实现加盐加密
- 存储密码
- 1. MD5
- 2. 加盐加密
- 实现:
- 1)修改 password 为 64 位字符串
- 2)创建 SecurityUtil 类 (加盐加密类)
- 应用
存储密码
1. MD5
Spring 提供了库 import org.springframework.util.DigestUtils; ,我们可以进行 MD5 加密:
(一些网页同样可以进行 MD5 加密)
@SpringBootTest
class DemoApplicationTests {@Testvoid contextLoads() {String password = "123";String md5 = DigestUtils.md5DigestAsHex(password.getBytes());System.out.println(md5);}
}
运行结果:
固定的映射关系,所以是很容易破解的!
2. 加盐加密
@SpringBootTest
class DemoApplicationTests {@Testvoid contextLoads() {String password = "123"; //密码String slat = UUID.randomUUID().toString(); //盐值String md5 = DigestUtils.md5DigestAsHex((password + slat).getBytes());System.out.println(md5);slat = UUID.randomUUID().toString();md5 = DigestUtils.md5DigestAsHex((password + slat).getBytes());System.out.println(md5);slat = UUID.randomUUID().toString();md5 = DigestUtils.md5DigestAsHex((password + slat).getBytes());System.out.println(md5);}
}
运行结果:
而 MD5 特征:不管加密的信息长与短,最终都会生成一个 32 位的密码。
而打印 UUID.randomUUID().toString():
如果把 ‘-’ 都去掉然后打印:
System.out.println(UUID.randomUUID().toString().replace("-", ""));System.out.println(UUID.randomUUID().toString().replace("-", ""));System.out.println(UUID.randomUUID().toString().replace("-", ""));
同样也是 32 位,与 MD5 生成的密文格式相同!!!
两个 32 相加是 64 位,因此约定密码长度为 64。前半部分为盐值,后半部分为最终密码 或 前半部分为最终密码,后半部分为盐值。以这样的格式放入数据库中即可!!!(此时破解成本就非常大了~)
实现:
1)修改 password 为 64 位字符串
alter table userinfo change password password varchar(64);
2)创建 SecurityUtil 类 (加盐加密类)
package com.example.demo.common;import org.springframework.util.DigestUtils;
import org.springframework.util.StringUtils;import java.util.UUID;/*** 加盐加密类*/
public class SecurityUtil {/*** 加盐加密** @param password* @return*/public static String encrypt(String password) {// 每次生成内容不同的,但长度固定 32 位的盐值String salt = UUID.randomUUID().toString().replace("-", "");// 最终密码=md5(盐值+原始密码)String finalPassword = DigestUtils.md5DigestAsHex((salt + password).getBytes());return salt + finalPassword;}/*** 密码验证** @param password 待验证密码* @param finalPassword 最终正确的密码(数据库中加盐的密码)* @return*/public static boolean decrypt(String password, String finalPassword) {// 非空效验if (!StringUtils.hasLength(password) || !StringUtils.hasLength(finalPassword)) {return false;}if (finalPassword.length() != 64) { // 最终密码不正确return false;}// 盐值String salt = finalPassword.substring(0, 32);// 使用盐值+待确认的密码生成一个最终密码String securityPassword =DigestUtils.md5DigestAsHex((salt + password).getBytes());// 使用盐值+最终的密码和数据库的真实密码进行对比return (salt + securityPassword).equals(finalPassword);}// 测试public static void main(String[] args) {String password = "123";// System.out.println(SecurityUtil.encrypt(password)); // 4d94e438ab74495a8bb2fea0bf96887d9222409880242be59dbda7265d64418b
// System.out.println(SecurityUtil.encrypt(password)); // 942890192ad04369a1667b2b0308a2640d052e9b17d422ec8e7925e81af95470
// System.out.println(SecurityUtil.encrypt(password)); // b8fdcdbc855a41afa7d0135304bd826e025f7d140c66342f69833578d2d64776System.out.println(SecurityUtil.decrypt(password, "4d94e438ab74495a8bb2fea0bf96887d9222409880242be59dbda7265d64418b"));System.out.println(SecurityUtil.decrypt(password, "942890192ad04369a1667b2b0308a2640d052e9b17d422ec8e7925e81af95470"));System.out.println(SecurityUtil.decrypt(password, "b8fdcdbc855a41afa7d0135304bd826e025f7d140c66342f69833578d2d64776"));}}
结合思路仔细体会代码 ~
应用
实现了加盐加密类 SecurityUtil 后,在 controller 中传递密码时就可以进行处理了!例如:
注册时 encrypt:
@RequestMapping("/reg")public Object reg(String username, String password) {// 1.非空校验if (!StringUtils.hasLength(username) || !StringUtils.hasLength(password)) {return AjaxResult.fail(-1, "非法的参数请求!");}// 2.进行添加操作int result = userService.add(username,SecurityUtil.encrypt(password)); // 密码加盐if (result == 1) {return AjaxResult.success("注册成功!", 1);} else {return AjaxResult.fail(-1, "数据库添加出错!");}}
登录时 decrypt:(根据用户名得到数据库中存储的密码,进而在 controller 中进行密码比较)
/*** 登录功能* 根据用户名得到数据库中存储的密码,进而在 controller 中进行密码比较** @param username* @param password* @return 如果用户名和密码都正确,返回1;如果用户名或密码不正确,返回非1*/@RequestMapping("/login")public int login(HttpServletRequest request, String username, String password) {// 1.非空校验if (!StringUtils.hasLength(username) || !StringUtils.hasLength(password)) {// 参数有误return 0;}// 2.进行查询操作// UserInfo userInfo = userService.login(username, password);// 根据用户名得到数据库中存储的密码,进而在 controller 中进行密码比较UserInfo userInfo = userService.getUserByName(username);if (userInfo == null || userInfo.getId() <= 0) { // userinfo 无效return -1; // 用户名错误} else {boolean result = SecurityUtil.decrypt(password,userInfo.getPassword());if(result){// 用户名和密码正确// 将 userinfo 保存到 session 中HttpSession session = request.getSession();session.setAttribute(Constant.SESSION_USERINFO_KEY, userInfo);return 1;}}return -1;}
public UserInfo getUserByName(String username){return userMapper.getUserByName(username);}
public UserInfo getUserByName(@Param("username") String username);
<select id="getUserByName" resultType="com.example.demo.model.UserInfo">select * from userinfo where username=#{username}</select>
注意: 根据用户名得到数据库中存储的密码时需要保证用户名是唯一的,使用唯一约束 unique!
:alter table userinfo add unique unique_username (username);
