Java实现加盐算法的两种方法

更新时间：2024年02月12日 10:41:05 作者：fiance111

数据安全是一个重要的问题,本文主要介绍了Java实现加盐算法的两种方法,具有一定的参考价值,感兴趣的可以了解一下

手写一个加盐算法

首先要理解“盐”的概念，他就是一个随机值，没有任何规律

这里约定密码的最终格式都是盐值(32位)$加密后的密码(32位）

加密的实现思路：

每次调用的时候都会随机生成一个盐值（随机、唯一） + 用户输入的密码（使用MD5） = 加密的密码，盐值(32位) + $ + 加密密码(32位) = 最终的密码格式

解密（验证密码）的实现思路：

解密的时候需要两个密码：用户输入的明文待验证密码、存储在数据库中的最终密码（自定义格式：盐值(32位)$加密后的密码(32位)）

解密（验证密码）的核心在于得到盐值

解密的时候，首先从最终数据库中的密码中来得到盐值，之后将用户输入的明文待验证密码加上这个盐值，生成加密后的密码，然后使用盐值 + 分隔符 + 加密后的密码生成最终密码格式，再与数据库中最终的密码格式进行比对

要是一样的，那就说明这个用户输入的密码是没有问题的，要是不对就说明密码输入错误

最重要的是先理解加盐解密的实现思路，这是最核心的！！！

就算使用加盐算法来对密码加密，也不能保证就一定是安全的，可以针对一个盐值来生成一个彩虹表，暴力破解也是可以的，但是这只是破解了一个账号密码，所以破解的成本是极大的，当破解的成本远大于收益的时候，可以看做是安全的

解密（验证密码）具体的实现步骤：

从数据库中真正的最终密码中得到盐值
将用户输入的明文密码+盐值 = 加密后的密码（使用MD5）
使用盐值 + 分隔符 + 加密后的密码生成最终密码（最终密码的格式）
对比生成的最终密码和数据库中的最终密码是否相等

要是相等就说明用户名和密码都是对的，要是不对，就说明密码输入错误

为什么就是能验证成功呢？

最终比对的就是三个部分：盐值我就是从数据库中的最终密码中拿的前32位，肯定是一样的，$都是一样的，加密的部分都是MD5加密的，所以也一定是一样的，所以能登录成功

具体的代码：

在common包下面建一个PasswordUtils类

package com.example.demo.common;

import org.springframework.util.DigestUtils;
import org.springframework.util.StringUtils;

import java.util.UUID;

public class PasswordUtils{

    /**
     * 1.加盐并生成最终的密码
     * @param password 明文的密码
     * @return 最终生成的密码
     */
    public static String encrypt(String password){
        //a.产生盐值
        //UUID.randomUUID()会生成32位数字+4位-，是随机的唯一的，将4位-去掉就得到32位数字的盐值
        String salt = UUID.randomUUID().toString().replace("-","");
        //生成加盐后的密码(需要使用MD5)
        String saltPassword = DigestUtils.md5DigestAsHex((salt + password).getBytes());
        //生成最终的密码格式
        String finalPassword = salt + "$" + saltPassword;
        return finalPassword;
    }

    /**
     * 2.加盐并生成最终密码格式（方法一的重载），区别于上面的方法：这个方法是用来解密的，给定了盐值，生成一个最终密码，
     后面要和正确的最终密码进行比对
     * @param password 需要验证的明文密码
     * @param salt
     * @return
     */
    public static  String encrypt(String password, String salt){
        //1.生成一个加密后的密码
        String saltPassword = DigestUtils.md5DigestAsHex((salt + password).getBytes());
        //2.生成最终的密码（待验证）
        String finalPassword = salt + "$" + saltPassword;
        return finalPassword;
    }

    /**
     * 3.验证密码
     * @param inputPassword  登录用户输入的明文密码
     * @param finalPassword  数据库中实际的最终密码格式
     * @return
     */
    public static boolean check(String inputPassword, String finalPassword){
        //首先判断这两个参数到底有没有值,数据库中的最终密码是不是65位
        if(StringUtils.hasLength(inputPassword) && StringUtils.hasLength(finalPassword)
        && finalPassword.length() == 65){
            //a.首先从最终的密码中得到盐值
            //使用$将finalPassword划分成两个部分，前面的32位的部分就是盐值
            //注意：这里的$是被认为是一个通配符，所以要转义一下
            String salt = finalPassword.split("\\$")[0];
            //b.使用之前加密的方法，生成最终的密码格式（待验证）
            String checkPassword = encrypt(inputPassword,salt);
            if(checkPassword.equals(finalPassword)){
                return true;
            }
        }
        return false;
    }
}

在写完了加盐算法之后，就要修改一下博客的具体调用了

在userinfoController中的注册接口：

@RequestMapping("/reg")
public AjaxResult reg(UserInfo userinfo) {
    //非空判断
    //虽然前端已经进行了非空检查，但是用户可能会通过别的方式直接访问url绕过前端的非空校验，所以作为后端，应该要考虑到这一点
    //所以在后端也是要写非空校验的
    if (userinfo == null || !StringUtils.hasLength(userinfo.getUsername()) ||
        !StringUtils.hasLength(userinfo.getPassword())){
            return AjaxResult.fail(-1,"非法参数");
    }
    //不是空的话，就直接返回成功的响应就行了
    //这里响应的是1，所以前端在进行成功判断的时候才有result.data == 1这一条

    //注册成功之后要将密码加盐，写进数据库中
    userinfo.setPassword(PasswordUtils.encrypt(userinfo.getPassword()));
    return AjaxResult.success(userService.reg(userinfo));
}

在userinfoController中的登录接口：

@RequestMapping("/login")
public AjaxResult login(HttpServletRequest request, String username, String password) {
    //1.进行非空判断
    if (!StringUtils.hasLength(username) || !StringUtils.hasLength(password)){
        //说明没有传入任何参数
        return AjaxResult.fail(-1,"非法请求");
    }
    //2.查询数据库
    UserInfo userinfo = userService.getUserByName(username);
    if (userinfo != null && userinfo.getId() > 0) {
        //能获得id就说明用户名一定是在数据库中，说明是有效用户

        //使用自己写的加盐算法来判断登录
        //password是输入的待验证的明文密码，userinfo.getPassword()得到的是数据库中正确的最终密码格式
        if (PasswordUtils.check(password,userinfo.getPassword())){
            //将用户的session存储下来
            //参数为true：要是没有session就创建一个会话
            HttpSession session = request.getSession(true);
            //设置session的key和value
            session.setAttribute(ApplicationVariable.USER_SESSION_KEY,userinfo);
            //要是密码正确，在将数据返回之前，考虑到隐私，隐藏密码
            userinfo.setPassword("");
            return AjaxResult.success(userinfo);
        }
    }
    return AjaxResult.fail(0,null);
}

以上就是自己手写的一个加盐算法

实际上，springboot官方也提供了一种更加齐全的安全框架： spring security

spring security

要想使用spring security首先要先引入依赖（可以通过插件Edit Starters来引入依赖）

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

在spring security框架中在项目启动的时候，会自动注入登录的页面，在一般的项目中都是有自己的登录页面的，所以不需要自动注入登录，所以要将其去掉

在项目的启动类前面的@SpringBootApplication注解加上排除SecurityAutoConfiguration.class这个类对象就行了

package com.example.demo;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration;

//关闭spring security的验证
@SpringBootApplication(exclude = SecurityAutoConfiguration.class)
public class Demo3Application {
    public static void main(String[] args) {
        SpringApplication.run(Demo3Application.class, args);
    }
}

在单元测试中使用spring security中的密码加盐算法

package com.example.demo;

import org.junit.jupiter.api.Test;
import org.springframework.boot.test.context.SpringBootTest;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@SpringBootTest
class Demo3ApplicationTests {

    @Test
    void contextLoads() {
        BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
        String str = "111";
        //进行加密
        String finalPassword = bCryptPasswordEncoder.encode(str);
        System.out.println(finalPassword);
        //验证密码
        String inputPassword1 = "123";
        String inputPassword2 = "111";
        //inputPassword是用户输入的密码（待验证），finalPassword是存储在数据库中的最终密码格式
        System.out.println(bCryptPasswordEncoder.matches(inputPassword1,finalPassword));
        System.out.println(bCryptPasswordEncoder.matches(inputPassword2,finalPassword));
    }

}

加密之后的最终密码格式： $2a 10 10 10BXpuKmotUdqoS3rFE59anOTrSfk7gCYX5wfsg9ZblBHvc79EyVFOi

spring security中的最终密码的格式：

其实spring security的加盐算法就是bCryptPasswordEncoder对象的encode方法和matches方法

加密的时候encode方法传的参数是用户输入的密码

解密（验证）的时候，使用的matches方法的参数分别是用户输入的明文密码和数据库中最终密码格式

所以自己手写一个加盐算法之后再去看spring security调用就会很简单，因为思想都是一样的，所以先理解实现思路很重要！

到此这篇关于Java实现加盐算法的两种方法的文章就介绍到这了,更多相关Java 加盐算法内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

Java
加盐

必须掌握的十个Lambda表达式简化代码提高生产力
这篇文章主要为大家介绍了必须掌握的十个Lambda表达式来简化代码提高生产力，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪
2023-04-04
javaweb实现文件上传与下载功能
这篇文章主要为大家详细介绍了javaweb实现文件上传与下载功能，文中示例代码介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2020-12-12
Spring Boot使用Hibernate-Validator校验参数时的长度校验方法详解
这篇文章主要给大家介绍了关于Spring Boot使用Hibernate-Validator校验参数时的长度校验方法的相关资料,在Spring Boot中可以使用Spring Boot Validation来对参数名称进行校验,需要的朋友可以参考下
2023-08-08
springboot配置文件属性变量引用方式${}和@@用法及区别说明
这篇文章主要介绍了springboot配置文件属性变量引用方式${}和@@用法及区别说明，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2022-03-03
java IO实现电脑搜索、删除功能的实例
下面小编就为大家带来一篇java IO实现电脑搜索、删除功能的实例。小编觉得挺不错的，现在就分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2016-12-12
Spring Cloud @EnableFeignClients注解的属性字段basePacka详解
这篇文章主要介绍了Spring Cloud @EnableFeignClients注解的属性字段basePacka详解，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2021-09-09
Springboot mybatis-plus配置及用法详解
这篇文章主要介绍了Springboot mybatis-plus配置及用法详解,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2020-09-09
Springboot详解整合SpringSecurity实现全过程
Spring Security基于Spring开发，项目中如果使用Springboot作为基础，配合Spring Security做权限更加方便，而Shiro需要和Spring进行整合开发。因此作为spring全家桶中的Spring Security在java领域很常用
2022-07-07
Java中实现代码优化的技巧分享
这篇文章主要跟大家谈谈优化这个话题，那么我们一起聊聊Java中如何实现代码优化这个问题，小编这里有几个实用的小技巧分享给大家，需要的可以参考一下
2022-08-08
java中如何对Map的key顺序排序
大家都知道Map排序的方式有很多种,下面这篇文章主要给大家介绍了关于java中如何对Map的key顺序排序的相关资料,文中通过代码介绍的非常详细,需要的朋友可以参考下
2023-11-11