1、前面已经说了使用token进行登录校验,现在再进一步,关于使用账号+密码的登录方式。
由于之前再数据库中保存的密码都是明文形式,一旦数据库泄露会很严重的问题。
之前有报道过CSDN600万用户由于数据库泄露导致用户密码被公开。
CSDN详解600万用户密码泄露始末
所以今天使用的是加salt的方式将密码进行加密在保存到数据库中。
逻辑基本一致:
用户传入参数(用户名、密码)→查询用户名→把密码和数据库中的salt进行md5加密
→比对密码。
具体逻辑代码在service层中实现:
String salt = dbEmployee.getSalt();
String password = dbEmployee.getPassword();
String pswd = DigestUtils.md5DigestAsHex((password + salt).getBytes());
if(!pswd.equals(Employee.getPassword())){
return ResponseResult.errorResult(AppHttpCodeEnum.LOGIN_PASSWORD_ERROR);
}
// 返回数据
String token = AppJwtUtil.getToken(dbEmployee.getId().longValue());
Map<String,Object> map = new HashMap<>();
map.put("token",token);
Employee.setSalt("zuo");
Employee.setPassword("pswd");
map.put("Employee",Employee);
return ResponseResult.okResult(map);
}
先获取到数据库中的盐再和密码进行加密,然后判断密码是否正确。
密码正确然后再将数据返回。