提前声明:

你不会写这加密算法没关系啊,你会用就行。

要求就是:你可以不会写这个加密算法,但是你要知道加密流程,你要会用。

@Service

public class PasswordEncryptor{}

很好,请在service层中创建一个名字为PasswordEncryptor的服务类,用来负责密码的加密。

加密的方法有很多。

简单一点的,直接加密为MD5,或者使用base64进行编码到达伪加密的效果(毕竟base64编码是可以解码的)

在这里,用一种比较通常的方式进行加密

这种加密方式是一种结合了哈希函数和“盐”(Salt)的密码存储策略。以下是该加密方式的详细介绍:

  1. 哈希函数(Hashing Function)

    哈希函数是一种从任何大小的数据(通常是字符串)生成固定长度字符串的方法。在这个例子中,使用了SHA-256,它是一种常用的加密哈希函数。SHA-256生成的哈希值总是256位(32字节)长。哈希函数有一个重要的特性,那就是它们是单向的。这意味着,虽然从原始数据很容易生成哈希值,但从哈希值反向推导出原始数据却几乎是不可能的。

  2. 盐(Salt)

    “盐”是一个随机生成的数据,它与原始密码一起哈希处理。在这个例子中,盐的长度是16字节。盐的主要目的是防止所谓的“彩虹表”攻击。彩虹表是一种预先计算好的、从原始密码到其哈希值的映射。通过使用盐,即使两个用户使用了相同的密码,他们的哈希值也会是不同的,因为每个用户的盐都是不同的。这使得攻击者无法简单地使用预先计算好的彩虹表来查找原始密码。

  3. 加密过程

    在hashPassword方法中,首先生成一个新的随机盐。然后,将这个盐和密码一起哈希处理。最后,将盐和哈希值合并,并使用Base64编码以便于存储和传输。

  4. 验证过程

    在verifyPassword方法中,首先从存储的Base64编码字符串中解码出盐和哈希值。然后,使用相同的盐对用户输入的密码进行哈希处理。最后,比较计算出的哈希值和存储的哈希值是否相同。如果相同,那么密码就是正确的。

  5. 安全性

    这种加密方式提供了相当高的安全性。由于哈希函数的单向性,攻击者无法从哈希值中直接获取原始密码。同时,由于使用了盐,攻击者也无法使用彩虹表来查找原始密码。然而,需要注意的是,没有任何加密方式是绝对安全的。例如,如果攻击者能够获取到足够多的哈希值和对应的原始密码(这通常是通过某种形式的“钓鱼”攻击或恶意软件实现的),那么他们可能会使用这些信息来尝试“破解”哈希函数,尽管这在实践中是非常困难的。

代码如下:

package cc.xrilang.serversystem.service;

import org.springframework.stereotype.Service;

import java.nio.charset.StandardCharsets;

import java.security.MessageDigest;

import java.security.NoSuchAlgorithmException;

import java.security.SecureRandom;

import java.util.Base64;

@Service

public class PasswordEncryptor {

    // 盐的长度,这里设置为16字节

    private static final int SALT_LENGTH = 16;

    // SecureRandom用于生成安全的随机数

    private final SecureRandom secureRandom;

    // 构造函数,初始化SecureRandom实例

    public PasswordEncryptor() {

        this.secureRandom = new SecureRandom();

    }

    // 生成随机的盐

    private byte[] generateSalt() {

        byte[] salt = new byte[SALT_LENGTH];

        secureRandom.nextBytes(salt);

        return salt;

    }

    // 哈希密码并附带盐一起存储

    public String hashPassword(String password) throws NoSuchAlgorithmException {

        // 生成随机的盐

        byte[] salt = generateSalt();

        // 使用盐对密码进行哈希处理

        byte[] hash = hash(password.getBytes(StandardCharsets.UTF_8), salt);

        // 将盐和哈希值合并存储

        byte[] saltedHash = new byte[salt.length + hash.length];

        System.arraycopy(salt, 0, saltedHash, 0, salt.length);

        System.arraycopy(hash, 0, saltedHash, salt.length, hash.length);

        // 使用Base64对合并后的数据进行编码,便于存储和传输

        return Base64.getEncoder().encodeToString(saltedHash);

    }

    // 使用SHA-256算法和盐对输入数据进行哈希处理

    private byte[] hash(byte[] input, byte[] salt) throws NoSuchAlgorithmException {

        MessageDigest md = MessageDigest.getInstance("SHA-256");

        md.update(salt);

        return md.digest(input);

    }

    // 验证密码是否正确

    public boolean verifyPassword(String storedSaltedHash, String passwordToVerify) throws NoSuchAlgorithmException {

        // 对存储的Base64编码的盐和哈希值进行解码

        byte[] saltedHash = Base64.getDecoder().decode(storedSaltedHash);

        // 从解码后的数据中提取盐

        byte[] salt = new byte[SALT_LENGTH];

        System.arraycopy(saltedHash, 0, salt, 0, salt.length);

        // 从解码后的数据中提取哈希值

        byte[] hash = new byte[saltedHash.length - salt.length];

        System.arraycopy(saltedHash, salt.length, hash, 0, hash.length);

        // 使用提取的盐对用户输入的密码进行哈希处理

        byte[] computedHash = hash(passwordToVerify.getBytes(StandardCharsets.UTF_8), salt);

        // 比较计算出的哈希值与存储的哈希值是否一致

        return MessageDigest.isEqual(computedHash, hash);

    }

    // 主函数,用于测试

    public static void main(String[] args) {

        PasswordEncryptor encryptor = new PasswordEncryptor();

        String password = "userPassword123";

        try {

            // 对密码进行哈希处理并附带盐一起存储

            String encryptedPassword = encryptor.hashPassword(password);

            System.out.println("加密后的密码(包含盐): " + encryptedPassword);

            // 验证密码是否正确

            boolean isVerified = encryptor.verifyPassword(encryptedPassword, password);

            System.out.println("密码验证结果: " + isVerified);

            // 使用错误的密码进行验证

            boolean isWrongPasswordVerified = encryptor.verifyPassword(encryptedPassword, "wrongPassword");

            System.out.println("错误密码验证结果: " + isWrongPasswordVerified);

        } catch (NoSuchAlgorithmException e) {

            System.err.println("找不到哈希算法: " + e.getMessage());

        }

    }

}

接下来,我们在新增用户的时候,就要应用上这个加密

  // 增加用户

    @PostMapping

    public ResponseEntity<?> createUser(@RequestBody Users user) {

        if (usersService.selectUserAccount(user.getUserAccount()) != null) {

            return ResponseEntity.error("该账号已注册");

        }

        String password = user.getUserPassword();

        //对密码进行加密

        String plainPassword = user.getUserPassword();

        String encryptedPassword = null;

        try {

            encryptedPassword = passwordEncryptor.hashPassword(plainPassword);

        } catch (NoSuchAlgorithmException e) {

            // 处理加密异常,这里可以记录日志并返回错误信息

            return ResponseEntity.error("密码加密失败");

        }

        // 设置加密后的密码到用户对象

        user.setUserPassword(encryptedPassword);

        user.setUserStatus(1);

        user.setUserRegTime(new Timestamp(System.currentTimeMillis()));

        Users createdUser = usersService.createUser(user);

        return ResponseEntity.success(createdUser);

    }

那么,我们再编写一个登录接口吧。



    // 登录接口

    @PostMapping("/login")

    public ResponseEntity<?> login(@RequestParam String userAccount,@RequestParam String userPassword) {

        // 从登录请求中获取用户名和密码

//        System.out.println(userAccount);

//        System.out.println(userPassword);

        // 尝试从数据库中查找用户

        Users user = usersService.selectUserAccount(userAccount);

        // 验证用户是否存在

        if (user == null) {

            return ResponseEntity.error("用户不存在");

        }

        try {

            // 验证密码是否正确

            boolean passwordMatches = passwordEncryptor.verifyPassword(user.getUserPassword(),userPassword);

            if (!passwordMatches) {

                // 密码不匹配

                return ResponseEntity.error("密码错误");

            }

        }catch (NoSuchAlgorithmException e){

            return ResponseEntity.error("密码验证失败");

        }catch (Exception e){

            return ResponseEntity.error(e.getMessage());

        }

        return ResponseEntity.success(user);

    }

验证密码的时候,首先根据账号去获取数据里面加密的密码

加密的密码包括 盐值+哈希值

对存储的Base64编码的盐和哈希值进行解码

从解码后的数据中分别提取盐和哈市值

使用提取的盐对用户输入的密码进行哈希处理

比较计算出的哈希值与存储的哈希值是否一致

这就是判断流程了

当然不要忘记了修改密码的时候,也要对密码进行加密哦

    // 更新用户

    @PutMapping

    public ResponseEntity<Users> updateUser(@RequestBody Users user) {

        //获取参数的内容

        String userNickname = user.getUserNickname();

        String userPassword = user.getUserPassword();

        String userIdentity = user.getUserIdentity();

        Timestamp userLoginTime = user.getUserLastLoginTime();

        String remarks = user.getRemarks();

        long userStatus = user.getUserStatus();

        long userId = user.getUserId();

        //根据ID查出原本的数据

        Users u = usersService.readUser(user.getUserId());

        if (u == null) {

            return ResponseEntity.error("用户不存在");

        }

        // 更新用户信息(此处代码保持不变)

        //将需要修改的内容替换进去

        if (userNickname != null) {

            u.setUserNickname(userNickname);

        }

        if (userPassword != null) {

            //密码要加密后存储

            //对密码进行加密

            String encryptedPassword = null;

            try {

                encryptedPassword = passwordEncryptor.hashPassword(userPassword);

            } catch (NoSuchAlgorithmException e) {

                // 处理加密异常,这里可以记录日志并返回错误信息

                return ResponseEntity.error("密码加密失败");

            }

            // 设置加密后的密码到用户对象

            u.setUserPassword(encryptedPassword);

        }

        if (userIdentity != null) {

            u.setUserIdentity(userIdentity);

        }

        if (userLoginTime != null) {

            u.setUserLastLoginTime(userLoginTime);

        }

        if (remarks != null) {

            u.setRemarks(remarks);

        }

        if (userStatus != 0) {

            u.setUserStatus(userStatus);

        }

        Users updatedUser = usersService.updateUser(u);

        return ResponseEntity.success(updatedUser);

    }

登录试试看

故意输错密码:

故意输错账号

2024年1月Java项目开发指南9:密码加密存储的更多相关文章

  1. 转:Java项目开发规范参考

    Java项目开发规范参考 - KevinLee的博客 - 博客频道 - CSDN.NEThttp://blog.csdn.net/u011383131/article/details/51227860 ...

  2. IDEA 学习笔记之 Java项目开发深入学习(2)

    Java项目开发深入学习(2): 查找变量被用到的地方 编译当前文件 增加变量watch 注意:我使用了keymap (eclipse模板),所以很多快捷键和eclipse一样. F5单步调试进入函数 ...

  3. IDEA 学习笔记之 Java项目开发深入学习(1)

    Java项目开发深入学习(1): 定义编译输出路径: 继承以上工程配置 重新定义新的项目编译路径 添加source目录:点击添加,再点击移除: 编译项目: 常用快捷键总结: Ctrl+Space 代码 ...

  4. IDEA 学习笔记之 Java项目开发

    Java项目开发: 新建模块: 添加JDK: 导入本地Jars: 从远程Maven仓库下载: 创建package: 新建类/接口/枚举等: 字体太小,改字体: Duplicate Scheme 修改编 ...

  5. 《Maven在Java项目开发中的应用》论文笔记(十七)

    标题:Maven在Java项目开发中的应用 一.基本信息 时间:2019 来源:山西农业大学 关键词:Maven:Java Web:仓库:开发人员:极限编程; 二.研究内容 1.Maven 基本原理概 ...

  6. 收藏基本Java项目开发的书

    一.Java项目开发全程实录 第1章 进销存管理系统(Swing+SQL Server2000实现) 第2章企业内部通信系统(Swing+JavaDB实现) 第3章 企业人事管理系统( Swing+H ...

  7. Java项目开发中实现分页的三种方式一篇包会

    前言   Java项目开发中经常要用到分页功能,现在普遍使用SpringBoot进行快速开发,而数据层主要整合SpringDataJPA和MyBatis两种框架,这两种框架都提供了相应的分页工具,使用 ...

  8. Java项目开发

    项目开发整体构建: MVC+DAO设计模式 用面向对象的方式理解和使用数据库,一个数据库对应一个java项目 数据库--项目 表--类 字段--属性 表中的一条数据--类的一个对象 M:模型层 Jav ...

  9. DRF项目之实现用户密码加密保存

    在DRF项目的开发中,我们通过直接使用序列化器保存的用户信息时,用户的密码是被明文保存到数据库中. 代码实现: def create(self, validated_data): '''重写creat ...

  10. 《JAVA 从入门到精通》 - 正式走向JAVA项目开发的路

    以前很多时候会开玩笑,说什么,三天学会PHP,七天精通Nodejs,xx天学会xx ... 一般来说,这样子说的多半都带有一点讽刺的意味,我也基本上从不相信什么快速入门.我以前在学校的时候自觉过很多门 ...

随机推荐

  1. Salesforce AI Specialist篇之 Einstein Trust Layer

    本篇参考: https://trailhead.salesforce.com/content/learn/trails/drive-productivity-with-einstein-ai http ...

  2. 三维医学图像数据扩充:flip and rotate

    对于小数据量医学图像进行深度学习使,会由于数据量过小而过拟合.因此我们需要采用数据扩充方法,而flip和rotate又是经常用到的,这里做一个简单的实现. 输入为[batchsize,height, ...

  3. js中有哪些定时器 , 它们的用法和区别?

    js有setInterval() 间隔函数 和 setTimeout()延迟函数 2 种定时器 1. setInterval间隔函数 setInterval() 方法可按照指定的周期(以毫秒计)来调用 ...

  4. ADO.NET 连接数据库 【vs2022 + sqlServer】

    using System.Data; using System.Data.SqlClient; namespace Zhu.ADO.NET { internal class Program { pri ...

  5. 014 Python 的数据类型(数字、字符串、列表、字典)

    #!/usr/bin/env python # -*- coding:utf-8 -*- # Datatime:2022/7/24 20:31 # Filename:014 Python 的数据类型( ...

  6. 还在使用昂贵的虚拟机?来试试 Devbox,便宜 6 倍!

    这篇小短文来介绍一下用虚拟机的场景是怎么被 Devbox 全方位碾压的. Devbox 唯一弱点是公网出口的地方不分配独立的 IP 地址,但是这对我们绝大多数场景是没有影响的,通过域名和端口访问我们的 ...

  7. 使用 KubeKey 在 AWS 高可用部署 Kubernetes

    作者:李耀宗 介绍 对于生产环境,我们需要考虑 Kubernetes 集群的高可用性.本文教您部署如何在多台 AWS EC2 实例快速部署一套高可用的生产环境.要满足 Kubernetes 集群服务需 ...

  8. snap和apt的区别简单了解[]

    Linux中没有tree命令的时候提示安装的时候出现了两个命令,简单看了看两者有何区别(一般用apt就可以了):   sudo snap install tree 和 sudo apt install ...

  9. mysql重置id排列重新排序

    1.删除表中的原有的主键字段 ALTER TABLE table2 DROP id 2.表中重新创建一个字段 ALTER TABLE table2 ADD id int NOT NULL FIRST; ...

  10. 看图对比Pytest、Unittest