在Spring项目中使用Maven和BCrypt来实现修改密码功能

简介 

在数字时代，信息安全的重要性不言而喻，尤其当涉及到个人隐私和账户安全时。每天，无数的用户登录各种在线服务，从社交媒体到银行账户，再到电子邮件和云存储服务。这些服务的背后，是复杂的系统架构，其中包含着用户最为敏感的数据——密码。

过去，简单的加密方法和弱密码策略导致了许多严重的数据泄露事件。例如，2013年雅虎（Yahoo）遭遇的大规模数据泄露事件，影响了数十亿的用户账户，部分原因就是由于使用了不够安全的密码存储技术。再如2016年的LinkedIn数据泄露事件，尽管该公司使用了SHA-1散列算法对密码进行了处理，但未加盐的密码散列最终还是被破解，暴露了用户的隐私。

这些事件引发了行业对于密码安全的深刻反思，促使开发者和安全专家寻找更安全的解决方案。BCrypt作为一种适应性强且经过时间考验的密码哈希算法，成为了现代密码安全的基石。它不仅能够有效抵御暴力破解和彩虹表攻击，还能通过增加工作因子来适应未来计算能力的增长。

在本文中，我们将深入探讨如何在Spring项目中利用Maven和BCrypt来实现一个安全的密码修改功能。这不仅仅是关于代码实现的问题，更是一次对密码安全重要性的重申，以及对如何在实际应用中践行这一原则的示范。我们将从环境搭建开始，逐步构建出一个既实用又安全的密码修改流程，确保即使在最恶劣的情况下，用户的密码也能得到妥善保护。

通过本文的学习，你将获得宝贵的实践经验，了解如何在自己的项目中实施类似的解决方案，从而提升应用的安全性，给用户提供更加安心的在线体验。在接下来的内容中，我们将一步步解析实现过程，从添加依赖到编写核心业务逻辑，直至完成完整的功能测试，确保每一步都遵循最佳的安全实践。

controller(UserController)

/**
     * 修改密码
     */
    @PutMapping("/update/pwd/{id}")
    public Result update(@PathVariable("id") long id, @RequestBody ChangePasswordVo changePasswordVo) {
        try{
           userService.changePassword(changePasswordVo,id);
            return Result.success("修改成功！");

        }catch (Exception e){
            // 捕获异常，获取异常信息
            String message = e.getMessage();
            // 如果修改失败，返回失败的结果，并附带异常信息
            return Result.failed(message);
        }
    }

1. 注解 @PutMapping("/update/pwd/{id}")

   • @PutMapping 是Spring MVC中的一个注解，用于处理HTTP PUT请求。
   • "/update/pwd/{id}" 是该方法的URL路径。其中 {id} 是一个路径变量，用于接收用户ID。

2. 方法定义 public Result update(...)

   • 这是一个公开的方法，名为update，返回一个Result对象。
   • Result 很可能是一个自定义的响应类，通常用于封装API的响应结果，包括状态码、消息和数据等。

3. 方法参数

   • @PathVariable("id") long id：这是从URL路径中提取的id变量。@PathVariable 注解告诉Spring MVC从URL中提取名为id的变量值，并将其转换为long类型。
   • @RequestBody ChangePasswordVo changePasswordVo：@RequestBody 注解用于将HTTP请求体中的JSON数据转换为ChangePasswordVo类型的对象。ChangePasswordVo 可能是一个包含旧密码和新密码等信息的DTO（数据传输对象）。

4. 方法体

   • 首先，它尝试调用 userService.changePassword(changePasswordVo,id);。这里假设userService是一个已经注入的服务类，用于处理与用户相关的业务逻辑。changePassword 方法可能会根据提供的用户ID和密码信息来更新用户的密码。
   • 如果上述操作成功，方法将返回一个表示成功的Result对象，并附带消息“修改成功！”。
   • 如果在更新密码的过程中发生异常（如数据库错误、密码验证失败等），catch 块将捕获该异常，并获取其消息。然后，它返回一个表示失败的Result对象，并附带异常的消息。

---

entity(VO-ChangePasswordVo)

@Data
public class ChangePasswordVo implements Serializable {

    /**
     * 旧的密码
     */
    private String oldpassword;


    /**
     * 新的密码
     */
    private String newpassword;

}

1. 注解

   • @Data: 这是一个Lombok库提供的注解。当你添加@Data到类上时，Lombok会自动为这个类生成getter、setter、equals、hashCode和toString方法。这可以大大减少模板代码的数量，使代码更加简洁。
   • implements Serializable: 这表示该类实现了Serializable接口。Serializable是一个标记接口，用于指示一个类的对象可以被序列化。序列化是将对象状态转换为字节流，以便可以将其写入文件或发送到网络上的另一个位置。如果该类或其成员类（如果它们不是基本类型或String、数组等）需要被序列化，则必须实现这个接口。

2. 成员变量

   • private String oldpassword;: 这是一个私有字符串类型的成员变量，用于存储旧的密码。但是，从Java的命名约定来看，变量名应该使用驼峰命名法（camelCase），并且首字母小写。因此，更合适的命名可能是oldPassword。
   • private String newpassword;: 同样，这是一个私有字符串类型的成员变量，用于存储新的密码。按照Java的命名约定，它应该被命名为newPassword。

3. 注释

   • 每个成员变量上方都有注释，描述了该变量的用途。这是一个很好的做法，因为它增加了代码的可读性。但是，请注意，这些注释是用中文写的，而在国际项目中，通常建议使用英文注释。

---

Service

---

UserService

void changePassword(ChangePasswordVo changePasswordVo, Long id);

1. 返回类型 (void): 方法前面有一个void关键字，表示这个方法没有返回值。也就是说，当你调用这个方法时，它不会返回任何值或对象。

2. 方法名 (changePassword): 这是方法的名称，即changePassword。当你想在代码的其他部分调用这个方法时，你会使用这个名字。

3. 参数:

   • ChangePasswordVo changePasswordVo: 这是方法的第一个参数。

     • ChangePasswordVo: 这是参数的类型。它可能是一个数据传输对象（DTO），用于封装与更改密码相关的数据，如旧密码、新密码等。
     • changePasswordVo: 这是参数的名称。在方法内部，你可以使用这个名称来引用传入的ChangePasswordVo对象。

   • Long id: 这是方法的第二个参数。

     • Long: 这是参数的类型，表示这是一个长整型（64位整数）数据。
     • id: 这是参数的名称。在方法内部，你可以使用这个名称来引用传入的id值。从参数名可以推测，这个id可能表示用户的唯一标识符（如用户ID）。

---

UserServiceImpl

 @Override
   public void changePassword(ChangePasswordVo changePasswordVo, Long id){
       // 根据id查询用户信息
       User user = userMapper.selectById(id);
       // 判断原密码是否正确
       if(!BCrypt.checkpw(changePasswordVo.getOldpassword(),user.getPassword())){
           throw new RuntimeException("原密码不正确");
       }
       // 设置新密码
       user.setPassword(BCrypt.hashpw(changePasswordVo.getNewpassword(), BCrypt.gensalt()));
       // 调用Mapper的updateById方法更新用户信息
       userMapper.updateById(user);
   }

1. @Override： 这是一个Java注解，它告诉编译器这个方法是从超类或接口中继承或实现的。使用@Override注解可以确保你正确地重写了父类或接口中的方法，如果没有正确重写（例如方法签名不匹配），编译器会报错。

2. public void changePassword(ChangePasswordVo changePasswordVo, Long id)： 这是方法的声明部分。

   • public：表示这是一个公共方法，可以从任何其他类中被访问。
   • void：表示该方法没有返回值。
   • changePassword：是方法的名称。
   • ChangePasswordVo changePasswordVo 和 Long id：是方法的参数。ChangePasswordVo可能是一个数据传输对象（DTO），用于封装密码更改请求所需的信息（如旧密码和新密码）。id则是用户的唯一标识符。

3. User user = userMapper.selectById(id);：

   • 使用userMapper（可能是MyBatis的Mapper或类似的ORM工具）的selectById方法根据提供的id从数据库中查询用户信息，并将查询到的用户信息存储在user变量中。

4. if(!BCrypt.checkpw(changePasswordVo.getOldpassword(),user.getPassword())){：

   • 使用BCrypt库（一个流行的密码哈希库）的checkpw方法检查用户提供的旧密码（从changePasswordVo中获取）是否与数据库中存储的哈希密码（从查询到的user对象中获取）匹配。
   • 如果不匹配（!BCrypt.checkpw(...)返回true），则执行下面的throw语句。

5. throw new RuntimeException("原密码不正确");：

   • 如果旧密码不正确，则抛出一个RuntimeException，并带有消息“原密码不正确”。调用此方法的代码应该捕获此异常并适当地处理它（例如，向用户显示错误消息）。

6. user.setPassword(BCrypt.hashpw(changePasswordVo.getNewpassword(), BCrypt.gensalt()));：

   • 如果旧密码正确，则使用BCrypt库的gensalt方法生成一个新的随机盐值。
   • 使用这个新盐值和用户提供的新密码（从changePasswordVo中获取）作为参数，调用BCrypt的hashpw方法生成新的哈希密码。
   • 将这个新的哈希密码设置到user对象的password字段中。

7. userMapper.updateById(user);：

   • 使用userMapper的updateById方法更新数据库中对应id的用户的密码信息。这里假设userMapper的updateById方法会处理将user对象中的更改保存到数据库中的逻辑。

 

---

测试

先新增一条数据

密码：111

进行修改密码;

id为你新增后的id号

输入字段为我之前定义的字段oldpassword与newpassword

可以看到密码已经被修改