SpringBoot利用随机盐值实现密码的加密与验证
近日,在做完博客系统的项目之后发现在进行用户登录的时候对于密码的防护性不够严谨,可能会存在密码的安全问题,故本文将介绍如何使用【随机盐值】来实现密码的加密与解密
一、加密 & 代码解读
首先我们来看到的是第一种【加盐加密】的方法,即为直接传入密码随机产生盐值来进行加密
/**
* 加盐加密
*
* @param password 明文密码
* @return 加盐加密的密码
*/
public static String encrypt(String password) {
// 1.产生盐值
String salt = UUID.randomUUID().toString().replace("-", "");
// 2.使用MD5(盐值+明文密码)得到加密的密码
String finalPassword = DigestUtils.md5DigestAsHex((salt + password).getBytes());
// 3.将盐值和加密的密码共同返回(合并盐值和加密密码)
String dbPassword = salt + "$" + finalPassword;
return dbPassword;
}
接下去我们来细致地解读一下这个加盐算法
首先我们使用工具类UUID中的randomUUID()方法,根据所传入的两个参数随机产生一个盐值
// 1.产生盐值
String salt = UUID.randomUUID().toString().replace("-", "");
然后我们则使用工具类DigestUtils中的md5DigestAsHex()方法将随机生成的盐值进行拼接然后得到最后的加密后的密码
// 2.使用MD5(盐值+明文密码)得到加密的密码 String finalPassword = DigestUtils.md5DigestAsHex((salt + password).getBytes());
最后,此方法会将所得到的盐值和最后的密码进行返回
// 3.将盐值和加密的密码共同返回(合并盐值和加密密码) String dbPassword = salt + "$" + finalPassword;
接下去我们再来看看另一种的加密算法,不仅是传递所需要加密的密码,盐值也需要一并地传入
/**
* 加盐加密
*
* @param password 明文密码
* @param salt 可传递盐值
* @return 加盐加密的密码
*/
public static String encrypt(String password, String salt) {
// 1.使用(盐值+明文密码)得到加密的密码
String finalPassword = DigestUtils.md5DigestAsHex((salt + password).getBytes());
// 2.将盐值和加密的密码共同返回(合并盐值和加密密码)
String dbPassword = salt + "$" + finalPassword;
return dbPassword;
}
💬那既然已经传入了盐值salt,那么除去第一步的盐值生成,其他都是一样的
二、验证 & 代码解读
以下是对于用户所传递进来的密码进行验证的过程
/**
* 验证加盐加密密码
*
* @param password 明文密码(不一定对,需要验证明文密码)
* @param dbPassword 数据库存储的密码(包含:salt+$+加盐加密密码)
* @return true=密码正确
*/
public static boolean decrypt(String password, String dbPassword) {
boolean result = false;
if (StringUtils.hasLength(password) && StringUtils.hasLength(dbPassword) &&
dbPassword.length() == 65 && dbPassword.contains("$")) { // 参数正确
// 1.得到盐值
String[] passwrodArr = dbPassword.split("\$");
// 1.1 盐值
String salt = passwrodArr[0];
// // 1.2 得到正确密码的加盐加密密码
// String finalPassword = passwrodArr[1];
// 2.生成验证密码的加盐加密密码
String checkPassword = encrypt(password, salt);
if (dbPassword.equals(checkPassword)) {
result = true;
}
}
return result;
}
我们马上来解读一下
首先我们要先来进行参数校验,要检查的就是这两个参数是否存在,并且要检查从数据库中所取到的加盐后密码长度是否== 65,而且是否包含字符“$”
if (StringUtils.hasLength(password) && StringUtils.hasLength(dbPassword) &&
dbPassword.length() == 65 && dbPassword.contains("$")) { // 参数正确
因为所存入数据库的finalPassword是salt + "$" + finalPassword;,所以我们要通过split()来取出取出和这个盐值
// 1.得到盐值
String[] passwrodArr = dbPassword.split("\$");
// 1.1 盐值
String salt = passwrodArr[0];
最后,当我们得到这个盐值后,对用户所传递进来的密码进行一样的加盐加密,将得到后的结果与数据库中的密码进行比较,如果相同的话则进行标记,最后我们通过result来进行观察
// 2.生成验证密码的加盐加密密码
String checkPassword = encrypt(password, salt);
if (dbPassword.equals(checkPassword)) {
result = true;
}
三、测试观察
最后我们通过实体的用户注册登录来进行一下测试,观察是否可以达到加密与验证
首先看到当前系统中总共有两个用户,分别是【admin】和【zhangsan】
然后我们去注册一个用户名为:lisi,并且密码为ls123的用户
然后我们就可以看到数据库中多了一条用户名为:lisi,并且密码为ls123的用户
接着我们就可以去进行登录了,输入刚才所注册的用户名和密码就可以,我们一起来调试着看看
然后便很成功地登录进去了
我们可以再来试试输错密码的可能性。很明显当密码输错的时候在进行验证的时候就会识别到了
以上就是SpringBoot利用随机盐值实现密码的加密与验证的详细内容,更多关于SpringBoot密码加密与验证的资料请关注脚本之家其它相关文章!
相关文章
这篇文章给大家介绍SpringBoot中手动开启数据库事务的四种方式,每种方式结合实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧2025-12-12
本篇文章主要介绍了Springboot整合Dubbo教程之项目创建和环境搭建,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2017-12-12
这篇文章主要介绍了零基础搭建boot+MybatisPlus,首先需要创建数据库表和创建boot项目使用mybatisplus操作数据库,本文通过示例代码给大家介绍的非常详细,需要的朋友可以参考下2022-03-03
反射机制:getDeclaredField和getField的区别说明
这篇文章主要介绍了反射机制:getDeclaredField和getField的区别说明,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2021-06-06
线程被称为轻量级进程,是程序执行的最小单位,它是指在程序执行过程中,能够执行代码的一个执行单位。接下来通过本文给大家介绍java多线程创建方式及线程安全问题,感兴趣的朋友一起看看吧2022-01-01
这篇文章主要介绍了Java中List与Map初始化的一些写法有需要的朋友可以参考一下2014-01-01
SpringBoot和Redis实现Token权限认证的实例讲解
这篇文章主要介绍了SpringBoot和Redis实现Token权限认证的实例讲解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧2021-02-02
这篇文章主要给大家介绍了关于如何优雅地在Java应用中实现全局枚举处理的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧2019-02-02
这篇文章主要给大家介绍了SpringBoot整合达梦数据库的详细教程,文章中有详细的图片介绍和代码示例供大家参考,具有一定的参考价值,需要的朋友可以参考下2023-08-08
mybatis-generator-gui 工具使用(图形化工具)
基于 mybatis generator 开发一款界面工具, 本工具可以使你非常容易及快速生成 Mybatis 的 Java POJO 文件及数据库 Mapping 文件。本文重点给大家介绍mybatis-generator-gui 工具使用,感兴趣的朋友一起看看吧2022-03-03
最新评论