用户模块关于弱密码md5加密

已于 2023-03-27 21:49:25 修改
阅读量345 收藏 1
点赞数 2
文章标签: 数据库 spring spring cloud spring boot
于 2023-03-27 21:45:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47088824/article/details/129803878
版权

在做用户登录的时候,获取到用户username和password,此时我们有两种比较方法:

-- 第一种
select * from user where username = ? and password = ?

-- 第二种
select * from user where username = ?

我们应该使用哪一种呢?

答案是第二种。因为第一种表示数据库存储的就是md5(用户密码),如果用户的密码是弱密码,那么数据库一旦泄露,那么使用md5解密就有可能能获取到用户的密码,不安全。所以解决办法是在用户表中再加入一个字段salt(加密盐,可以是一串uuid,每个用户唯一),用户在注册或者修改密码的时候,把salt加到用户输入的密码后面,然后再使用md5加密存储到数据库中。这种复杂的密码,是无法进行md5解密的。

基于以上分析,我们已经清楚,在比对用户密码的时候要先拿到该用户的salt,拼接在用户密码的后面,再使用md5加密,然后与数据库中的密码进行比对。所以我们只能使用第二种sql才能达到这种效果。

还有一个注意的点是,当username不存在时应该返回什么错误信息呢?最好不要回复“用户名不存在”,因为这样的话,其他人就知道哪些用户名被注册过,所以最好还是回复“用户名或密码错误” 。       

补充一点:

用户登录后会生成jwt token,为了防止jwt token泄露,提供一种解决方案:

  • 每次生成令牌的时候,把用户的IP作为令牌的一部分进行MD5加密,并将密文存入到令牌中
  • 用户每次访问API接口的时候,都先获取客户端IP,再将IP进行MD5加密,并和令牌中的IP密文比对
  • 如果密文一致,则证明IP没有发生变化,如果密文不一致,则证明IP发生变化,提示重新登录

散的知识点

token校验的密钥能不存放其他模块就不存放其他模块

 

不知名码农0324
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java 加解密技术系列之 MD5
紫羽风的博客
02-26 2万+
序 上一篇文章中,介绍了最基础的编码方式 — — BASE64,也简单的提了一下编码的原理。这篇文章继续加解密的系列,当然也是介绍比较基础的加密方式 — — MD5MD5 属于单向加密算法,是不可逆的加密方式,也就是说,采用了 MD5 加密方式加密之后,就不能对加密的结果进行解密,得到原有的字符串,这是不可以的。 背景 相信在我们的生活中,MD5 用到的还是
MD5不安全的3个原因,用这些方法可以解决
m0_69916115的博客
06-10 1133
MD5信息摘要算法是一种散列函数,是不可逆的,曾被广泛应用在计算机安全领域。由于王小云研究团队发现了MD5国际密码算法存在漏洞,被证实MD5并不安全。为什么MD5不安全呢,MD5不安全,我们用什么方法解决?...
MD5加密算法解释——Java简单应用(java.security.MessageDigest)
XMZHSY的博客
08-27 1万+
MD5解释 MD5消息摘要算法(英语:MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。MD5由罗纳德·李维斯特设计,于1992年公开,用以替换MD4算法。MD5在MD4的基础上增加了"安全带"(safety-belts)的概念。虽然MD5比MD4复杂度大一些,但却更为安全。 知识补给: 1、MD4算法需要填补信息以确...
签名获取错误(错误: java.io.IOException: Invalid keystore format)签名中没打印出MD5信息
weixin_44669831的博客
12-23 1877
安卓签名文件 Invalid keystore format
在MySQL中使用MD5加密体验
热门推荐
随心笔记
06-08 1万+
推荐一些新入坑的小白,用作体验了解。
【代码扫描修复】MD5加密HASH漏洞
ACGkaka的博客
08-01 2150
目前,SHA-224、SHA-256、SHA-384、SHA-512和SHA-3都是不错的备选方案。修复建议停止使用MD2、MD4、MD5、RIPEMD-160和SHA-1对安全性关键的上下。MD2、MD4、MD5、RIPEMD-160和SHA-1是常用的加密散列算法,通常用于验证消。对于SHA-1,目前的破坏技术仍需要极高的计算能力,因此比较难以实现。然而,攻击者已发现了该算法的致命点,破坏它的技术可能会导致更快地发起攻击。陷,因此它们不应该再用于安全性关键的上下文中。...
算法MD5、SHA1、DES、AES CBC-修复建议
键盘的起始页
04-14 1167
算法MD5、MD4、SHA1、DES、3DES、AES CBC-修复建议
MD5有哪些特性,常用的MD5加密安全吗
Free雅轩的博客
02-27 388
从技术的角度来说,MD5真的很安全,因为MD5本身是不可逆的,因此没法解密,除了撞库这样的一个方式。随着各种加密原文的收集,在庞大的数据中积累了越来越多的大量句子,MD5似乎已不再安全,就像一个post请求,只是你认为他不是明文,他只是阻隔了一部分什么都不知道的人群。MD5是经常使用的加密方式,它能够将任意长度的输入串通过计算获得固定长度的输出,而且在明文相同的状况下,才能得到相同的密文,这个算法是不可逆的,即使获得了加密之后的密文,也不可能经过解密算法反算出明文。因为很容易理解,md5的解密就是反查法。
新QQ密码加密函数模块MD5+BASE64示例
05-12
内容索引:VB源码,加密解密,加密 新QQ密码加密函数模块,这个模块除了MD5加密部分是网上找来的,其余部分都是本人独立完成的。其实也很简单,就是MD5+BASE64,要问16还是32的MD5,其实是32的,只不过加密后的32位长...
asp.net中使用cookie与md5加密实现记住密码功能的实现代码
01-20
在做一个前台的登陆和后台的信息审核管理功能时,需要用到记住密码模块:虽然.net内置了登陆控件,有记住密码的功能,但还是想自己实践一下,以下代码主要应用了COOKIE,包括安全加密的过程等。 代码如下://设置...
口令及对应md5值字典
12-06
口令及对应md5值字典
MD5加密技术
09-05
MD5加密技术在登录功能模块模块的应用思路:获取到用户输入的密码字符串,使用MD5加密工具进行加密,然后再与该用户名在数据库中对应的已加密密码进行对比,为true标识输入的密码正确,否则表示输入的密码错误。...
易语言md5数据库模块
07-19
易语言md5数据库模块源码,md5数据库模块,读加密配置项,写加密配置项,取加密配置节名,取加密配置项名,删除加密配置节,删除加密配置项,新建库,加入记录,校对密码是否匹配,不可逆复杂加密,MD5加密_16,MD5加密_32
angular使用md5,CryptoJS des加密的方法
12-04
1. 安装模块 ts-md5 $ npm install ts-md5 --save 2. 使用md5进行加密 import { Md5 } from 'ts-md5'; // ... // 密码 password: string = "12345"; // 加密方法 - md5加密 decode() { const passwordMd5 = Md...
【kettle001】访问国产达梦数据库并处理数据至execl文件
kngines
04-22 425
一直以来想写下基于kettle的系列文章,作为较火的数据ETL工具,也是日常项目开发中常用的一款工具,最近刚好挤时间梳理、总结下这块儿的知识体系。熟悉、梳理、总结下达梦(DM)关系型数据库相关知识体系。
探秘MySQL主从复制的多种实现方式
todoitbo的博客
04-26 652
本文将深入探讨MySQL主从复制的多种实现方式,包括基于语句、基于行和混合模式等。无论您是初学者还是有经验的数据库管理员,都能通过本文全面了解MySQL主从复制技术的多样化选择,从而提高数据库的可用性和性能。
redis分布式锁到底怎么用
LinggoLing的博客
04-22 439
分布式锁到底怎么用
mysql-connector-javaspring-boot-starter-jdbc和mybatis-spring-boot-start
xzy的博客
04-23 955
JDBC是使用java语言操作mysql数据库的规范,java语言必须按照这个规范写才可以操作mysql数据库
SpringCloudAlibaba:2.1nacos
最新发布
m0_63040701的博客
04-26 497
Nacos是阿里巴巴开源的服务注册中心以及配置中心Nacos=注册中心Eureka + 服务配置Config + 服务总线Bus。
Python进行md5加密
09-22
MD5是一种广泛使用的散列函数,用于保证信息传输的完整性。它可以将任意长度的数据转换为一个固定长度的...而且,MD5加密算法并不是绝对安全的,可以对MD5数据再次进行MD5加密或使用其他的加密方法增加密码的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值