做MD5加密的目的
如果不做任何处理,那明文密码就会在网络上进行传输,假如在传输过程中被恶意用户取得这个数据,就可以得到这个密码,所以不安全
做两次MD5加密的目的
前端:pwd=MD5(明文+固定salt)
后端:pwd=MD5(第一次加密后的密码+随机salt)
第一次 (在前端加密):密码加密是(明文密码+固定盐值)生成MD5用于传输,目的是由于http是明文传输,当输入密码若直接发送到服务端进行验证,此时如果被截取将可以直接获取到明文密码,获取用户信息;加盐值是为了混淆密码,原则就是明文密码不能在网络上传输
第二次(在后端加密):服务端接收到已经用MD5加密的密码后,我们并没有直接存到数据库里面,而是生成一个随机的salt,跟用户输入的密码一起拼装,再做一次MD5加密,然后再把得到的密码存在数据库里面
第二次加密的目的:防止数据库被入侵,被人通过彩虹表反查出密码,所以服务端接受到密码后,也不是直接写入到数据库,而是生成一个随机盐(salt),再进行一次MD5加密后存入数据库
相关代码与分析
使用两次MD5加密生成用户信息并入库的代码(后端模拟注册):
package com.javaxl.miaosha_05.util;
import com.javaxl.miaosha_05.domain.MiaoshaUser;
import com.javaxl.miaosha_05.shiro.PasswordHelper;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.Timestamp;
import java.util.ArrayList;
import java.util.Date;
import java.util.List;
public class UserUtil {
private static void createUser(int count) throws Exception {
List<MiaoshaUser> users = new ArrayList<MiaoshaUser>(count);
//生成用户
for (int i = 0; i < count; i++) {
//生成随机盐
String salt = PasswordHelper.createSalt();
MiaoshaUser user = new MiaoshaUser();
user.setId(15200000000L + i);
user.setLoginCount(0);
user.setNickname("user" + i);
user.setRegisterDate(new Date());
user.setSalt(salt);
//模拟将用户输入的密码进行MD5(明文+固定Salt)加密后,再次进行MD5(第一次加密后的密码+随机Salt)加密
user.setPassword(PasswordHelper.createCredentials(MD5Util.inputPassToFormPass("123456"), salt));
users.add(user);
}
//插入数据库
Connection conn = DBUtil.getConn();
String sql = "insert into miaosha_user(login_count, nickname, register_date, salt, password, id)values(?,?,?,?,?,?)";
PreparedStatement pstmt = conn.prepareStatement(sql);
for (int i = 0; i < users.size(); i++) {
MiaoshaUser user = users.get(i);
pstmt.setInt(1, user.getLoginCount());
pstmt.setString(2, user.getNickname());
pstmt.setTimestamp(3, new Timestamp(user.getRegisterDate().getTime()));
pstmt.setString(4, user.getSalt());
pstmt.setString(5, user.getPassword());
pstmt.setLong(6, user.getId());
pstmt.addBatch();
}
pstmt.executeBatch();
pstmt.close();
conn.close();
}
public static void main(String[] args) throws Exception {
createUser(10);
}
}
数据库里面存的是做了两次MD5加密后的用户密码与其对应的随机salt值:
现在我们登录的时候,要去取数据库里面对应用户的密码和salt值,后台接收到前端做了一次MD5的密码formPass,然后将这个formPass和数据库里面的salt一起再做一次MD5加密,然后看是否与数据库里面存的那个密码一致,如果一致,则登录成功,否则登录失败
注:第二次MD5加密所用的随机salt为什么要保存在数据库里,当数据库被侵入,做MD5加密之后的密码和随机salt一起被盗的话,用户密码不就泄露了吗?
如果不保存这个随机的salt,那么用户登录的时候就没法和数据库保存的密码进行校验了实际上做MD5也不是绝对安全的,但是我们可以使得破解的难度呈指数型增长。MD5是不可逆的,不能反向解密的,网上所谓的“解密”都是把“加密”结果存储到数据库再比对的,只能暴力破解,即有一个字典,从字典中读取一条记录,将密码用加salt盐值做MD5加密来对比数据库里面的值是否相等
因为好事者收集常用的密码,然后对他们执行MD5加密,然后做成一个数据量非常庞大的数据字典,然后对泄露的数据库中的密码进行对比,如果你的原始密码很不幸的被包含在这个数据字典中,那么花不了多长时间就能把你的原始密码匹配出来,这个数据字典很容易收集,假设有600w个密码,坏人们可以利用他们数据字典中的密码,加上我们泄露数据库中的salt,然后散列再进行匹配
但是由于我们的salt是随机产生的,每条数据都要加上salt后再散列,假如我们的用户数据表中有30w条数据,数据字典中有 600w条数据,坏人们如果想要完全覆盖的话,他们就必须加上salt后再散列,那数据字典数据量就应该是30w*600w,所以说干坏事的成本也提高。但是如果只是想破解某个用户的密码的话,只需为这600w条数据加上salt,然后散列匹配,可见salt虽然大大提高了安全系数,但也并非绝对安全
实际项目中,salt也不一定要加在最前面或最后面,也可以插在中间,也可以分开插入,也可以倒序,程序设计时可以灵活调整,都可以使破解的难度呈指数型增长
登录逻辑处理:
前端代码:
controller层代码:
service层代码:
其他帮助类代码:
MD5Util.java代码:
package com.javaxl.miaosha_05.util;
import org.apache.commons.codec.digest.DigestUtils;
public class MD5Util {
public static String md5(String src) {
return DigestUtils.md5Hex(src);
}
//客户端固定的salt,跟用户的密码做一个拼装
private static final String salt = "1a2b3c4d";
public static String inputPassToFormPass(String inputPass) {
String str = "" + salt.charAt(0) + salt.charAt(2) + inputPass + salt.charAt(5) + salt.charAt(4);
System.out.println(str);
return md5(str);
}
public static String formPassToDBPass(String formPass, String salt) {
String str = "" + salt.charAt(0) + salt.charAt(2) + formPass + salt.charAt(5) + salt.charAt(4);
return md5(str);
}
public static String inputPassToDbPass(String inputPass, String saltDB) {
String formPass = inputPassToFormPass(inputPass);
String dbPass = formPassToDBPass(formPass, saltDB);
return dbPass;
}
}
PasswordHelper.java代码:
package com.javaxl.miaosha_05.shiro;
import org.apache.shiro.crypto.RandomNumberGenerator;
import org.apache.shiro.crypto.SecureRandomNumberGenerator;
import org.apache.shiro.crypto.hash.SimpleHash;
/**
* 用于shiro权限认证的密码工具类
*/
public class PasswordHelper {
/**
* 随机数生成器
*/
private static RandomNumberGenerator randomNumberGenerator = new SecureRandomNumberGenerator();
/**
* 指定hash算法为MD5
*/
private static final String hashAlgorithmName = "md5";
/**
* 指定散列次数为1024次,即加密1024次
*/
private static final int hashIterations = 1024;
/**
* true指定Hash散列值使用Hex加密存. false表明hash散列值用用Base64-encoded存储
*/
private static final boolean storedCredentialsHexEncoded = true;
/**
* 获得加密用的盐
* @return
*/
public static String createSalt() {
return randomNumberGenerator.nextBytes().toHex();
}
/**
* 获得加密后的凭证
* @param credentials:凭证(即密码)
* @param salt:盐
* @return
*/
public static String createCredentials(String credentials, String salt) {
SimpleHash simpleHash = new SimpleHash(hashAlgorithmName, credentials,salt, hashIterations);
return storedCredentialsHexEncoded ? simpleHash.toHex() : simpleHash.toBase64();
}
/**
* 进行密码验证
* @param credentials:未加密的密码
* @param salt:盐
* @param encryptCredentials:加密后的密码
* @return
*/
public static boolean checkCredentials(String credentials, String salt, String encryptCredentials) {
return encryptCredentials.equals(createCredentials(credentials, salt));
}
}