咸阳网站建设价格,西安工程信息交易中心,兰州市网站,技术支持 长沙网站建设-创研科技前言
在开发的时候#xff0c;有一些敏感信息是不能直接通过明白直接保存到数据库的。最经典的就是密码了。如果直接把密码以明文的形式入库#xff0c;不仅会泄露用户的隐私#xff0c;对系统也是极其的不厉#xff0c;这样做是非常危险的。
那么我们就需要对这些铭文进…前言
在开发的时候有一些敏感信息是不能直接通过明白直接保存到数据库的。最经典的就是密码了。如果直接把密码以明文的形式入库不仅会泄露用户的隐私对系统也是极其的不厉这样做是非常危险的。
那么我们就需要对这些铭文进行加密。
Java常用加密手段
现在市场是加密的方式已经有很多了像Base64加密算法(编码方式)MD5加密(消息摘要算法验证信息完整性)对称加密算法非对称加密算法数字签名算法数字证书CA认证等等。。
场景加密手段应用场景
Base64应用场景图片转码(应用于邮件img标签http加密)
MD5应用场景密码加密、imei加密、文件校验
非对称加密电商订单付款、银行相关业务
MD5加密的风险
如果直接使用MD5进行加密其实是不安全的这是是可以验证的比如下面这个例子
我直接使用MD5对123456的密码进行加密。看着很牛是吧一串随机数但是其实一碰就碎 接下来就使用大家常用的一个网站进行破解MD5破解网站
把刚才生成的MD5加密后的密码进行解密。
轻松破解别说黑客了这个网站都能破解出来那风险有多大就不用说了 所以我们需要采取一些措施用于二次不强MD5加密后的密码针对这种方式现在大多数采取的方式就是加盐
什么是盐
盐salt一般是一个随机生成的字符串或者常量。我们将盐与原始密码连接在一起放在前面或后面都可以然后将拼接后的字符串加密。salt这个值是由系统随机生成的并且只有系统知道。即便两个用户使用了同一个密码由于系统为它们生成的salt值不同散列值也是不同的。
加salt可以一定程度上解决这一问题。所谓加salt方法就是加点“佐料”。其基本想法是这样的当用户首次提供密码时通常是注册时由系统自动往这个密码里撒一些“佐料”然后再散列。而当用户登录时系统为用户提供的代码撒上同样的“佐料”然后散列再比较散列值已确定密码是否正确。
这样也就变成了将密码自定义的盐值来取MD5。但是如果黑客拿到了你的固定的盐值那这样也不安全了。所以比较好的做法是用随机盐值。用户登陆时再根据用户名取到这个随机的盐值来计算MD5。 个人建议把盐设置成随机数而不是常量这样更加安全。 引入MD5工具类
坐标如下
!--MD5加密 对铭文信息进行加密操作--
dependencygroupIdcommons-codec/groupIdartifactIdcommons-codec/artifactId
/dependency编写MD5加盐工具类
这种对铭文加密的操作我们可以封装成一个工具类在这里我们主要进行对明文密码进行MD5加密并且进行二次加盐加密以及对比加盐后的密码和初始密码是否相同。
直接把全部代码附上
package com.wyh.util;import org.apache.commons.codec.binary.Hex;import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.Random;/*** Author 魏一鹤* Description 将明文密码进行MD5加盐加密* Date 23:18 2023/2/7**/
public class SaltMD5Util {/*** Author 魏一鹤* Description 生成普通的MD5密码* Date 23:17 2023/2/7**/public static String MD5(String input) {MessageDigest md5 null;try {// 生成普通的MD5密码md5 MessageDigest.getInstance(MD5);} catch (NoSuchAlgorithmException e) {return check jdk;} catch (Exception e) {e.printStackTrace();return ;}char[] charArray input.toCharArray();byte[] byteArray new byte[charArray.length];for (int i 0; i charArray.length; i)byteArray[i] (byte) charArray[i];byte[] md5Bytes md5.digest(byteArray);StringBuffer hexValue new StringBuffer();for (int i 0; i md5Bytes.length; i) {int val ((int) md5Bytes[i]) 0xff;if (val 16)hexValue.append(0);hexValue.append(Integer.toHexString(val));}return hexValue.toString();}/*** Author 魏一鹤* Description 生成盐和加盐后的MD5码并将盐混入到MD5码中,对MD5密码进行加强* Date 23:17 2023/2/7**/public static String generateSaltPassword(String password) {Random random new Random();//生成一个16位的随机数也就是所谓的盐/*** 此处的盐也可以定义成一个系统复杂点的常量,而不是非要靠靠随机数随机出来 两种方式任选其一 例如下面这行代码:* 盐加密 SALT的字符串是随意打的目的是把MD5加密后的再次加密变得复杂* public static final String SALT fskdhfiuhjfshfjhsad4354%!#%3;**/StringBuilder stringBuilder new StringBuilder(16);stringBuilder.append(random.nextInt(99999999)).append(random.nextInt(99999999));int len stringBuilder.length();if (len 16) {for (int i 0; i 16 - len; i) {stringBuilder.append(0);}}// 生成盐String salt stringBuilder.toString();//将盐加到明文中并生成新的MD5码password md5Hex(password salt);//将盐混到新生成的MD5码中之所以这样做是为了后期更方便的校验明文和秘文也可以不用这么做不过要将盐单独存下来不推荐这种方式char[] cs new char[48];for (int i 0; i 48; i 3) {cs[i] password.charAt(i / 3 * 2);char c salt.charAt(i / 3);cs[i 1] c;cs[i 2] password.charAt(i / 3 * 2 1);}return new String(cs);}/*** Author 魏一鹤* Description 验证明文和加盐后的MD5码是否匹配* Date 23:16 2023/2/7**/public static boolean verifySaltPassword(String password, String md5) {//先从MD5码中取出之前加的盐和加盐后生成的MD5码char[] cs1 new char[32];char[] cs2 new char[16];for (int i 0; i 48; i 3) {cs1[i / 3 * 2] md5.charAt(i);cs1[i / 3 * 2 1] md5.charAt(i 2);cs2[i / 3] md5.charAt(i 1);}String salt new String(cs2);//比较二者是否相同return md5Hex(password salt).equals(new String(cs1));}/*** Author 魏一鹤* Description 生成MD5密码* Date 23:16 2023/2/7**/private static String md5Hex(String src) {try {MessageDigest md5 MessageDigest.getInstance(MD5);byte[] bs md5.digest(src.getBytes());return new String(new Hex().encode(bs));} catch (Exception e) {return null;}}public static void main(String args[]) {// 原密码String password 123456;System.out.println(明文(原生)密码 password);// MD5加密后的密码String MD5Password MD5(password);System.out.println(普通MD5加密密码 MD5Password);// 获取加盐后的MD5值String SaltPassword generateSaltPassword(password);System.out.println(加盐后的MD密码 SaltPassword);System.out.println(加盐后的密码和原生密码是否是同一字符串: verifySaltPassword(password, SaltPassword));}}
测试盐加密强度
这样我们就可以简单的测试下这传说中的盐是否真的这么厉害还是刚才的套路我们定义一个明文为123456的密码。然后再对生成的MD5密码进行加盐处理分别进行破解以及对比加盐后的密码和初始密码是否相同。 拿着MD5的密码进行破解不用想基本就是一碰就碎 然后试试加了盐之后的把你会发现它破解不了。 有了这些的基础后我们就可以对用户注册和登录分别进行加盐加密以及破解密码对比是否一致了
注册加密
其实很简单再原有的密码上进行加密即可 PostMapping(value /save)public Result save(RequestBody User user) {return userService.saveUser(user);}Overridepublic Result saveUser(User user) {// 密码 进行MD5加盐再入库user.setPassword(SaltMD5Util.generateSaltPassword(user.getPassword()));// 默认头像user.setImage(http://localhost:9090/upload/defaultUserImage.jpg);if (this.save(user)) {return Result.ok(user);}return Result.fail(保存用户信息失败);}
接口简单测试下把可以看到是以加密的方式入库的 登录解密
加密后入库了可不够还要进行对比呢随意登录也要处理下 GetMapping(value /login)public Result login(User user) {return userService.login(user);}public Result login(User user) {// 账号String account user.getAccount();// 密码String password user.getPassword();// 如果账号或者密码为空,返回错误信息if (StringUtils.isEmpty(account) || StringUtils.isEmpty(password)) {return Result.fail(账号和密码都不能为空);}// 根据账号和密码查询对应的用户信息User loginUser this.query().eq(account, account).one();if (!StringUtils.isEmpty(loginUser)) {// 获取该用户在数据库里面的加密过的密码String saltPassword loginUser.getPassword();// 输入的密码和加密后的密码进行比较boolean passwordFlag SaltMD5Util.verifySaltPassword(password, saltPassword);// 如果根据账号查询和校验加密密码失败,则返回错误信息if (StringUtils.isEmpty(loginUser) || !passwordFlag) {return Result.fail(登录失败,账号或者密码错误);}// 如果账号状态被禁用了if (loginUser.getStatus().equals(ACCOUNT_DISABLE.getCode())) {return Result.fail(登录失败,该账号已被引用,请联系管理员, loginUser);}// 存在的话返回查询到的用户信息return Result.ok(loginUser);}return Result.fail(登录失败,账号或者密码错误);}我们还以刚才注册的用户为例进行登录可以看到虽然库里是加密后的密码我们输入的是明文但是一样可以匹配上的 总结
加密真的很重要重要的信息千万不能以明文保存
