存入数据库后，涉及到密码问题

                          存入数据库后，涉及到密码问题

 

转载：https://blog.csdn.net/gredn/article/details/27196379?utm_source=blogxgwz9

当你通过telnet添加新用户时，比如adduser holen 123456，你可以查看数据库中的记录，第一个字段是holen，第二字段是密码，但密码并非123456，而一串“乱码”（zhwQUMTwdMqWfm/h0biB51Gf）??这是加密码后的密码内容，再看后面的字段是“SHA”，显然用的是SHA加密方式。

通过telnet方式添加新用户，用户密码将自动加密，然后插入数据库中。但通过telnet方式进行用户管理有着诸多不便，尽管你可以借助James的一个RMI工具包，提高效率，但仍然没有本质改变，当需要用作商业用途时，你更不能要求你的客户熟记那一堆命令符。

一般我们可以做一个Web前端，通过网页形式，添加修改用户，界面友好，傻瓜化使用，如263或163一样。若这样做，我们就需要直接操作数据库，添加用户记录或修改删除用户记录了。但别忘了，James默认对用户密码是加密的，既然我们要直接操作数据库，那么我们只有两个选择：要么我们研究其密码机制，添加记录时，我们对新增用户的密码进行同样加密，要么我们去掉James的加密机制，使其明码保存。

幸好，这两种选择都是可行的。我们从Apache网站下载James的源码包，下载后的文件为james-2.1-src.zip，接近8M，通过分析源码，我们发现，与用户密码相关的文件是DefaultUser.java，部分源码如下：
 

package org.apache.james.userrepository;
……
/**
      *   Method to verify passwords. 
      *
      * @param pass the String that is claimed to be the password for this user
      * @return true if the hash of pass with the current algorithm matches
      * the stored hash.
      */
     public boolean verifyPassword(String pass) {
         try {
             String hashGuess = DigestUtil.digestString(pass, algorithm);
             return hashedPassword.equals(hashGuess);
         } catch (NoSuchAlgorithmException nsae) {
         throw new RuntimeException("Security error: " + nsae);
     }
     }

     /**
      * Sets new password from String. No checks made on guessability of
      * password.
      *
      * @param newPass the String that is the new password.
      * @return true if newPass successfuly hashed
      */
     public boolean setPassword(String newPass) {
         try {
             hashedPassword = DigestUtil.digestString(newPass, algorithm);
             return true;
         } catch (NoSuchAlgorithmException nsae) {
             throw new RuntimeException("Security error: " + nsae);
         }
}
…… 

第一个方法verifyPassword()是用来做密码认证，传入的参数是明文密码，通过DigestUtil.digestString()方法，转换成密文密码，然后与数据库中密码作比较，返回比较结果。请注意这里的DigestUtil.digestString()方法，在后面还在提到。

第二个方法setPassword()是用于密码转换的，把明文转成密文，用的同样是DigestUtil.digestString()方法。

谈到这里，相信你应该知道怎么在自己的程序中进行密码转换和密码认证了吧！其实并不是要你自己去写一个SHA的加密算法，既然James已经提供了此功能，你调用便是了。

还有一种情况，开发者需要在数据库中必须用明文保存密码，这样就不必在自己写的程序中进行密码转换了，而且当多个应用系统采用统一用户模型时，最好只有一个用户实例。要实现这个需求，就只能修改James源代码了，把verifyPassword()方法和setPassword()改成：
 

public boolean verifyPassword(String pass) {       
             return hashedPassword.equals(pass);       
}   
public boolean setPassword(String newPass) {      
             hashedPassword = newPass;
             return true;       
} 

其实就是把转换过程去掉，保存和认证就都采用明文进行了。

你要是觉得SHA方式不妥，也可以挂接别的加密方式，同样是修改这两个方法。

注意，当你修改了James的源码后，你需要用Ant重新build James项目，build后将在james-2.1-srcdistjames-2.1apps下面找到新生成的james.sar文件。把该文件覆盖James原来james.sar，并删除与james.sar同级的james目录，重启动james即可。建议保留原来的config.xml，免得又配一次。

通过以上探讨，我们明白了如何通过Web方式进行用户注册和用户登记等。需要说明一点是，James自动生成的users表中只有7个字段，而且都是系统需要使用的。一般注册时需要输入的信息项比较多，这时建议开发者自己再建一个新表USERINFO，用username把两个表关联起来，不建议修改users表的内容（如果想试试，请参考file://conf/sqlResources.xml）。