文章介绍了如何使用Spring提供的DigestUtils进行MD5加密,以及如何通过加盐方式增强密码的安全性。加盐加密通过随机生成的盐值与原始密码结合,再进行MD5运算,生成的密文更难被破解。文章提供了具体的Java代码示例,包括盐值生成、加盐加密方法和解密验证方法,以及在用户注册和登录场景中的应用。
存储密码
1. MD5
Spring 提供了库 import org.springframework.util.DigestUtils; ,我们可以进行 MD5 加密:
(一些网页同样可以进行 MD5 加密)
@SpringBootTest
class DemoApplicationTests {
@Test
void contextLoads() {
String password = "123";
String md5 = DigestUtils.md5DigestAsHex(password.getBytes());
System.out.println(md5);
}
}
运行结果:
固定的映射关系,所以是很容易破解的!
2. 加盐加密
@SpringBootTest
class DemoApplicationTests {
@Test
void contextLoads() {
String password = "123"; //密码
String slat = UUID.randomUUID().toString(); //盐值
String md5 = DigestUtils.md5DigestAsHex((password + slat).getBytes());
System.out.println(md5);
slat = UUID.randomUUID().toString();
md5 = DigestUtils.md5DigestAsHex((password + slat).getBytes());
System.out.println(md5);
slat = UUID.randomUUID().toString();
md5 = DigestUtils.md5DigestAsHex((password + slat).getBytes());
System.out.println(md5);
}
}
运行结果:
而 MD5 特征:不管加密的信息长与短,最终都会生成一个 32 位的密码。
而打印 UUID.randomUUID().toString():
如果把 ‘-’ 都去掉然后打印:
System.out.println(UUID.randomUUID().toString().replace("-", ""));
System.out.println(UUID.randomUUID().toString().replace("-", ""));
System.out.println(UUID.randomUUID().toString().replace("-", ""));
同样也是 32 位,与 MD5 生成的密文格式相同!!!
两个 32 相加是 64 位,因此约定密码长度为 64。前半部分为盐值,后半部分为最终密码 或 前半部分为最终密码,后半部分为盐值。以这样的格式放入数据库中即可!!!(此时破解成本就非常大了~)
实现:
1)修改 password 为 64 位字符串
alter table userinfo change password password varchar(64);
2)创建 SecurityUtil 类 (加盐加密类)
package com.example.demo.common;
import org.springframework.util.DigestUtils;
import org.springframework.util.StringUtils;
import java.util.UUID;
/**
* 加盐加密类
*/
public class SecurityUtil {
/**
* 加盐加密
*
* @param password
* @return
*/
public static String encrypt(String password) {
// 每次生成内容不同的,但长度固定 32 位的盐值
String salt = UUID.randomUUID().toString().replace("-", "");
// 最终密码=md5(盐值+原始密码)
String finalPassword = DigestUtils.md5DigestAsHex((salt + password).getBytes());
return salt + finalPassword;
}
/**
* 密码验证
*
* @param password 待验证密码
* @param finalPassword 最终正确的密码(数据库中加盐的密码)
* @return
*/
public static boolean decrypt(String password, String finalPassword) {
// 非空效验
if (!StringUtils.hasLength(password) || !StringUtils.hasLength(finalPassword)) {
return false;
}
if (finalPassword.length() != 64) { // 最终密码不正确
return false;
}
// 盐值
String salt = finalPassword.substring(0, 32);
// 使用盐值+待确认的密码生成一个最终密码
String securityPassword =
DigestUtils.md5DigestAsHex((salt + password).getBytes());
// 使用盐值+最终的密码和数据库的真实密码进行对比
return (salt + securityPassword).equals(finalPassword);
}
// 测试
public static void main(String[] args) {
String password = "123";
// System.out.println(SecurityUtil.encrypt(password)); // 4d94e438ab74495a8bb2fea0bf96887d9222409880242be59dbda7265d64418b
// System.out.println(SecurityUtil.encrypt(password)); // 942890192ad04369a1667b2b0308a2640d052e9b17d422ec8e7925e81af95470
// System.out.println(SecurityUtil.encrypt(password)); // b8fdcdbc855a41afa7d0135304bd826e025f7d140c66342f69833578d2d64776
System.out.println(SecurityUtil.decrypt(password, "4d94e438ab74495a8bb2fea0bf96887d9222409880242be59dbda7265d64418b"));
System.out.println(SecurityUtil.decrypt(password, "942890192ad04369a1667b2b0308a2640d052e9b17d422ec8e7925e81af95470"));
System.out.println(SecurityUtil.decrypt(password, "b8fdcdbc855a41afa7d0135304bd826e025f7d140c66342f69833578d2d64776"));
}
}
结合思路仔细体会代码 ~
应用
实现了加盐加密类 SecurityUtil 后,在 controller 中传递密码时就可以进行处理了!例如:
注册时 encrypt:
@RequestMapping("/reg")
public Object reg(String username, String password) {
// 1.非空校验
if (!StringUtils.hasLength(username) || !StringUtils.hasLength(password)) {
return AjaxResult.fail(-1, "非法的参数请求!");
}
// 2.进行添加操作
int result = userService.add(username,
SecurityUtil.encrypt(password)); // 密码加盐
if (result == 1) {
return AjaxResult.success("注册成功!", 1);
} else {
return AjaxResult.fail(-1, "数据库添加出错!");
}
}
登录时 decrypt:(根据用户名得到数据库中存储的密码,进而在 controller 中进行密码比较)
/**
* 登录功能
* 根据用户名得到数据库中存储的密码,进而在 controller 中进行密码比较
*
* @param username
* @param password
* @return 如果用户名和密码都正确,返回1;如果用户名或密码不正确,返回非1
*/
@RequestMapping("/login")
public int login(HttpServletRequest request, String username, String password) {
// 1.非空校验
if (!StringUtils.hasLength(username) || !StringUtils.hasLength(password)) {
// 参数有误
return 0;
}
// 2.进行查询操作
// UserInfo userInfo = userService.login(username, password);
// 根据用户名得到数据库中存储的密码,进而在 controller 中进行密码比较
UserInfo userInfo = userService.getUserByName(username);
if (userInfo == null || userInfo.getId() <= 0) { // userinfo 无效
return -1; // 用户名错误
} else {
boolean result = SecurityUtil.decrypt(password,userInfo.getPassword());
if(result){
// 用户名和密码正确
// 将 userinfo 保存到 session 中
HttpSession session = request.getSession();
session.setAttribute(Constant.SESSION_USERINFO_KEY, userInfo);
return 1;
}
}
return -1;
}
public UserInfo getUserByName(String username){
return userMapper.getUserByName(username);
}
public UserInfo getUserByName(@Param("username") String username);
<select id="getUserByName" resultType="com.example.demo.model.UserInfo">
select * from userinfo where username=#{username}
</select>
注意: 根据用户名得到数据库中存储的密码时需要保证用户名是唯一的,使用唯一约束 unique!
:alter table userinfo add unique unique_username (username);
扫一扫
277
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
