;">
		<form id="login">
			<div style="width: 450px;">
				<span style="text-align: right; width: 120px; display: inline-block; margin-bottom: 10px;">用户名:</span>
				<input type="text" id="username" name="user.username" onblur="javascript:getSalt()"><span style="color: red;" id="usernameError"></span>
			</div>
			<div style="width: 450px;">
				<span style="text-align: right; width: 120px; display: inline-block; margin-bottom: 10px;">密码:</span>
				<input type="password" id="password" name="user.password">
			</div>
			<div style="width: 450px;">
				<span style="text-align: right; width: 140px; display: inline-block;"></span>
				<a href="javascript:login()"><input type="button" value="Login"></a>
				<a href="user/toReg"><input type="button" value="Register"></a>
			</div>
			<input type="hidden" id="salt" name="user.salt">
			<input type="hidden" id="newPassword" name="newPassword">
		</form>
	</div>
</body>
<script type="text/javascript">
	function login(){
		var username = $("#username").val().trim();
		
		if(username.length == 0){
			alert("用户名不能为空!");
			return;
		}
		
		var password = $("#password").val().trim();
		
		if(password.length == 0){
			alert("密码不能为空!");
			return;
		}
		var salt = $("#salt").val();

		$("#password").val(encrypt(password, salt));
		
		salt = ~~(Math.random() * 9000 + 1000);
		
		$("#salt").val(salt);
		
		$("#newPassword").val(encrypt(password, salt));
		
		$.ajax({
			type: "post",
			data : $("#login").serialize(),
			url : "user/login",
			success : function(msg) {
				if(msg){
					window.location.href = "user/toReg";
				} else {
					alert(msg);
				}
			}
		})
	}
	
	function getSalt() {
		$.ajax({
			type: "post",
			data : $("#login").serialize(),
			url : "user/getSalt",
			success : function(msg) {
				if (msg[0]) {
					$("#salt").val(msg[1]);
					$("#usernameError").html("");
				} else {
					$("#salt").val("");
					$("#usernameError").html(msg[1]);
				}
			}
		})
	}
	
	function encrypt(source, salt) {
		for (i = 0; i < 100000; i++) {
			source = $.md5(source + salt);
		}
		return source;
	}
</script>
</html>


转载于:https://my.oschina.net/u/2518412/blog/615211

weixin_33912246
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于MD5盐值的密码加密与验证方式
weixin_34199405的博客
06-01 469
数据库表字段保存生成的随机盐值以进行后续验证登录 注册加密 controller层获取用户输入的用户名和密码调用方法这里不再赘述,直接上实现代码 service实现层 /** * 用户注册 * @param user 将要注册的用户数据 */ public void reg(User user){ // - 生成随机盐 String salt = UUID.randomU...
Java 项目中 用户密码 的 MD5 加密
LinzhiQQQ的博客
12-02 1300
1.在几乎所有的项目中,都会有用户身份,既然有用户身份那就有登录操作,就会有用户信息,那就有用户的密码 2.我们如何实现用户的登录呢?  数据库中的 user 表里的 密码字段要给得足够长  然后我们不能直接把用户的密码明文地保存在数据库里,需要做加密 我们使用的加密手段:MD5 加密 MD5工具类 import org.springframework.util.StringUtil...
登陆信息的加密和获取权限访问
weixin_44123475的博客
09-18 602
controller层: package com.example.demo.controller; import com.example.demo.entity.User; import com.example.demo.service.UserService; import com.example.demo.utils.Result; import com.example.demo.utils.ZbLpFileUtils; import com.mysql.cj.util.StringUtils;
java 注册登录实现md5加密
ttter_的博客
09-20 800
java 注册登录实现md5加密
MD5明文密码加密
z972065491的博客
11-03 346
Hutool工具:Hutool是一个Java工具包,可以帮我们简化代码,减少方法。在引入加密类之前,先引入一个工具。
前台js数据加密,后台解密
12-04
本案例“前台js数据加密,后台解密”提供了一种有效的解决方案,确保了数据在客户端(前端)进行加密,然后在服务器端(后端)解密,以防止中间人攻击和其他网络安全威胁。 一、JavaScript加密原理与方法 1. 对称...
大厂的Android面试题.pdf
05-24
- **进程保活**:通过服务、前台服务等方式提高进程在后台的存活率。 - **HTTPS验证证书**:客户端通过检查服务器证书的有效性和信任链验证证书合法性。 - **加密算法**:RSA等非对称加密算法用于密钥交换;对称...
RSA+bcpkix-jdk15.zip
10-14
这样客户端只需要知道rsa加密方式和公钥,前台不知道私钥是无法解密的,此解决方案还是相对比较安全的。 需要到http://www.bouncycastle.org/latest_releases.html下载bcpkix-jdk15on-151.jar文件。 缺陷:由于...
宾馆管理信息系统-软件工程课程设计
04-29
2. **低效性**:处理日常业务的速度,无法满足快速变化的需求。 3. **安全性差**:数据保护能力弱,难以确保客户信息安全。 **现代化管理手段的重要性:** 1. **提升服务质量**:通过自动化工具提高工作效率和...
“用户登陆”之MD5加密
热门推荐
Tseng
05-14 1万+
一、前言 众所周知,我们在网络中传送一些数据时,会有被窃听的风险。因此,我们需要对需要保密的数据进行加密,才能保证数据不被泄露。而加密的方式有两种,一种是对客户端和服务端整个通信信道进行保护加密,如https协议中的SSL,还有另一种加密是对通信数据本身进行加密,如MD5,这边文章主要将MD5在用户登陆功能中的应用。 二、存在的问题 在过去的开发中,比如对用户密码的加密,笔试
用户管理模块
a391000181的博客
12-11 1741
登录功能 Controller层实现如下,其中,Const是一个新建的状态类,存储各类常量值,包括当前登录用户的字符串名称,并将它会作为键值存储在Session域中。 @RequestMapping(value = "login.do",method = RequestMethod.POST) @ResponseBody public ServerResp...
Spring Boot + vue-element 开发个人博客项目开发(八、调试、密码加密和Swagger接口文档)
z972065491的博客
11-01 4167
作为一个后端开发人员或者是前端开发人员,总归要沟通和调试项目的,前端要接口数据,但不知道接口地址,总不能一个个把接口地址发给前端把,这不现实,后端对编写及维护接口文档耗费不少精力。Swagger的作用就是对接口进行管理,所以前端只需要这一份接口翁当就可以对项目进行管理。
【对抗拖库 —— Web 前端加密
dabang_007的专栏
11-30 833
一篇好文章,读过有所启发: 转自【http://www.cnblogs.com/index-html/p/frontend-slow-encrypt.html】 0x00 前言 天下武功,唯快不破。但密码加密不同。算法越快,越容易破。 0x01 暴力破解 密码破解,就是把加密后的密码还原成明文密码。似乎有不少方法,但最终都得走一条路:暴力穷举。 也许你会说还可以
【密码加密】-BCrypt 加密
小花生编程
01-20 815
前言: 在用户登录时,对于用户密码的保护,通常都会进行加密。我们通常对密码进行加密,然后存放在数据库中,在用户进行登录的时候,将其输入的密码进行加密然后与数据库中存放的密文进行比较,以验证用户密码是否正确。 密码存储演进史https://www.cnkirito.moe/spring-security-6/ 明文储存 直接明文保存,比如用户设置的密码是“12...
浅谈用户密码保护与相关技术
Leto的博客
07-29 888
浅谈用户密码保护与相关技术(上) 一、  全文涉及 上篇:哈希,彩虹表 下篇:加盐加密哈希,非对称加密与HTTPS   二、  主题引入 2011年12月21日,CSDN后台数据库被黑客恶意发布到互联网上并提供下载,此数据库中包含了642万多个用户的帐号、密码等信息,严重威胁了相关用户的信息安全。此次事件之后,人人网、猫扑、嘟嘟牛、178游戏网等多家网站的部分用户数据库也纷纷被传到
用 Bytebase 实现批量、多环境、多租户数据库的丝滑变更
Bytebase的博客
08-02 1135
现在,你已学会如何使用部署配置和数据库分组在 Bytebase 中运行批量更改。动手试试吧!💡 更多资讯,请关注 Bytebase 公号:Bytebase。
MySQL备份与恢复
m0_74860678的博客
08-01 637
在生产环境中,数据的安全性至关重要任何数据的丢失都可能产生严重的后果造成数据丢失的原因程序错误人为操作错误运算错误磁盘故障灾难(如火灾、地震)和盗窃# 开启二进制日志功能[mysqld]# 重启服务# 有 mysql-bin.000001 就代表成功。
使用MySQLdump定时备份数据库实战
最新发布
ithongchou的博客
08-03 88
手动执行脚本文件,并查看结果,检验脚本没有问题,因为脚本第一行已经指定脚本执行器,所以这里执行不需要使用。工具来设置定时任务。以下是一个简单的例子,展示如何每天凌晨。然后,你需要设置一个cron任务来定时执行这个脚本。确定系统定时任务已经开始,查看系统定时任务是否已经开启。上编辑的脚本格式在·Linux·平台不兼容问题。首先,你需要创建一个备份脚本。进行数据库的定时备份,你可以使用。保存这个脚本到一个文件,比如。
PHP实现AES加密详解与示例
"这篇文档是关于在PHP中实现AES(Advanced Encryption Standard)加密技术的教程。AES是一种广泛使用的对称加密算法,适用于保护数据的安全。本文档中的代码提供了一个名为Aes的PHP类,该类包含了AES加密的核心功能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值