脚本之家 服务器常用软件
快捷导航
您的位置:首页软件编程java → spring jwt无状态认证

Spring 后端安全双剑之JWT 无状态认证 + 密码加盐加密实战指南

 更新时间:2025年12月13日 10:17:57   作者:在坚持一下我可没意见  
本文主要介绍了在Java Spring后端开发中如何实现用户登录免Session认证和用户密码加密以保障数据安全,通过使用令牌技术和加盐/加密技术,可以提高认证体系的安全性和可靠性,感兴趣的朋友跟随小编一起看看吧

引言

在 Java Spring 后端开发中,“安全” 永远是绕不开的话题,用户登录如何免 Session 认证?用户密码如何防止泄露?我们通过上篇令牌技术下篇加盐/加密,这两个核心技术,来聊聊关于如何让后端的认证体系更安全、更可靠

加密/加盐

加密的必要性

在 MySQL 数据库的日常使用过程中,用户密码、身份证号码、手机号码这类敏感数据的加密处理至关重要,这是保障数据安全的核心环节
倘若直接以明文形式存储这些信息,一旦数据库遭遇黑客攻击并被非法侵入,攻击者就能轻易窃取到用户的各类敏感信息。这种情况的发生,不仅会导致用户个人信息泄露,还可能给用户自身或所属企业带来财产方面的损失,造成难以估量的后果

密码算法分类

密码算法主要分为三类:对称密码算法,⾮对称密码算法,摘要算法

1. 对称加密算法

  • 核心特性:加密、解密使用同一密钥,运算速度快、效率高。
  • 子类型
    • 分组密码算法:将数据分割为固定长度的块进行加密(如 AES、DES)。
    • 流密码算法:逐字节生成密钥流,与明文逐位加密(如 ChaCha)。
  • 适用场景:大数据量加密(如文件、数据库字段),需注意密钥安全管理。

2. 非对称加密算法

  • 核心特性:使用公钥 + 私钥的密钥对,公钥可公开、私钥需保密;公钥加密的数据仅能通过对应私钥解密(反之亦然)。
  • 优势:解决了对称加密的 “密钥分发” 问题,支持数字签名(私钥签名、公钥验证)。
  • 不足:加解密速度远慢于对称加密。
  • 适用场景:小数据加密(如密钥交换、数字签名),典型算法如 RSA、ECC。

3. 摘要算法

  • 核心特性单向哈希运算,将任意长度数据转换为固定长度的 “摘要值”;无法从摘要反推原文,数据微小变化会导致摘要完全不同。
  • 子类型
    • MD(Message Digest):消息摘要算法(如 MD5)。
    • SHA-1(Secure Hash Algorithm):安全散列算法。
    • MAC(Message Authentication Code):消息认证码算法。
  • 适用场景:数据完整性验证、密码存储(存摘要而非明文)、数字签名组件。

加密思路

本篇文字主要以MD5算法来讲解加密

MD5可加密原理:加盐

MD5本身是不可逆的,加上相同的密码经过MD5哈希之后的密⽂是相同的,就很有可能被破解,但是我们可以采⽤为⼀个密码拼接⼀个随机字符来进⾏加密,这个随机字符我们称之为 “盐”,这样子即使黑客拿到数据库的数据,也是加密后字符串和盐的组合的字符串

密⽂相同,盐值相同,则证明 明⽂相同

运用加密/加盐

写加密/解密⼯具类

public class SecurityUtil {
    //加密
    //返回盐值+md5(盐值+明文)
    public static String encrypt(String password) {
        String salt = UUID.randomUUID().toString().replace("-", "");
        String securityPassword = DigestUtils.md5DigestAsHex((salt + password).getBytes(StandardCharsets.UTF_8));
        return salt + securityPassword;
    }
    //解密
    public static boolean verify(String inputPassword, String sqlPassword){
        if(!StringUtils.hasLength(inputPassword)){
            return false;
        }
        if(sqlPassword==null||sqlPassword.length()!=64){
            return false;
        }
        String salt = sqlPassword.substring(0,32);
        String securityPassword = DigestUtils.md5DigestAsHex((salt + inputPassword).getBytes(StandardCharsets.UTF_8));
        return sqlPassword.equals(salt + securityPassword);
    }
}

工具解析:

使用加密/解密⼯具类简单测试:

   public static void main(String[] args) {
        String encrypt = encrypt("123456");
        boolean verify = verify("123456", encrypt);
        System.out.println(verify);
    }

测试结果:

运用实战

创建响应和请求实体类:

@Data
public class UserLoginRequest {
    @NotNull(message = "用户名不能为空")
    private String userName;
    @NotNull(message = "密码不能为空")
    private String password;
}

@Data
@AllArgsConstructor
public class UserLoginResponse {
    private Integer userId;
    private String token;
}

UserLoginResponse 接口类:

@RequestMapping("/login")
    public UserLoginResponse login(@RequestBody @Validated UserLoginRequest userLoginRequest){
        log.info("用户登录,用户名:{}",userLoginRequest.getUserName());
         return userService.checkPassword(userLoginRequest);
    }

UserServiceImpl Serviece类:

@Service
public class UserServiceImpl implements UserService {
    @Autowired
    private UserInfoMapper userInfoMapper;
    @Resource(name = "blogServiceImpl")
    private BlogService blogService;
    @Override
    public UserLoginResponse checkPassword(UserLoginRequest userLoginRequest) {
        QueryWrapper<UserInfo> queryWrapper = new QueryWrapper<>();
        queryWrapper.lambda().eq(UserInfo::getUserName,userLoginRequest.getUserName())
                .eq(UserInfo::getDeleteFlag,0);
        UserInfo userInfo = userInfoMapper.selectOne(queryWrapper);
        if(userInfo==null){
            //用户不存在
            throw  new BlogException("用户不存在");
        }
        //判断密码是否一致
if(!SecurityUtil.verify(userLoginRequest.getPassword(),userInfo.getPassword())){
            throw new BlogException("用户密码错误");
        }
        //密码正确
        Map<String,Object> map=new HashMap<>();
        map.put("id",userInfo.getId());
        map.put("name",userInfo.getUserName());
        String token = JwtUtils.genToken(map);
        return  new UserLoginResponse(userInfo.getId(),token);
    }

使⽤测试类给密码123456⽣成密⽂,写到数据库:

测试:
当密码输入123456时,可以登录

当输入不为123456时提示密码输入错误,

加密成功

到此这篇关于Spring 后端安全双剑JWT 无状态认证 + 密码加盐加密实战的文章就介绍到这了,更多相关spring jwt无状态认证内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:

相关文章

  • Java之JVM的内存分析(简单版+案例)

    Java之JVM的内存分析(简单版+案例)

    这篇文章主要介绍了Java之JVM的内存分析,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
    2025-05-05
  • 排查Failed to validate connection com.mysql.cj.jdbc.ConnectionImpl

    排查Failed to validate connection com.mysql.cj.jdbc.Connec

    这篇文章主要介绍了Failed to validate connection com.mysql.cj.jdbc.ConnectionImpl问题排查,具有很好的参考价值,希望对大家有所帮助
    2023-02-02
  • MAVEN3.9.x中301问题及解决方法

    MAVEN3.9.x中301问题及解决方法

    本文主要介绍了使用MAVEN3.9.x中301问题及解决方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2025-01-01
  • Java异常体系非正常停止和分类

    Java异常体系非正常停止和分类

    这篇文章主要介绍了Java异常体系非正常停止和分类,指的是程序在执行过程中,出现的非正常的情况,最终会导致JVM的非正常停止更多相关内容需要的朋友可以参考一下
    2022-06-06
  • Java线程让步_动力节点Java学院整理

    Java线程让步_动力节点Java学院整理

    yield()的作用是让步。它能让当前线程由“运行状态”进入到“就绪状态”,从而让其它具有相同优先级的等待线程获取执行权。下面通过本文给大家介绍Java线程让步的相关知识,需要的朋友参考下吧
    2017-05-05
  • Java实现局域网聊天小程序

    Java实现局域网聊天小程序

    这篇文章主要为大家详细介绍了Java实现局域网聊天小程序,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2022-05-05
  • JAVA日志框架之JUL、JDK原生日志框架详解

    JAVA日志框架之JUL、JDK原生日志框架详解

    Java语言的强大之处就是因为它强大而且成熟的生态体系,其中包括日志框架,下面这篇文章主要给大家介绍了关于JAVA日志框架之JUL、JDK原生日志框架的相关资料,需要的朋友可以参考下
    2024-01-01
  • Java通过apache poi生成excel实例代码

    Java通过apache poi生成excel实例代码

    本篇文章主要介绍了Java通过apache poi生成excel实例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2017-06-06
  • 一文带你看懂Android动画的实现原理

    一文带你看懂Android动画的实现原理

    动画是 Android 应用程序中重要的交互特性,ndroid 提供了多种动画效果,包括平移、缩放、旋转和透明度等,它们可以通过代码或 XML 来实现,本文将介绍 Android 动画的原理和实现方法,并提供一些示例,需要的朋友可以参考下
    2023-07-07
  • 如何在Spring Boot应用中优雅的使用Date和LocalDateTime的教程详解

    如何在Spring Boot应用中优雅的使用Date和LocalDateTime的教程详解

    这篇文章主要介绍了如何在Spring Boot应用中优雅的使用Date和LocalDateTime,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2020-07-07

最新评论