登录提示“密码错误”,点忘记密码,重新设置密码提示“新密码不可与旧密码相同”??返回登录,输入密码提示“密码错误”??

于 2024-01-03 08:36:05 发布
阅读量587 收藏 7
点赞数 10
分类专栏: spring boot 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43165220/article/details/135335469
版权

前言

不知道大家有没有遇到过这种情况:登录某个网站或app的时候,输入密码,提示“密码错误”,然后点击“忘记密码”,重新设置新密码,结果提示“新密码不可与旧密码相同”???嗯?这什么情况?不信邪返回登录页面,再次输入密码,还是提示“密码错误”???不是,不是“新密码不可与旧密码相同”嘛,怎么用旧密码登录还是提示错误??这什么情况??

我之前就遇到过好几次这种情况,我一直想不太明白这到底怎么做到 “新密码不可与旧密码相同,旧密码错误” 的?

后面直到我自己做项目,遇到了需要 “给用户设置历史密码” 这种功能,我才想明白这是怎么一回事了。

因为之前用户密码一直都是直接放在用户信息表的,存的都是用户当前使用的密码,也想不到还有历史密码这回事,所以一直想不通怎么做到的。

现在,我们就来看看这个困扰我n久的问题是怎么实现的。

开始

需求

记录2次用户历史密码(可根据自己需要设置次数)。

思路

密码采用的是盐值加密,用户信息表存储密码有这两个字段:password(密码加密密文)、salt(盐值)。

历史密码我们需要单独的一张表存储,必须要有这几个字段:用户id、创建时间、password(密码加密密文)、salt(盐值)。因为用户每次修改密码,都将密码记录到这张表中,然后我们校验历史密码时,就需要按照创建时间倒叙。比如我的需求是校验两次历史密码,那就是 创建时间倒叙,取最新的两条,也就是 limit 2


有了历史密码表,用户信息表的 password、salt 这两个字段也可以去掉,登录时校验密码是否正确,改成从历史密码表拿登录用户最新的那个密码和盐值进行校验。然后我这里的话选择了保留这两个字段,登录那一块的逻辑就不用变,只需要在新增用户、修改密码这两个地方需要改一下。

校验新密码和设置历史密码流程:用户每次修改密码,先校验新密码(校验格式、密码是否正确、是否和历史密码相同),校验通过,将新密码设置到历史密码表中(同时更新用户信息表的密码和盐值);新增用户时,先校验密码格式,校验通过,新增用户,同时将密码设置到历史密码表中。

历史密码表

用户信息表我选择保留 password(密码加密密文)、salt(盐值)这两个字段,所以这个表不做更改。

历史密码表如下:

DROP TABLE IF EXISTS `sys_history_pwd`;
CREATE TABLE `sys_history_pwd`  (
  `id` varchar(50) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NOT NULL COMMENT 'ID编号',
  `create_time` datetime NULL DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间',
  `user_id` varchar(50) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NULL DEFAULT NULL COMMENT '用户id',
  `password` varchar(100) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NULL DEFAULT NULL COMMENT '密码',
  `salt` varchar(50) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NULL DEFAULT NULL COMMENT '盐值',
  PRIMARY KEY (`id`) USING BTREE,
  INDEX `user_id`(`user_id` ASC) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8mb4 COLLATE = utf8mb4_0900_ai_ci COMMENT = '存储用户历史密码' ROW_FORMAT = Dynamic;

新增用户

/**
 * 新增
 */
@PostMapping("/insert")
public ResultUtil insert(@RequestBody SysUser user) throws NoSuchAlgorithmException, InvalidKeySpecException {
	// 省略其他代码......
	// 注意密码传输应该进行加密,而不能直接用明文传输,这里我省略了密码解密这一步,项目中要注意
	// 校验用户名和密码不可相同
    if(user.getUserName().equals(user.getPassword())){
        return ResultUtil.error("密码不可与用户名称相同");
    }
    String salt = EncryptionUtil.generateSalt();
    // 根据明文密码和盐值进行加密,得到密文
    String password = EncryptionUtil.getEncryptedPassword(password, salt);
    user.setId(IdUtil.fastSimpleUUID());
    user.setSalt(salt);
    user.setPassword(password);
    sysUserService.save(user);
    // 记录历史密码
    sysHistoryPwdService.insertHistoryPwd(user.getId(),password,salt);
    return ResultUtil.success();
}

修改密码

/**
 * 修改密码
 */
@PostMapping("/updatePassword")
public ResultUtil updatePassword(String oldPassword,String newPassword,String userId) throws InvalidKeySpecException, NoSuchAlgorithmException {
	// 省略其他代码......
	// 注意密码传输应该进行加密,而不能直接用明文传输
    SysUser user = sysUserService.getById(userId);
    //对旧密码进行加密对比:先将用户输入的旧密码(明文)根据盐值加密,对比用户输入的旧密码的密文是否和数据库中的密文一致
    boolean authenticate = EncryptionUtil.authenticate(oldPassword, user.getPassword(), user.getSalt());
    if (!authenticate){
        return ResultUtil.error("旧密码错误");
    }
    // 校验历史密码
    if (sysHistoryPwdService.checkNewPwd(userId, newPassword)){
        return ResultUtil.error("新密码不可与旧密码相同");
    }
    String salt = EncryptionUtil.generateSalt();
    // 根据明文密码和盐值进行加密,得到密文
    String password = EncryptionUtil.getEncryptedPassword(newPassword, salt);
    UpdateWrapper<SysUser> updateWrapper = new UpdateWrapper<>();
    updateWrapper.set("password", password);
    updateWrapper.set("salt", salt);
    updateWrapper.eq("id",user.getId());
    sysUserService.update(updateWrapper);
    // 记录历史密码
    sysHistoryPwdService.insertHistoryPwd(userId,password,salt);
    return ResultUtil.success();
}

修改密码这里,我只做了在记得旧密码的情况下修改密码,没有做忘记密码的功能,不过“校验新密码和历史密码是否相同”都是一样的。

SysHistoryPwdService:

/**
 * 根据用户id获取该用户的历史密码
 */
public List<SysHistoryPwd> historyPwdByUserId(String userId){
    QueryWrapper<SysHistoryPwd> query = new QueryWrapper<>();
    query.eq("user_id",userId);
    query.orderByDesc("create_time"); // 创建时间倒叙
    query.last("limit 2"); // 只取最近的两个密码
    return baseMapper.selectList(query);
}

/**
 * 校验新密码是否和前两次历史密码相同
 */
public boolean checkNewPwd(String userId,String newPwd) throws NoSuchAlgorithmException, InvalidKeySpecException {
    List<SysHistoryPwd> historys = historyPwdByUserId(userId);
    boolean flag = false; // false 新密码与历史密码不同 true 新密码与历史密码相同
    for (SysHistoryPwd item : historys) {
        boolean authenticate = EncryptionUtil.authenticate(newPwd, item.getPassword(), item.getSalt());
        if (authenticate){
            flag = true;
            break;
        }
    }
    return flag;
}

/**
 * 新增一条历史密码数据
 */
public void insertHistoryPwd(String userId,String password,String salt) throws NoSuchAlgorithmException, InvalidKeySpecException {
    SysHistoryPwd historyPwd = new SysHistoryPwd();
    if (StrUtil.isEmpty(salt)){
        salt = EncryptionUtil.generateSalt();
        password = EncryptionUtil.getEncryptedPassword(password, salt);
    }
    historyPwd.setId(IdUtil.fastSimpleUUID());
    historyPwd.setUserId(userId);
    historyPwd.setSalt(salt);
    historyPwd.setPassword(password);
    baseMapper.insert(historyPwd);
}

EncryptionUtil密码盐值加密工具类:

import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.PBEKeySpec;
import java.math.BigInteger;
import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;
import java.security.spec.InvalidKeySpecException;
import java.security.spec.KeySpec;
import java.util.Random;

/**
 * 密码盐值加密工具类
 */
public class EncryptionUtil {
    private EncryptionUtil(){}

    public static final String PBKDF2_ALGORITHM = "PBKDF2WithHmacSHA256";

    /**
     * 盐的长度
     */
    public static final int SALT_BYTE_SIZE = 32;

    /**
     * 生成密文的长度
     */
    public static final int HASH_BIT_SIZE = 128;

    /**
     * 迭代次数
     */
    public static final int PBKDF2_ITERATIONS = 2000;

    /**
     * 验证输入的password是否正确
     * @param attemptedPassword 待验证的password
     * @param encryptedPassword 密文
     * @param salt 盐值
     */
    public static boolean authenticate(String attemptedPassword, String encryptedPassword, String salt) throws NoSuchAlgorithmException, InvalidKeySpecException {
        // 用同样的盐值对用户输入的password进行加密
        String encryptedAttemptedPassword = getEncryptedPassword(attemptedPassword, salt);
        // 把加密后的密文和原密文进行比較,同样则验证成功。否则失败
        return encryptedAttemptedPassword.equals(encryptedPassword);
    }

    /**
     * 生成密文
     * @param password 明文password
     * @param salt 盐值
     */
    public static String getEncryptedPassword(String password, String salt) throws NoSuchAlgorithmException, InvalidKeySpecException {
        KeySpec spec = new PBEKeySpec(password.toCharArray(), fromHex(salt), PBKDF2_ITERATIONS, HASH_BIT_SIZE);
        SecretKeyFactory f = SecretKeyFactory.getInstance(PBKDF2_ALGORITHM);
        return toHex(f.generateSecret(spec).getEncoded());
    }

    /**
     * 通过提供加密的强随机数生成器 生成盐
     */
    public static String generateSalt() throws NoSuchAlgorithmException {
        SecureRandom random = SecureRandom.getInstance("SHA1PRNG");
        byte[] salt = new byte[SALT_BYTE_SIZE];
        random.nextBytes(salt);
        return toHex(salt);
    }

    /**
     * 十六进制字符串转二进制字符串
     * @param hex the hex string
     */
    private static byte[] fromHex(String hex) {
        byte[] binary = new byte[hex.length() / 2];
        for (int i = 0; i < binary.length; i++) {
            binary[i] = (byte) Integer.parseInt(hex.substring(2 * i, 2 * i + 2), 16);
        }
        return binary;
    }

    /**
     * 二进制字符串转十六进制字符串
     * @param array the byte array to convert
     */
    private static String toHex(byte[] array) {
        BigInteger bi = new BigInteger(1, array);
        String hex = bi.toString(16);
        int paddingLength = (array.length * 2) - hex.length();
        if (paddingLength > 0) return String.format("%0" + paddingLength + "d", 0) + hex;
        else return hex;
    }
}

最后

密码加密、校验是否正确这些,根据自己的加密方式调整,反正道理就是这么个道理。

这样我们就实现了历史密码,快点把这个功能加进自己的项目里吧,这样说不定以后别人用你的系统也会有我开头的那种疑问呢😂

(欢迎大家多多给博主点赞或关注~)

符华-
关注
  • 10
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
android记住密码和自动登录功能源码
07-04
android 客户端记住密码和自动登录功能,好看的UI界面,绝对源码、可运行。
迪文DGUSIIos密码登录与改写设计
09-08
DGUS2的密码登录与改写,功能设计:密码判断切换页面、数据库保存、设计思路清晰、代码清晰、可移植性强。
vue网站后台登录注册和忘记密码切换页
07-13
注:无后台 vue网站后台登录注册和忘记密码切换页
在后台修改FTP密码后。为何密码新密码都可以用?
10-01
在后台修改FTP密码后。为何密码新密码都可以用?
完美Excel密码登录
06-04
这是一个学习VBA程序设计的优秀案例,基于Excel宏语言VBA设计的密码登录窗,经测试已无Bug,特色是窗体能置顶显示,密码验证通过后将自动打开另外一个经密码保护的工作簿,代码经简单修改便可移植使用。内含窗体设计样例,代码设计简洁,执行效率高,同附有丰富注释,简单易懂,这是作者花了将近一个月的间研究出来的成果,如果你能在一天内读懂里面的代码,你就能在一天内成为VBA程序设计的半个高手,不用再步作者后尘,得花上一个月的间来研究,大大提高新手的学习效率。 登录密码为:123456 数据库密码为:12345678 声明:该软件代码仅用于个人学习研究,未经许可不得用于商业用途,也不可在其他网站转载发布。 作者主页:https://blog.csdn.net/bigtoothcat?type=blog
关于访问达梦数据库报错的常见问题
热门推荐
不定期分享数据库相关内容。
10-12 1万+
如果是在 windows 操作界面,可以直接用管理工具-单击表然后右键查看。如果是在 Linux 界面可通过以下方法查看。方法一调用 DM 存储系统过程,获得表的定义,如下图所示:​schname:模式名tablename:表名这个存储过程,直接 call 调用或者写在匿名块中调用均可。​BEIGNEND;​这个存储过程是 DM 数据库独有的,Oracle 并没有这个存储过程。但是它存在一个缺,只能查询表,不能查询其他类型的对象。
鼠标击按钮响应两次的bug
weixin_43149049的博客
01-17 1229
用UGUI鼠标击按钮,响应的方法是一个观察者模式,监听方法是一个脚本,结果我在两个物体上面添加了这个脚本 然后出问题了,就响应了两次,我开协程当击的候等待0.5秒再响应 结果还是有问题,最后在场景里发现是我在两个物体上面添加了这个脚本出现的,这两个脚本都有监听 ...
如何解决输入正确密码依然打不开共享文件的方法
weixin_33827965的博客
11-13 1152
如何解决输入正确密码依然打不开共享文件的方法电脑帮帮手2017-08-29 15:15随着共享文件使用频繁,设置密码也是增强安全性一种方式,但是最近遇到奇怪事情,输入正确密码依然提示登录失败,不管输入多次提示,经过多番尝试,最终解决,主要是因为管理身份验证级别没有定义,导致访问未响应,希望本文能给你找到解决办法。一、win7访问xp共享文件,共享方式有所不同。win7安...
LINUX终端登录提示 Login incorrect(想到了密码不正确,没想到用户名不正确……呵呵)
RogerFedererGO的博客
01-20 9511
LINUX 登录 LOGIN INCORRECT
电脑(win10系统) 每次开机都进入备份系统
最新发布
qq_34794885的博客
09-11 1098
2、击电脑,右击属性,打开设置---高级系统设置-----高级 ------启动和故障恢复下的设置----默认系统,选win10,地下两个选项取消勾选。1、win+r 打开cmd,输入msconfig,打开系统配置--引导---选择win10系统----设为默认值----确定。解决方法,在系统设置里面将win10设置为默认的开机项。
Error creating bean with name ‘shiroFilterFactory‘ defined in class path resource
weixin_43165220的博客
01-27 7444
springboot+shiro+redis整合中,启动项目报错: Error creating bean with name ‘shiroFilterFactory’ defined in class path resource 这是我的ShiroConfig类 package com.mh.common.config; import com.mh.common.shiro.ShiroRealm; import com.mh.common.shiro.ShiroRetryLimit; import
springboot @Transient无效的问题
weixin_43165220的博客
01-21 4806
我在实体类中要加一个数据库中没有的字段 private List<Dept> children; 以前因为都是自己写的sql语句,遇到这种比如要添加自定义的list,都是直接在mapper.xml里用 collection的 <collection property="children" javaType="java.util.List" resultMap="childrenResultMap" /> 后面用了mybatis-plus,都是用crud来操作数据库,结果就是遇
【SpringBoot+Redis】实现多端登录+token自动续期和定期刷新+自定义注解和拦截器实现鉴权(角色和权限校验)
weixin_43165220的博客
12-22 4773
【SpringBoot+Redis】实现多端登录、防止重复登录+token自动续期和定期刷新+自定义注解和拦截器实现鉴权。将登录相关、退出、token相关的这些操作,全部抽出来,放到一个自定义的@Component组件中,在这里实现具体过程,其他地方我们不用关心实现步骤,只需要直接调用这里面的相关方法就行。鉴权相关将角色和角色对应的权限放到缓存中,每次请求在拦截器里从缓存中拿到角色和权限进行校验。
前后端分离验证码存储,session处理
weixin_43165220的博客
04-09 3983
问题描述 前后端分离,验证码存储到session中,postman测试可以获取到session中的验证码,但是在另一台电脑上获取session中的验证码却始终为null,试了各种跨域、携带cookie都不管用。 前言 一个之前完成的项目说要加些新需求要我们做,我们肯定不能拒绝啊,开干。 打开项目,运行,浏览器输入地址,输入用户名、密码、验证码,登录,???验证码已失效???啥情况?断一看,好家伙,获取存储在session中的验证码一直是null,再将存储验证码的session和登录从请求获取的ses
springboot整合canal,监听MySQL binlog日志,实现增量同步
weixin_43165220的博客
09-07 3792
有两个数据库,并不是主从关系,但是需要同步某张表,可以通过binlog日志,进行同步,前提是这两个数据库的要同步的表,表名和字段名需要一致。 当前项目连接的数据库(需要同步的数据库):base_project 需要将数据同步到 base_project 的数据库(需要监听的数据库):test 一、下载canal 我整合的是1.1.4版本,所以下载也是下载的1.1.4版本 解压,打开 conf/example/instance.properties 文件 ##########################
shiro整合单登录,setLoginUrl重定向地址会携带JSESSIONID的问题
weixin_43165220的博客
03-05 3260
今天遇到一个问题,在springboot+shiro整合的项目中,单登录,当登录过期使用setLoginUrl 设置重定向地址,然后这个地址返回一个登录过期请重新登录提示给前端,然后前端控制页面跳转到登录页面。 问题就出在重定向的候,setLoginUrl 设置的地址总是会携带JSESSIONID,就一直报302错误 具体情况如下: ShiroConfig配置类 //省略其他配置 /** * Shiro基础配置 */ @Bean public ShiroFilterFactoryBean sh
springboot+shiro+redis多端登录:单登录+移动端和PC端同在线
weixin_43165220的博客
02-10 2744
参考文章: 单登录:https://mp.weixin.qq.com/s/DGFFPl93kZxS5G_DSFTBDA 多端登录:https://blog.csdn.net/zhourenfei17/article/details/88826911 一、前言 最近一个springboot项目要求增加一些app的功能。然后首先要改的就是这个登录的功能。我原本的登录就只是web端登录,实现了单登录,就是同一个用户只能同登录一次,如果再次登录的话,会清除上一次的登录信息。(具体实现参考上面的单登录链接)
springboot打包成jar运行无法访问resources下的资源,以及jar包运行引用的第三方jar包也无法加载
weixin_43165220的博客
02-05 2691
最近碰到个问题,就是项目打包成jar包运行无法访问resources里的资源。jar包运行引用的第三方jar包也无法加载。 就是我需要实现一个导出成pdf或者word文档的功能,导出这两种文档是根据模板来导出。先准备好了pdf和word的模板,导出将数据内容填充到模板中,然后再将填写好内容的pdf或word文档下载下来。 这两种模板我是放在 resources 目录下 template 文件夹里 读取模板,我是用 ClassLoader.getSystemResource(“template”).g
系统登录失败次数超过限定次数,则根据IP或用户名锁定,需要过了锁定间才可以继续登录
weixin_43165220的博客
06-26 2621
之前做的项目都有用户名锁定机制,即:用户名失败次数超过多少次,就锁定这个用户不可以再登录,需要等过了锁定间才可以继续登录。然后最近的一个项目中,有个漏洞整改措施中,提到了这个锁定机制不能只根据用户名锁定,还要根据IP锁定。
mysql不需要密码就可登录
06-02
如果 MySQL 不需要密码就可以登录,则可能是 MySQL 的安全设置出现了问题。可以尝试以下步骤来解决这个问题: 1. 检查 MySQL 的用户表,确保存在一个用户名为 root 的用户,并且该用户有一个密码: ``` SELECT User, Host, Password FROM mysql.user WHERE User='root'; ``` 如果没有密码,则需要设置一个密码: ``` UPDATE mysql.user SET Password=PASSWORD('new_password') WHERE User='root'; ``` 2. 检查 MySQL 的配置文件,确保配置文件中没有跳过密码验证的设置。在 MySQL 的配置文件(通常是 /etc/my.cnf 或 /etc/mysql/my.cnf)中查找以下内容: ``` skip-grant-tables ``` 如果找到了该设置,请移除该设置,并重启 MySQL 服务。 3. 重新启动 MySQL 服务,并尝试登录 MySQL。如果仍然可以无密码登录,则可能是其他安全设置出现了问题,需要进一步调查和排查。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

符华-

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值