实现密码等明文的加密传输以及加密存储

最新推荐文章于 2024-05-28 14:03:00 发布
最新推荐文章于 2024-05-28 14:03:00 发布
阅读量4.9k 收藏 14
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zongmaomx/article/details/113646365
版权

需求:用户在登录时密码经常使用明文传输,在不安全的网络环境下,很容易造成密码泄露,而密码直接存储在数据库中,如果数据泄露,也会造成安全问题。

解决方法:前端给后端传输密码关键信息时,进行加密后再传输,后端解密验证,然后将密码加密后再存储到数据库中。

实现思路:

采用RSA非对称加密加密和解密密码传输,采用哈希加盐算法加密密码并存储

1.前端需要传输密码时,先向服务器获取一个加密公钥(加密密钥对由后端生成,以公钥为key,私钥为value存储在redis中)。

2.获取到公钥后,将密码进行加密,并将加密后的密码以及公钥一起传给后端。

3.后端根据公钥从redis中得到配对的密钥,然后对密码解密。

4.将密码加盐后进行哈希加密,然后把加密的盐和加密后的密码一起存入数据库。

5.下次比较时,只需要比较密码+盐进行hash计算后的值是不是和数据库的加密密码相同即可。

代码:

RSA加密与解密:

package com.zong.zongmail.config;

import lombok.extern.slf4j.Slf4j;
import org.apache.tomcat.util.codec.binary.Base64;
import org.springframework.stereotype.Repository;

import javax.crypto.Cipher;
import java.nio.charset.StandardCharsets;
import java.security.*;
import java.security.spec.PKCS8EncodedKeySpec;
import java.util.HashMap;
import java.util.Map;

/**
 * @return
 * @Author: Zongmao on 2021/1/8 15:44
 * @description:非对称加密方法
 */
@Slf4j
@Repository
public class RSAConfig {

    /**
     * @Author ZongMao
     * @Description //使用Java标准库提供的算法生成密钥对
     * @Date 2021/1/8 15:49
     **/
    public Map createKeyPair() throws GeneralSecurityException {
        // 生成公钥/私钥对:
        KeyPairGenerator kpGen = KeyPairGenerator.getInstance("RSA");
        //它的密钥有256/512/1024/2048/4096等不同的长度。长度越长,密码强度越大,当然计算速度也越慢。
        //此处我设置256会报错:RSA keys must be at least 512 bits long
        kpGen.initialize(512);
        KeyPair kp = kpGen.generateKeyPair();
        PublicKey publicKey = kp.getPublic();
        PrivateKey privateKey = kp.getPrivate();
        //将公钥和私钥转换为base64编码便于存储和返回至前端
        byte[] publicKeyByte = publicKey.getEncoded();
        byte[] privateKeyByte = privateKey.getEncoded();
        String publicKeyStr = Base64.encodeBase64String(publicKeyByte);
        String privateKeyStr = Base64.encodeBase64String(privateKeyByte);
        Map map = new HashMap();
        map.put("publicKeyStr", publicKeyStr);
        map.put("privateKeyStr", privateKeyStr);
        return map;
    }

    /**
     * @Author ZongMao
     * @Description
     * 使用私钥解密(前端加密后传入的base64编码的信息,base64编码的私钥),
     * return 解密后的密码
     * @Date 2021/1/8 16:29
     **/
    public String decrypt(String passwordBase64, String privateKeyStr) throws GeneralSecurityException{

        Cipher cipher = Cipher.getInstance("RSA");

        //将Base64编码的私钥转为Private类型
        byte[] privateKeyByte = Base64.decodeBase64(privateKeyStr);
        KeyFactory kf = KeyFactory.getInstance("RSA"); // or "EC" or whatever
        PrivateKey privateKey = kf.generatePrivate(new PKCS8EncodedKeySpec(privateKeyByte));

        cipher.init(Cipher.DECRYPT_MODE, privateKey);
        //将base64编码的加密信息转为byte[]数据
        byte[] passwordByte = Base64.decodeBase64(passwordBase64);
        //获取解密后的byte[]数据
        byte[] resByte = cipher.doFinal(passwordByte);
        //将byte[]转为字符串,即为解密后的信息
        String resStr = new String(resByte, StandardCharsets.UTF_8);
        return resStr;
    }

}

 哈希加盐加密以及验证方法:

package com.zongmao.schoolsystem.config;

import lombok.extern.slf4j.Slf4j;
import org.springframework.stereotype.Repository;

import java.io.UnsupportedEncodingException;
import java.math.BigInteger;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;

/**
 * @return
 * @Author: Zongmao on 2021/1/8 16:56
 * @description:使用Md5对明文口令进行加密(加盐)
 */
@Slf4j
@Repository
public class HashConfigWithSalt {

    /**
     * @Author ZongMao
     * @Description //加盐进行hash加密
     * @Date 2021/1/8 16:56
     **/
    public String HashWithSalt(String message, String salt) throws NoSuchAlgorithmException, UnsupportedEncodingException {
        // 创建一个MessageDigest实例:
        MessageDigest md = MessageDigest.getInstance("MD5");
        // 反复调用update输入数据:
        String endMessage = message + salt;
        md.update(endMessage.getBytes("UTF-8"));
        byte[] result = md.digest();
       return new BigInteger(1, result).toString(16);
    }

    /**
     * @Author ZongMao
     * @Description //比较是否相等(加密后的字符串,盐,需要验证的信息)
     * @Date 2021/1/8 16:59
     **/
    public boolean isCommon(String mdStr, String salt, String message) throws UnsupportedEncodingException, NoSuchAlgorithmException {
        String nowStr = HashWithSalt(message, salt);
        if (nowStr.equals(mdStr)){
            return true;
        }
        return false;
    }
}

 请求获取公钥:

@PostMapping("/common/getPublicKey")
    public FormatResultData getPublicKey(){
        log.info("请求获取加密公钥");
        String publicKey = "";
        try {
            Map map = rsaConfig.createKeyPair();
            publicKey = (String) map.get("publicKeyStr");
            String privateKey = (String) map.get("privateKeyStr");
            //将publicKey作为key,privateKey作为value存入redis,并且设置过期时间
            stringRedisTemplate.opsForValue().set(publicKey, privateKey, 5 * 60 * 1000, TimeUnit.MILLISECONDS);
        }catch (GeneralSecurityException e){
            log.error(e.toString());
            return FormatResultData.error("获取公钥失败", 0);
        }catch (Exception e){
            log.info(e.toString());
            return FormatResultData.systemError();
        }
        return FormatResultData.success("获取公钥成功", publicKey);
    }

前端加密密码:

(使用jsencrypt)

 import {JSEncrypt} from 'jsencrypt'
//加密
export function encryptedData(publicKey, data) {
    let encryptor = new JSEncrypt();
    /*此处可以指定公钥的编码,也可以不指定*/
    encryptor.setPublicKey(publicKey, "base64");
    return encryptor.encrypt(data);
}

//解密
export function decryptData(privateKey, data) {
    let decrypt = new JSEncrypt();
    decrypt.setPrivateKey(privateKey);
    return decrypt.decrypt(data);
}


//获取publicKey
        getPublicKey(){
            this.$http("/common/getPublicKey").then(res =>{
                if (res.code === 1){
                    this.loginForm.publicKey = res.data;
                    this.password = this.loginForm.password;
                    this.loginForm.password = encryptedData(this.loginForm.publicKey, this.password);
                    this.$http("/commonLogin/allUserLogin",this.loginForm).then(res =>{
                        if (res.code === 1){
                            this.Cookie.set("token", res.data, { expires: 1});
                            this.$store.commit("changeUserType", this.loginForm.userType);
                            localStorage.setItem("userName", res.extend);
                            localStorage.setItem("account", this.loginForm.account);
                            localStorage.setItem("userType", this.loginForm.userType);
                            this.$router.push(this.fromPath);
                        }else {
                            this.loginForm.password = this.password;
                            Message({
                                message: res.msg,
                                showClose: true,
                                type:"error"
                            });
                            this.getCode();
                        }
                    }).catch(err =>{
                        this.getCode();
                    })
                }else {
                    this.loginForm.publicKey = "";
                    Message({
                        message: "获取公钥失败,请稍后再试!",
                        showClose: true,
                        type:"error"
                    });
                }
            }).catch(err =>{

            })
        },

注册新增账号时加密存储:

 /**
     * @Author ZongMao
     * @Description //新增管理员账号
     * @Date 2021/1/12 16:05
     **/
    @Override
    public String addAccount(AdminUser adminUser) throws Exception{
        String account = adminUser.getAccount();
        if (!account.equals("admin")){
            log.info("非法用户名!");
            throw new IllegalArgumentException("非法用户名");
        }
        QueryWrapper wrapper = new QueryWrapper();
        wrapper.eq("account", account);
        AdminUser hasUser = adminUserMapper.selectOne(wrapper);
        if (null != hasUser) {
            throw new IllegalArgumentException("管理员账号已存在");
        }
        String password = adminUser.getPassword(); //前端传的加密后的代码
        String publicKey = adminUser.getPublicKey(); //加密使用的公钥
        String privateKey = stringRedisTemplate.opsForValue().get(publicKey); //从redis中取出对应的密钥
        if (null == privateKey){
            throw new IllegalArgumentException("安全校验失败!");
        }
        String resPassword = rsaConfig.decrypt(password, privateKey); //使用密钥解密得到真实的密码
        String salt = randomConfig.randomData("", 6, false); //随机生成一个盐
        String hashPassword = hashConfigWithSalt.HashWithSalt(resPassword, salt); //把密码加盐后hash加密
        adminUser.setPassword(hashPassword); //把加密后的密码以及盐存入数据库
        adminUser.setSalt(salt);
        String id = UUID.randomUUID().toString();
        adminUser.setId(id);
        int addUser = adminUserMapper.insert(adminUser);
        if (addUser == 0){
            log.info("新增失败!");
            throw new IllegalArgumentException("新增失败!");
        }
        log.info("新增成功!");
        stringRedisTemplate.delete(publicKey);//新增成功后删除密钥对
        return "新增成功";
    }

 在登录情况下进行验证:

/**
     * @Author ZongMao
     * @Description //登录(adminUser)
     * @Date 2021/1/12 11:57
     **/
    @Override
    public String login(String account, String password) throws Exception{
        QueryWrapper wrapper = new QueryWrapper();
        wrapper.eq("account", account);
        AdminUser adminUser = adminUserMapper.selectOne(wrapper); //从数据库中查出对应的用户
        if (null == adminUser){
            throw new IllegalArgumentException("账号不存在!");
        }
        Date lockTime = adminUser.getLockTime();
        if (null != lockTime){
            lockAccount.checkLock(lockTime);
        }
        String salt = adminUser.getSalt(); //从数据库中得到盐
        String okPassword = adminUser.getPassword(); //数据库中存储的加密的密码
        boolean okLogin = hashConfigWithSalt.isCommon(okPassword, salt, password); //比较是否相等,password已经是解密了的
        if (!okLogin){
            boolean needLock = lockAccount.lockTime(account);
            if (needLock){
                Date date = new Date();
                date.setTime(date.getTime() + needLockTime * 60 * 1000);
                adminUser.setLockTime(date);
                UpdateWrapper<AdminUser> updateWrapper = new UpdateWrapper<>();
                updateWrapper.eq("account", account)
                        .set("lock_time", date);
                int i = adminUserMapper.update(adminUser, wrapper);
                if (i == 1){
                    throw new IllegalArgumentException("你的账号已被锁定,请在" + needLockTime + "分钟后重试");
                }
                throw new IllegalArgumentException("你已多次尝试登录失败,账号可能会被锁定");
            }
            throw new IllegalArgumentException("账号或密码错误!");
        }
        String userId = adminUser.getId();
        String token = tokenConfig.createToken(userId);
        return token;
    }

 

zongmaomx
关注
  • 0
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何加密传输存储用户密码
Salted fish in hand, I have the world.
05-08 81
如果我们想要尽可能保证用户的信息安全,我们需要做以下的工作使用https请求利用RSA加密密码并传输数据用BCrypt或者PBKDF2单向加密,并存储
基于Misty1算法的加密软件(JAVA)的实现
02-21
1.1 课题背景 现代密码学是一门迅速发展的应用科学。随着因特网的迅速普及,人们依靠它传送大量的信息,但是这些信息在网络上的传输都是公开的。因此,对于关系到个人利益的信息必须经过加密之后才可以在网上传送,这将离不开现代密码技术。 Misty1算法是在1996年公布的,它是一个分组密码算法,密钥长度是128位,明文长度是64位。它是由在三菱工作的Eisaku Takeda 提交给NESSIE。MISTY1可以在资源紧张的环境下实现。整个算法是由递归等组成,每一个层次的结构又一稳妥的Feistel结构。MISTY1是一迭代密码可以迭代超过8轮,或者更普遍,迭代4回。它用128位密钥对64位数据进行不确定轮回的加密。它采用了两个S -盒,一个7 × 7 S-盒,s7 ,一个9 × 9 S-盒,s9。它取得了良好的良好的阻力线和鉴别攻击,而且还使能实行以相对较少的逻辑组件中执行函数的程度相对较低。 1.2 国内外研究现状 随着我国对计算机的普及,计算机和通信技术已经在我国得到了广泛发展及应用,从而使我们对信息的安全存储、安全处理和安全传输的需要越来越迫切。特别在Internet的应用中,以及
浅谈“密码明文传输”
热门推荐
→_→
07-19 1万+
一:漏洞名称: 密码明文传输 描述: 明文传输一般存在于web网站登陆页面,用户名密码采取明文传输并未采取加密(注意:一些软件如BurpSuite带有可加密的暴力破解!)容易被嗅探软件截取(如果加密方式是常见的加密也可以解密的(比如:MD5,RSA等--另外base64只是一种编码方式并不算是加密!) 检测条件: 已知Web网站具有登录页面 检测方法: 找到网站或者web系统登录页面。 通过过对网站登录页面的请求进行抓包,工具可用burp、wireshark、filder、.
HTTP的系统登录页面,如何避免明文传输用户密码
最新发布
gzyes
05-28 755
对于系统登录页面来说,我们作为开发人员,应该没有陌生的吧。就像下面这样子。 点击登录,调用/login 接口。来看下面截图中的 载荷(payload)数据,其中,密码 password 的值是明文。 如果你的站点使用的是HTTPS协议,配置了有效的SSL证书,那将很好。HTTPS通过SSL/TLS协议建立安全的加密通信通道,确保传输过程中的数据被加密。这样,用户在登录页面输入的密码将在传输...
密码明文传输漏洞原理以及修复方法
it知识分享 free for nothing..
12-19 2219
密码明文传输漏洞 原理以及修复方法
分布式环境下使用RSA算法实现登录密码加密传输
passerbyYSQ
09-27 2227
RSA是一种非对称加密算法。非对称加密算法需要两个密钥:公开密钥(publickey:简称公钥)和私有密钥(privatekey:简称私钥)。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。因为加密解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。非对称加密算法实现机密信息交换的基本过程是:甲方生成一对密钥并将公钥公开,需要向甲方发送信息的其他角色(乙方)使用该密钥(甲方的公钥)对机密信息进行加密后再发送给甲方;甲方再用自己私钥对加密后的信息进行解密
如何实现账户密码加密传输?(前端密码加密后端解密
tzydzj的博客
01-29 1547
前端密码加密后端解密 //加密密码 $("#Submit").on("click",function(){ var passWord=$("#passWord").val(); var eles = []; eles.push(passWord); var esz = encode("0x12",eles); $("#passWord").val(esz); }) function encode(key, eles) {
若依前后端分离登录密码 加密传输
01-24
在这个场景中,我们将关注Vue.js作为前端框架,Spring Boot作为后端框架,以及如何在两者之间安全地进行加密传输。 首先,Vue.js是JavaScript的一个轻量级库,主要用于构建用户界面。在登录场景中,Vue.js可以用来...
C# 用RSA加密实现Web登录密码加密传输(网页口令传输加密
06-11
八成网站登录口令“裸身待缚” 电商类全军覆没,在用户口令传输过程中,仍然存在很多隐患。一般而言,用户在登录网站...而《报告》中显示,大部分样本网站在传输口令时,没有做加密处理,直接将明文密码向服务端传输。
明文加密几种加密方法
11-07
本文将详细讲解三种常见的明文加密方法:MD5加密算法、SHA-256加密算法以及Base64编码。这三种方法各有特点,广泛应用于数据存储、信息传输及身份验证等场景。 1. MD5加密算法 MD5(Message-Digest Algorithm 5)是...
页面密码加密传输代码
02-02
密码加密传输中,jQuery可以用来处理表单提交事件,确保在提交密码时使用Ajax进行加密并发送,而不是明文发送。 4. **Spark-MD5库**:`spark-md5.min.js`可能用于JavaScript环境中的哈希计算。虽然主要应用是...
传输密码加密:rsa实现js前台加密java后台解密
01-21
源码的应用场景: 项目中,要求保护用户的密码信息,不允许在http中传递明文密码信息 实现: 用RSA非对称加密方式实现。后台生成rsa密钥对,然后在登陆页面设置rsa公钥,提交时用公钥加密密码,生成的密文传到后台,用私钥解密,获取密码明文。 这样客户端只需要知道rsa加密方式和公钥,前台不知道私钥是无法解密的,此解决方案还是相对比较安全的。 使用源码的注意事项: http://blog.csdn.net/wu_jia123/article/details/50553128
rsa登录密码非对称加密.zip
10-14
而"shiro登录加密"则涵盖了整个登录流程中的安全性,包括密码存储和传输。 在实际操作中,可能还需要考虑其他安全措施,比如HTTPS协议用于确保数据在传输过程中的完整性,防止中间人攻击。同时,私钥的保护也很...
密码传输和存储,如何保证数据安全?
Daniel的博客
03-01 1654
本文从一个输入密码登录场景说起,详细介绍了密码传输过程的改进和思路,最后展现出一个相对安全的传输和存储方案。点击上方“后端开发技术”,选择“设为星标” ,优质资源及时送达场景在互联网项目中,我们经常会遇到以下场景:用户注册,输入验证码传输到后端保存用户登录,前端输入密码传输到后端验证用户支付,需要输入支付密码传输到后端验证在上述场景中都涉及到了密码涉的传输和存储。这就产生了一个问题,密码作为用户的...
JavaScript基础教程 用户登录明文传输密码问题如何解决
小兵qwer的专栏
08-16 3462
2018-09-17 来自0791 摘要:本篇教程介绍了JavaScript基础教程 用户登录明文传输密码问题如何解决,希望阅读本篇文章以后大家有所收获,帮助大家对JavaScript的理解更加深入。 本篇教程介绍了JavaScript基础教程 用户登录明文传输密码问题如何解决,希望阅读本篇文章以后大家有所收获,帮助大家对JavaScript的理解更加深入。 < 用户登录页面,获取到...
前端登录密码加密传输
luquinn的博客
05-06 625
由于页面没有做对于页面的权限处理,导致可以通过页面输入地址强行进入,校园安全检查是通过路由守卫配合菜单数据来进行权限的处理,在跳转页面时判断如果这次跳转的地址不在菜单列表与白名单中,表示没有权限,以这种方法完成权限的处理。首先前端会有一个公钥,后端会有一个私钥,公钥和私钥都是后端生成的,一般是在登录页面请求后端的公钥接口,以校园安全检查页面为例。因为系统登录页面没有添加验证码,所以解决方法是添加后端生成的图形验证码。项目登陆时,登录接口使用post请求,密码没有加密明文传输。本次使用的RAS加密
Java安全——基于密码加密
m0_59598029的博客
02-21 751
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。通过加封对象,可以在不暴露敏感数据的情况下,将对象传输或存储到不可信的环境中。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
667-数据明文传输的安全问题
LINZEYU666的博客
10-09 1202
数据安全 在集群聊天服务器项目上,是明文的交互,采用的是Json做序列化和反序列化,从登录,注册的基本的业务开始,和后端的服务的交互,全都是明文的交互,相当于在浏览器上去访问web后端是用的https协议,数据确实是非常的不安全,我们可以通过加密, ...
如何安全的存储密码
coding
10-15 866
过去一段时间来,众多的网站遭遇用户密码数据库泄露事件,这甚至包括顶级的互联网企业–NASDQ上市的商务社交网络Linkedin,国内诸如CSDN一类的就更多了。    层出不穷的类似事件对用户会造成巨大的影响,因为人们往往习惯在不同网站使用相同的密码,一家“暴库”,全部遭殃。    那么在选择密码存储方案时,容易掉入哪些陷阱,以及如何避免这些陷阱?我们将在实践中的一些心得体会记录于此,
前端的登录密码有哪些加密方式?
06-09
前端的登录密码可以使用以下几种加密方式: 1. 明文传输:将密码明文传输到后端,在网络传输过程中存在安全风险,容易被窃取。 2. MD5加密:使用MD5算法将密码进行加密后再传输到后端。MD5是一种不可逆的加密算法,可以将任意长度的数据加密成固定长度的密文。但是,MD5算法已经被证明存在安全漏洞,容易被攻击者破解。 3. SHA加密:使用SHA算法将密码进行加密后再传输到后端。SHA算法是一种比MD5更安全的算法,可以生成更长的摘要信息,但是也存在被攻击者破解的风险。 4. 加盐加密:在MD5或SHA算法的基础上,加入一个随机字符串,称为盐,再进行加密。加盐加密可以有效增加破解密码的难度,提高密码的安全性。 需要注意的是,以上加密方式都是前端加密方式,仅仅是为了在传输过程中提高密码的安全性。最终的密码验证和存储应该在后端进行,使用更为安全的加密方式,如bcrypt、scrypt等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值