SpringBoot利用随机盐值实现密码的加密与验证
近日,在做完博客系统的项目之后发现在进行用户登录的时候对于密码的防护性不够严谨,可能会存在密码的安全问题,故本文将介绍如何使用【随机盐值】来实现密码的加密与解密
一、加密 & 代码解读
首先我们来看到的是第一种【加盐加密】的方法,即为直接传入密码随机产生盐值来进行加密
/**
* 加盐加密
*
* @param password 明文密码
* @return 加盐加密的密码
*/
public static String encrypt(String password) {
// 1.产生盐值
String salt = UUID.randomUUID().toString().replace("-", "");
// 2.使用MD5(盐值+明文密码)得到加密的密码
String finalPassword = DigestUtils.md5DigestAsHex((salt + password).getBytes());
// 3.将盐值和加密的密码共同返回(合并盐值和加密密码)
String dbPassword = salt + "$" + finalPassword;
return dbPassword;
}
接下去我们来细致地解读一下这个加盐算法
首先我们使用工具类UUID中的randomUUID()方法,根据所传入的两个参数随机产生一个盐值
// 1.产生盐值
String salt = UUID.randomUUID().toString().replace("-", "");
然后我们则使用工具类DigestUtils中的md5DigestAsHex()方法将随机生成的盐值进行拼接然后得到最后的加密后的密码
// 2.使用MD5(盐值+明文密码)得到加密的密码 String finalPassword = DigestUtils.md5DigestAsHex((salt + password).getBytes());
最后,此方法会将所得到的盐值和最后的密码进行返回
// 3.将盐值和加密的密码共同返回(合并盐值和加密密码) String dbPassword = salt + "$" + finalPassword;
接下去我们再来看看另一种的加密算法,不仅是传递所需要加密的密码,盐值也需要一并地传入
/**
* 加盐加密
*
* @param password 明文密码
* @param salt 可传递盐值
* @return 加盐加密的密码
*/
public static String encrypt(String password, String salt) {
// 1.使用(盐值+明文密码)得到加密的密码
String finalPassword = DigestUtils.md5DigestAsHex((salt + password).getBytes());
// 2.将盐值和加密的密码共同返回(合并盐值和加密密码)
String dbPassword = salt + "$" + finalPassword;
return dbPassword;
}
💬那既然已经传入了盐值salt,那么除去第一步的盐值生成,其他都是一样的
二、验证 & 代码解读
以下是对于用户所传递进来的密码进行验证的过程
/**
* 验证加盐加密密码
*
* @param password 明文密码(不一定对,需要验证明文密码)
* @param dbPassword 数据库存储的密码(包含:salt+$+加盐加密密码)
* @return true=密码正确
*/
public static boolean decrypt(String password, String dbPassword) {
boolean result = false;
if (StringUtils.hasLength(password) && StringUtils.hasLength(dbPassword) &&
dbPassword.length() == 65 && dbPassword.contains("$")) { // 参数正确
// 1.得到盐值
String[] passwrodArr = dbPassword.split("\$");
// 1.1 盐值
String salt = passwrodArr[0];
// // 1.2 得到正确密码的加盐加密密码
// String finalPassword = passwrodArr[1];
// 2.生成验证密码的加盐加密密码
String checkPassword = encrypt(password, salt);
if (dbPassword.equals(checkPassword)) {
result = true;
}
}
return result;
}
我们马上来解读一下
首先我们要先来进行参数校验,要检查的就是这两个参数是否存在,并且要检查从数据库中所取到的加盐后密码长度是否== 65,而且是否包含字符“$”
if (StringUtils.hasLength(password) && StringUtils.hasLength(dbPassword) &&
dbPassword.length() == 65 && dbPassword.contains("$")) { // 参数正确
因为所存入数据库的finalPassword是salt + "$" + finalPassword;,所以我们要通过split()来取出取出和这个盐值
// 1.得到盐值
String[] passwrodArr = dbPassword.split("\$");
// 1.1 盐值
String salt = passwrodArr[0];
最后,当我们得到这个盐值后,对用户所传递进来的密码进行一样的加盐加密,将得到后的结果与数据库中的密码进行比较,如果相同的话则进行标记,最后我们通过result来进行观察
// 2.生成验证密码的加盐加密密码
String checkPassword = encrypt(password, salt);
if (dbPassword.equals(checkPassword)) {
result = true;
}
三、测试观察
最后我们通过实体的用户注册登录来进行一下测试,观察是否可以达到加密与验证
首先看到当前系统中总共有两个用户,分别是【admin】和【zhangsan】
然后我们去注册一个用户名为:lisi,并且密码为ls123的用户
然后我们就可以看到数据库中多了一条用户名为:lisi,并且密码为ls123的用户
接着我们就可以去进行登录了,输入刚才所注册的用户名和密码就可以,我们一起来调试着看看
然后便很成功地登录进去了
我们可以再来试试输错密码的可能性。很明显当密码输错的时候在进行验证的时候就会识别到了
以上就是SpringBoot利用随机盐值实现密码的加密与验证的详细内容,更多关于SpringBoot密码加密与验证的资料请关注脚本之家其它相关文章!
相关文章
今天小编就为大家分享一篇关于Spring中配置数据源的几种方式,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧2019-01-01
Java多线程之 FutureTask:带有返回值的函数定义和调用方式
这篇文章主要介绍了Java多线程之 FutureTask:带有返回值的函数定义和调用方式,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2021-07-07
这篇文章主要介绍了Eureka注册不上或注册后IP不对(多网卡的坑及解决),具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2023-11-11
Java Stream 流中 Collectors.toMap 的用法详解
这篇文章主要介绍了Stream 流中 Collectors.toMap 的用法,Collectors.toMap()方法是把List转Map的操作,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2024-01-01
这篇文章主要介绍了JVM内存分配及String常用方法解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2019-09-09
这篇文章主要介绍了java 中如何实现 List 集合去重,List 去重指的是将 List 中的重复元素删除掉的过程,下文操作操作过程介绍需要的小伙伴可以参考一下2022-05-05
这篇文章主要介绍了Java中递归原理,实例分析了java中递归的原理与实现方法,以及使用过程中的相关技巧,需要的朋友可以参考下2015-05-05
这篇文章主要介绍了Java线程池execute()方法源码全面解析,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2022-03-03
这篇文章主要介绍了maven项目无法读取到resource文件夹的问题,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2021-11-11
Java在java.math包中提供的API类BigDecimal,用来对超过16位有效位的数进行精确的运算。这篇文章主要介绍了Java BigDecimal使用指南针(推荐),本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2020-08-08
最新评论