【商城秒杀项目】-- 登录时使用两次MD5加密

最新推荐文章于 2024-02-06 23:58:44 发布
最新推荐文章于 2024-02-06 23:58:44 发布
阅读量1.7k 收藏 7
点赞数 7
分类专栏: 解决方案 文章标签: MD5 登录安全处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42687829/article/details/104432048
版权

做MD5加密的目的

如果不做任何处理,那明文密码就会在网络上进行传输,假如在传输过程中被恶意用户取得这个数据,就可以得到这个密码,所以不安全

做两次MD5加密的目的

前端:pwd=MD5(明文+固定salt)
后端:pwd=MD5(第一次加密后的密码+随机salt)

第一次 (在前端加密):密码加密是(明文密码+固定盐值)生成MD5用于传输,目的是由于http是明文传输,当输入密码若直接发送到服务端进行验证,此时如果被截取将可以直接获取到明文密码,获取用户信息;加盐值是为了混淆密码,原则就是明文密码不能在网络上传输
第二次(在后端加密):服务端接收到已经用MD5加密的密码后,我们并没有直接存到数据库里面,而是生成一个随机的salt,跟用户输入的密码一起拼装,再做一次MD5加密,然后再把得到的密码存在数据库里面

第二次加密的目的:防止数据库被入侵,被人通过彩虹表反查出密码,所以服务端接受到密码后,也不是直接写入到数据库,而是生成一个随机盐(salt),再进行一次MD5加密后存入数据库

相关代码与分析

使用两次MD5加密生成用户信息并入库的代码(后端模拟注册):

package com.javaxl.miaosha_05.util;

import com.javaxl.miaosha_05.domain.MiaoshaUser;
import com.javaxl.miaosha_05.shiro.PasswordHelper;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.Timestamp;
import java.util.ArrayList;
import java.util.Date;
import java.util.List;

public class UserUtil {

    private static void createUser(int count) throws Exception {
        List<MiaoshaUser> users = new ArrayList<MiaoshaUser>(count);
        //生成用户
        for (int i = 0; i < count; i++) {
            //生成随机盐
            String salt = PasswordHelper.createSalt();
            MiaoshaUser user = new MiaoshaUser();
            user.setId(15200000000L + i);
            user.setLoginCount(0);
            user.setNickname("user" + i);
            user.setRegisterDate(new Date());
            user.setSalt(salt);
            //模拟将用户输入的密码进行MD5(明文+固定Salt)加密后,再次进行MD5(第一次加密后的密码+随机Salt)加密
            user.setPassword(PasswordHelper.createCredentials(MD5Util.inputPassToFormPass("123456"), salt));
            users.add(user);
        }

        //插入数据库
        Connection conn = DBUtil.getConn();
        String sql = "insert into miaosha_user(login_count, nickname, register_date, salt, password, id)values(?,?,?,?,?,?)";
        PreparedStatement pstmt = conn.prepareStatement(sql);
        for (int i = 0; i < users.size(); i++) {
            MiaoshaUser user = users.get(i);
            pstmt.setInt(1, user.getLoginCount());
            pstmt.setString(2, user.getNickname());
            pstmt.setTimestamp(3, new Timestamp(user.getRegisterDate().getTime()));
            pstmt.setString(4, user.getSalt());
            pstmt.setString(5, user.getPassword());
            pstmt.setLong(6, user.getId());
            pstmt.addBatch();
        }
        pstmt.executeBatch();
        pstmt.close();
        conn.close();
    }

    public static void main(String[] args) throws Exception {
        createUser(10);
    }
}

数据库里面存的是做了两次MD5加密后的用户密码与其对应的随机salt值:

现在我们登录的时候,要去取数据库里面对应用户的密码和salt值,后台接收到前端做了一次MD5的密码formPass,然后将这个formPass和数据库里面的salt一起再做一次MD5加密,然后看是否与数据库里面存的那个密码一致,如果一致,则登录成功,否则登录失败

注:第二次MD5加密所用的随机salt为什么要保存在数据库里,当数据库被侵入,做MD5加密之后的密码和随机salt一起被盗的话,用户密码不就泄露了吗?
如果不保存这个随机的salt,那么用户登录的时候就没法和数据库保存的密码进行校验了

实际上做MD5也不是绝对安全的,但是我们可以使得破解的难度呈指数型增长。MD5是不可逆的,不能反向解密的,网上所谓的“解密”都是把“加密”结果存储到数据库再比对的,只能暴力破解,即有一个字典,从字典中读取一条记录,将密码用加salt盐值做MD5加密来对比数据库里面的值是否相等

因为好事者收集常用的密码,然后对他们执行MD5加密,然后做成一个数据量非常庞大的数据字典,然后对泄露的数据库中的密码进行对比,如果你的原始密码很不幸的被包含在这个数据字典中,那么花不了多长时间就能把你的原始密码匹配出来,这个数据字典很容易收集,假设有600w个密码,坏人们可以利用他们数据字典中的密码,加上我们泄露数据库中的salt,然后散列再进行匹配

但是由于我们的salt是随机产生的,每条数据都要加上salt后再散列,假如我们的用户数据表中有30w条数据,数据字典中有 600w条数据,坏人们如果想要完全覆盖的话,他们就必须加上salt后再散列,那数据字典数据量就应该是30w*600w,所以说干坏事的成本也提高。但是如果只是想破解某个用户的密码的话,只需为这600w条数据加上salt,然后散列匹配,可见salt虽然大大提高了安全系数,但也并非绝对安全

实际项目中,salt也不一定要加在最前面或最后面,也可以插在中间,也可以分开插入,也可以倒序,程序设计时可以灵活调整,都可以使破解的难度呈指数型增长

登录逻辑处理:

前端代码:

controller层代码:

service层代码:

其他帮助类代码:

MD5Util.java代码:

package com.javaxl.miaosha_05.util;

import org.apache.commons.codec.digest.DigestUtils;

public class MD5Util {

    public static String md5(String src) {
        return DigestUtils.md5Hex(src);
    }

    //客户端固定的salt,跟用户的密码做一个拼装
    private static final String salt = "1a2b3c4d";

    public static String inputPassToFormPass(String inputPass) {
        String str = "" + salt.charAt(0) + salt.charAt(2) + inputPass + salt.charAt(5) + salt.charAt(4);
        System.out.println(str);
        return md5(str);
    }

    public static String formPassToDBPass(String formPass, String salt) {
        String str = "" + salt.charAt(0) + salt.charAt(2) + formPass + salt.charAt(5) + salt.charAt(4);
        return md5(str);
    }

    public static String inputPassToDbPass(String inputPass, String saltDB) {
        String formPass = inputPassToFormPass(inputPass);
        String dbPass = formPassToDBPass(formPass, saltDB);
        return dbPass;
    }
}

PasswordHelper.java代码:

package com.javaxl.miaosha_05.shiro;

import org.apache.shiro.crypto.RandomNumberGenerator;
import org.apache.shiro.crypto.SecureRandomNumberGenerator;
import org.apache.shiro.crypto.hash.SimpleHash;

/**
 * 用于shiro权限认证的密码工具类
 */
public class PasswordHelper {

    /**
     * 随机数生成器
     */
    private static RandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator();

    /**
     * 指定hash算法为MD5
     */
    private static final String hashAlgorithmName = "md5";

    /**
     * 指定散列次数为1024次,即加密1024次
     */
    private static final int hashIterations = 1024;

    /**
     * true指定Hash散列值使用Hex加密存. false表明hash散列值用用Base64-encoded存储
     */
    private static final boolean storedCredentialsHexEncoded = true;

    /**
     * 获得加密用的盐
     * @return
     */
    public static String createSalt() {
        return randomNumberGenerator.nextBytes().toHex();
    }

    /**
     * 获得加密后的凭证
     * @param credentials:凭证(即密码)
     * @param salt:盐
     * @return
     */
    public static String createCredentials(String credentials, String salt) {
        SimpleHash simpleHash = new SimpleHash(hashAlgorithmName, credentials,salt, hashIterations);
        return storedCredentialsHexEncoded ? simpleHash.toHex() : simpleHash.toBase64();
    }

    /**
     * 进行密码验证
     * @param credentials:未加密的密码
     * @param salt:盐
     * @param encryptCredentials:加密后的密码
     * @return
     */
    public static boolean checkCredentials(String credentials, String salt, String encryptCredentials) {
        return encryptCredentials.equals(createCredentials(credentials, salt));
    }
}
今日相乐,皆当喜欢
关注
  • 7
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
谷粒商城项目总结--MD5&MD5盐值加密
AgoniL的博客
08-11 261
MD5 • Message Digest algorithm 5,信息摘要算法 • 压缩性:任意长度的数据,算出的MD5值长度都是固定的。 • 容易计算:从原数据计算出MD5值很容易。 • 抗修改性:对原数据进行任何改动,哪怕只修改1个字节,所得到的MD5值都有很大区别。 • 强抗碰撞:想找到两个不同的数据,使它们具有相同的MD5值,是非常困难的。 • 不可逆 • 加盐: • 通过生成随机数与MD5生成字符串进行组合 • 数据库同存储MD5值与salt值。验证正确性使用salt进行MD5即可 .
java与MD5加密以及两次MD5加密
Selenium的博客
06-01 4076
java中实现MD5加密通常有两种方法 方法一:通过java自带的java.security.MessageDigest实现加密 package com.wantao.md5; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import java.util.Base64; pub...
使用md5二次加密用户密码
03-04
使用md5在用户注册在jsp加密一次,后台再加密一次用户名
SpringBoot+随机盐值+双重MD5实现加密登录
最新发布
浩泽学编程的博客
02-06 2716
SpringBoot+随机盐值+双重MD5实现加密登录。加盐(盐英文就是salt):在密码学中,是指通过在密码任意固定位置插入特定的字符串,让散列后的结果和使用原始密码的散列结果不相符,这种过程称之为”加盐“。 MD5信息摘要算法(英语:MD5 Message-Digest Algorithm):一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。MD5由美国密码学家罗纳德·李维斯特(Ronald Linn Rivest)设计,于199
MD5加密算法
xiaoxin888888的专栏
08-14 887
MD5加密算法不可逆,有着非常广泛的应用。比如数据库当中的用户名密码不希望被查看到,就可以使用MD5进行加密,验证用户的候,再将用户的信息加密与数据库里面的信息比对即可。下面的代码是一个脚本的MD5加密工具类:  <br />package {<br /> <br /> public class MD5Util {<br />  protected static var md5Util:MD5Util;<br />  protected const hexcase:int = 1;<br />  prot
被魔改 md5 加密坑了?某网站魔改 md5 加密逆向还原 (多种语言还原)
静觅
03-05 1093
这是「进击的Coder」的第 806篇技术分享作者:TheWeiJun来源:逆向与爬虫的故事“ 阅读本文大概需要 13 分钟。 ”大家好,我是 TheWeiJun;最近由于工作太忙好久没有更新了。静下心来,突然很想念各位读者朋友,所以晚上抽空更新一篇。今天分享一篇关于魔改 md5 实现的加密算法逆向分析,本文将用多种语言还原加密算法,解决不同语言还原加密算法的难题。希望各位朋友能够多多提出宝贵意...
登录md5两次加密+加盐
m0_59850969的博客
09-13 1855
1、第一次md5加密 用户输入明文密码到后端,目的是防止明文传输的信息被盗取 2、第二次md5加密 是将第一次加密加密完了的数据再一次加密 3、第三次是加盐 第二次的结果+盐,存进数据库,这样数据库的密码别人是无法获取到密码的 项目中写法为: 1、导入pom文件 <!--md5加密--> <dependency> <groupId>commons-codec</groupId> <artifactId>common
【密码加密方式——Md5+盐】
weixin_43434080的博客
05-25 5384
Md5+盐加密介绍 demo演示 源码观察
消息摘要算法简介
绝影メ之殇
05-31 388
消息摘要算法简介 一、什么是消息摘要算法 消息摘要算法的主要特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有输入相同的明文数据经过相同的消息摘要算法才能得到相同的密文。消息摘要算法不存在密钥的管理与分发问题,适合于分布式网络相同上使用。由于其加密计算的工作量相当可观,所以以前的这种算法通常只用于数据量有限的情况下的加密,例如计算机的口令就是用不可逆加密算法加密的。近年...
MD5、SHA、HMAC加密算法 - 不可逆加密
weixin_39651356的博客
04-25 1247
文章目录1. MD5(消息摘要算法5) - 固定128位二进制2. SHA-1加密安全哈希算法) - 固定160位二进制3. HMAC加密(基于哈希的消息验证代码) - 固定二进制位数 - 使用服务端产生的Key进行两次加盐(Key)处理 1. MD5(消息摘要算法5) - 固定128位二进制 作用:根据明文产品一个不可解的MD5信息摘要 特点不可逆运算:加密后不可以反计算得到明文等长性:加...
MD5算法+盐Salt
weixin_30378311的博客
09-24 1327
1、MD算法的基的概念    MD5算法是典型的消息摘要算法,其前身有MD2、MD3和MD4算法,它由MD4、MD3和MD2算法改进而来。不论是哪一种MD算法,它们都需 要获得一个随机长度的信息并产生一个128位的信息摘要。如果将这个128位的二进制摘要信息换算成十六进制,可以得到一个32位的字符串,故我们见到的 大部分MD5算法的数字指纹都是32为十六进制的字符串。 2、MD算法的...
JAVA上百实例源码以及开源项目
01-03
 Java非对称加密源程序代码实例,本例中使用RSA加密技术,定义加密算法可用 DES,DESede,Blowfish等。  设定字符串为“张三,你好,我是李四”  产生张三的密钥对(keyPairZhang)  张三生成公钥(publicKeyZhang...
JAVA上百实例源码以及开源项目源代码
09-17
 Java非对称加密源程序代码实例,本例中使用RSA加密技术,定义加密算法可用 DES,DESede,Blowfish等。  设定字符串为“张三,你好,我是李四”  产生张三的密钥对(keyPairZhang)  张三生成公钥(publicKeyZhang...
SpringBoot开发的高并发限抢购秒杀系统
04-22
系统介绍: 本系统是使用SpringBoot开发的高并发限抢购秒杀系统,除了实现基本的登录、...1. 两次MD5加密 2. session共享 3. JSR303自定义参数 4. 全局异常统一处理 5. 页面缓存 + 对象缓存 6. 页面静态化 ......
基于SpringBoot + MySQL + Redis + RabbitMQ + Guava开发的高并发商品限秒杀系统
10-11
本系统是使用SpringBoot开发的高并发限抢购秒杀系统,除了实现基本的登录、查看商品列表、秒杀、下单等功能,...1. 两次MD5加密 将用户输入的密码和固定Salt通过MD5加密生成第一次加密后的密码,再讲该密码和随机生成
商城秒杀项目】-- 项目总结
热门推荐
weixin_42687829的博客
02-27 1万+
最近对商城秒杀项目所用到的技术进行了剖析,技术点还是挺多的,本篇博客就来对商城秒杀项目进行一个总结与整理 项目相关博客汇总 1、【商城秒杀项目】-- 概况 2、【商城秒杀项目】-- 对返回json结果的封装、通用缓存Key的设计与封装 3、【商城秒杀项目】-- 登录使用两次MD5加密 4、【商城秒杀项目】-- 使用JSR303进行参数校验、全局异常处理 5、【商城秒杀项目】-- 分布...
商城秒杀项目】-- 使用rabbitmq异步下单
weixin_42687829的博客
02-25 5275
针对秒杀的业务场景,在高并发下,仅仅依靠页面缓存、对象缓存或者页面静态化等还是远远不够,数据库压力还是很大,所以需要异步下单,如果业务执行间比较长,那么异步是最好的解决办法,但会带来一些额外的程序上的复杂性 具体思路: 系统初始化,把商品库存数量加载到Redis里面去 后端收到秒杀请求,Redis预减库存,如果库存已经到达临界值的候,就不需要继续请求下去,直接返回失败,即后面的大量请求无...
商城秒杀项目】-- 概况
weixin_42687829的博客
02-20 4620
什么是秒杀 秒杀场景一般会在电商网站举行一些活动或者节假日在12306网站上抢票遇到。对于电商网站中一些稀缺或者特价商品,电商网站一般会在约定间点对其进行限量销售,因为这些商品的特殊性,会吸引大量用户前来抢购,并且会在约定的间点同在秒杀页面进行抢购 秒杀系统场景特点 秒杀大量用户会在同一间同进行抢购,网站瞬访问流量激增 秒杀一般是访问请求数量远远大于库存数量,只有少部分用户...
商城秒杀项目】-- 秒杀的业务逻辑、接口的优化
weixin_42687829的博客
02-25 3042
秒杀业务场景并发量很大,瓶颈在数据库,怎么解决?可以加缓存。用户在发起请求,从浏览器开始,在浏览器上做页面静态化直接将页面缓存到用户的浏览器端,然后请求到达网站之前可以部署CDN节点,让请求先访问CDN,到达网站的使用页面缓存。页面缓存再进一步,粒度再细一点的话就是对象缓存,缓存层依次请求完之后,才是数据库。通过一层一层的访问缓存逐步的削减到达数据库的请求数量,这样才能保证网站在高并发之下扛...
Android 项目中使用MD5加密
05-31
在 Android 项目中使用 MD5 加密,可以使用 Java 中的 `MessageDigest` 类。以下是一个简单的示例: ```java import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; public class MD5Helper { public static String toMD5(String str) { try { MessageDigest md = MessageDigest.getInstance("MD5"); byte[] bytes = md.digest(str.getBytes()); StringBuilder sb = new StringBuilder(); for (byte b : bytes) { sb.append(Integer.toHexString((b & 0xFF) | 0x100).substring(1, 3)); } return sb.toString(); } catch (NoSuchAlgorithmException e) { e.printStackTrace(); return null; } } } ``` 在上面的示例中,`toMD5` 方法接受一个字符串参数并返回一个字符串结果,表示该字符串的 MD5 加密结果。 例如: ```java String encryptedStr = MD5Helper.toMD5("Hello World!"); Log.d("MD5", encryptedStr); ``` 运行上面的代码,将在 LogCat 中显示字符串 "ed076287532e86365e841e92bfc50d8c",这就是 "Hello World!" 的 MD5 加密结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值