1、需要实现的功能介绍

注册 登录 用户名校验
忘记密码 提交问题答案 重置密码
获取用户信息 更新用户信息 退出登录

目标

  • 避免横向越权,纵向越权的安全漏洞
  • MD5明文加密级增加的salt值
  • Guava缓存的使用
  • 高复用服务响应对象的设计思想级抽象封装
  • session的使用

横向越权:攻击者尝试访问与他人拥有相同权限的用户。
纵向越权:低级别攻击者尝试访问高级别用户的资源

当用户在未登录的状态下修改密码时,用户回答了忘记密码的答案然后生成一个具有时间限制的token,这里用UUID表示,之后再跳转到重置密码界面输入新的密码提交,这里设置token的作用就是避免横向越权,如果一个网络攻击者直接进入重置密码页面,这里会进行检测他提交时是不是有正确的token,并且我们可以设置token的生效时间,这样就提高了安全性,当然密码的存储是经过MD5加密的,所以数据库看到的是加密后的密码。如果用户在登陆成功后,进行修改的话,我们不需要这么做。

用户重置密码阶段

这个阶段是在用户正确回答自己设置的问题后,拿到了服务器生成的token后进行密码重置,这时该进行怎样的处理呢?
首先前台表单中我们可以获取到用户名,提交表单携带的token,和新的密码。其次,我们先要验证的是传过来的token,如果他为空或者是个空串,或者包含空格,那就不合法,返回参数错误信息;然后,校验用户名,这时候为什么要再次校验username呢?因为在本地保存token时,我把username当做key,生成的token当做了value,所以在后面获取本地储存的token时,要保证username的正确,才能获取本地的token,校验完username后。下一步,我们开始从本地获取token,获取后需要校验一下本地的是不是为空或者是空串,这时才把两个token进行比较,当前台传过来的token与本地服务器端的token一样时,我们才开始更新密码,记得在更新前对新的密码进行加密,HDMC或者MD5方式,加密后才根据username更新密码字段,记得要带上更新时间,也就是一起把update_time也更新了。如果两个token不一样,那就设置错误的状态吗,提示token错误,请重新回答密保问题后再次进行更改。

核心代码如下



public ServerResponse<String> forgetResetPassword(String username, String passwordNew, String forgetToken) {

        if (StringUtils.isBlank(forgetToken)) {

            return ServerResponse.createByErrorMessage("参数错误,token需要传递");

        }

        //需要校验用户名,因为tokenCache的key包含username

        ServerResponse<String> checkValid = this.checkValid(username, Const.USERNAME);

        if (checkValid.isSuccess()) {

            //用户名不存在

            return ServerResponse.createByErrorMessage("用户不存在");

        }

        String token = TokenCache.getKey(TokenCache.TOKEN_PREFIX + username);

        if (StringUtils.isBlank(token)) {

            return ServerResponse.createByErrorMessage("token无效或过期");

        }

        if (StringUtils.equals(forgetToken,token)){

            //这时开始更新password,先加密在保存

            String md5Password = MD5Util.MD5EncodeUtf8(passwordNew);

            int rowCount = userMapper.updatePasswordByUsername(username, md5Password);

            if (rowCount>0){

                return ServerResponse.createBySuccessMessage("修改密码成功");

            }

        }else{

            //如果两个token不一样,那就重新获取新的token

            return ServerResponse.createByErrorMessage("token错误,请重新回答问题后获取重置密码的token");

        }

        return ServerResponse.createByErrorMessage("修改密码失败");

    }

当用户回答完忘记密码的问题后,提交的用户名,问题,答案要在数据库中进行查询如果查到的记录数为1,代表问题与答案相匹配,然后生成token,这里也就是一个UUID,把这个token放在本地的token缓存中,以键值对的形式存储,token_username代表key,生成的UUID代表value,最后返回前端的数据是生成的token。代码如下

public ServerResponse<String> checkAnswer(String username, String question, String answer) {

        int resultCount = userMapper.checkAnswer(username, question, answer);

        if (resultCount > 0) {

            //问题答案匹配成功

            String forgetToken = UUID.randomUUID().toString();

            TokenCache.setKey(TokenCache.TOKEN_PREFIX + username, forgetToken);

            return ServerResponse.createBySuccessData(forgetToken);

        }

        return ServerResponse.createByErrorMessage("问题的答案错误");

    }

TokenCache类:

 private static Logger logger = LoggerFactory.getLogger(TokenCache.class);

    public static final String TOKEN_PREFIX = "token_";

    //LRU算法

    private static LoadingCache<String, String> localCache =

            CacheBuilder.newBuilder()

                    .initialCapacity(1000)

                    .maximumSize(10000)

                    .expireAfterAccess(12, TimeUnit.HOURS)

                    .build(new CacheLoader<String, String>() {

                        //默认的数据加载实现,当key没有对应的值时,就调用这个方法进行加载

                        @Override

                        public String load(String s) throws Exception {

                            return "null";

                        }

                    });

    public static void setKey(String key, String value) {

        localCache.put(key, value);

    }

    public static String getKey(String key){

        String value = null;

        try {

            value =  localCache.get(key);

            if ("null".equals(value)){

                return null;

            }

            return value;

        } catch (ExecutionException e) {

            logger.error("localCache get error",e);

        }

        return null;

    }

现在纯粹的MD5加密已经不安全了,因为有专门解密的相关网站,只要将加密后的密文粘贴上去就可以看到解密的密码。所以为了保存数据传入的安全性,我们需要加上盐值,再用MD5生成密文,只要对方获取不到盐值,他解密是很难的。来看一下怎样使用加盐的方式进行加密。
例如在注册的接口中:

注册过程

首先前台提交过来了一大堆内容,例如用户名,密码,邮箱等等,这时我们防止用户名重复,首先校验用户名不能重复,然后校验邮箱也不能重复,方法和校验用户名一样,再然后就开始对用户的密码进行加密。

public ServerResponse<String> register(User user) {

        //校验用户名

        ServerResponse<String> checkValid = this.checkValid(user.getUsername(), Const.USERNAME);

        if (!checkValid.isSuccess()) {

            return checkValid;

        }

        //校验email

        checkValid = this.checkValid(user.getEmail(), Const.EMAIL);

        if (!checkValid.isSuccess()) {

            return checkValid;

        }

        user.setRole(Const.Role.ROLE_CUSTOMER);

        //MD5加密

        user.setPassword(MD5Util.MD5EncodeUtf8(user.getPassword()));

        int i = userMapper.insert(user);

        if (i == 0) {

            return ServerResponse.createByErrorMessage("注册失败");

        }

        return ServerResponse.createBySuccessMessage("注册成功");

    }

这里开始查看MD5Util类的实现;

 public static String MD5EncodeUtf8(String origin) {

        origin = origin + PropertiesUtil.getProperty("password.salt", "");

        return MD5Encode(origin, "utf-8");

    }

这里就是加盐的过程了,如果在配置文件中没有设置盐默认就是一个空的字符串。password+salt的字符串在进行加密。

private static String MD5Encode(String origin, String charsetname) {

        String resultString = null;

        try {

            resultString = new String(origin);

            MessageDigest md = MessageDigest.getInstance("MD5");

            if (charsetname == null || "".equals(charsetname)) {

                resultString = byteArrayToHexString(md.digest(resultString.getBytes()));

            } else {

                resultString = byteArrayToHexString(md.digest(resultString.getBytes(charsetname)));

            }

        } catch (Exception exception) {

        }

        return resultString.toUpperCase();

    }

先将字符串转化为字节数组,然后整体对字节数组进行处理,对与字节数组中的每一个字节将他自身对16进行取余,整除运算,得到的两个结果,再从预先定义的private static final

数组中获取值,最终返回。

 private static String byteArrayToHexString(byte b[]) {

        StringBuffer resultSb = new StringBuffer();

        for (int i = 0; i < b.length; i++) {

            resultSb.append(byteToHexString(b[i]));

        }

        return resultSb.toString();

    }

    private static String byteToHexString(byte b) {

        int n = b;

        if (n < 0) {

            n += 256;

        }

        int d1 = n / 16;

        int d2 = n % 16;

        return hexDigits[d1] + hexDigits[d2];

    }

 private static final String hexDigits[] = {"0", "1", "2", "3", "4", "5",

            "6", "7", "8", "9", "a", "b", "c", "d", "e", "f"};

mmall商城用户模块开发总结的更多相关文章

  1. 小D课堂-SpringBoot 2.x微信支付在线教育网站项目实战_5-8.用户模块开发之保存微信用户信息

    笔记 8.用户模块开发之保存微信用户信息     简介:开发User数据访问层,保存微信用户信息 问题:             微信回调 用户昵称乱码             解决:        ...

  2. python-django框架-电商项目-用户模块开发_20191117

    实现注册的基本逻辑: 1,注册页面 注意:注册页面需要静态文件的支持,另外注册页面是基础基类的, 1,url,路由系统, 2,views,视图系统,还是使用类视图,里面有很多的函数, 2,views. ...

  3. mmall商城购物车模块总结

    购物车模块的设计思想 购物车的实现方式有很多,但是最常见的就三种:Cookie,Session,数据库.三种方法各有优劣,适合的场景各不相同.Cookie方法:通过把购物车中的商品数据写入Cookie ...

  4. mmall商城分类模块总结

    后台分类model的开发具体功能有:添加分类名称,修改分类名称,查询所有子分类,查询父分类以及它下面的子分类(递归) 需要注意的是,在后台管理进行操作的时候,都需要验证当前用户是否是管理员的角色,不管 ...

  5. 【JAVAWEB学习笔记】网上商城实战:环境搭建和完成用户模块

    网上商城实战 今日任务 完成用户模块的功能 1.1      网上商城的实战: 1.1.1    演示网上商城的功能: 1.1.2    制作目的: 灵活运用所学知识完成商城实战. 1.1.3    ...

  6. 【JAVAWEB学习笔记】网上商城实战1:环境搭建和完成用户模块

    今日任务 完成用户模块的功能 1.1      网上商城的实战: 1.1.1    演示网上商城的功能: 1.1.2    制作目的: 灵活运用所学知识完成商城实战. 1.1.3    数据库分析和设 ...

  7. 【青橙商城-管理后台开发】3. web模块搭建

    [青橙商城-管理后台开发]3. web模块搭建 1.创建qingcheng_web_manager模块 pom.xml <?xml version="1.0" encodin ...

  8. JavaWeb网上图书商城完整项目--21.用户模块各层相关类的创建

    1.现在要为user用户模块创建类 用户模块功能包括:注册.激活.登录.退出.修改密码. User类对照着t_user表来写即可.我们要保证User类的属性名称与t_user表的列名称完全相同. 我们 ...

  9. Asp.net Mvc模块化开发之“开启模块开发、调试的简单愉快之旅”

    整个世界林林种种,把所有的事情都划分为对立的两个面. 每个人都渴望的财富划分为富有和贫穷,身高被划分为高和矮,身材被划分为胖和瘦,等等. 我们总是感叹,有钱人的生活我不懂;有钱人又何尝能懂我们每天起早 ...

随机推荐

  1. KM 算法

    KM 算法 可能需要先去学学匈牙利算法等二分图相关知识. 模板题-洛谷P6577 [模板]二分图最大权完美匹配 给 \(n\) 和 \(m\) 与边 \(u_i,v_i,w_i(1\le i\le m ...

  2. Editor.md解决跨域上传的问题

    Editor.md解决跨域上传的问题 编辑 editormd\plugins\image-dialog\image-dialog.js 替换以下代码片段 if (settings.crossDomai ...

  3. 学好Spark/Kafka必须要掌握的Scala技术点(二)类、单例/伴生对象、继承和trait,模式匹配、样例类(case class)

    3. 类.对象.继承和trait 3.1 类 3.1.1 类的定义 Scala中,可以在类中定义类.以在函数中定义函数.可以在类中定义object:可以在函数中定义类,类成员的缺省访问级别是:publ ...

  4. 去掉RedisDesktopManager更新提示弹窗

    去掉RedisDesktopManager更新提示弹窗 起因 每次打开RDM都要弹出一个更新提示弹窗,虽然打开次数不频繁,总是有个弹窗再点一次OK按钮,还不能设置关闭更新检查.更新下载还要各种登录麻烦 ...

  5. 【Unity】Unity中AR Foundation的使用

    前段时间通过Unity 3d打包测试对比ARCore与ARKit环境探针的效果的过程中,在Google AR Core官网下载到了ARCore for Unity SDK,但是在苹果官网却没有找到AR ...

  6. 2020 .NET 开发者峰会顺利在苏州落幕,相关数据很喜人以及线上直播回看汇总

    在2019年上海中国.NET开发者大会的基础上,2020年12月19-20日 继续以"开源.共享.创新" 为主题的第二届中国 .NET 开发者峰会(.NET Conf China ...

  7. HTC Vive使用WebVR的方法以及启用后头显无画面的解决方法

    1.下载支持WebVR的浏览器. 笔者使用的是HTC Vive,故下载了Firefox的Nightly版本[下载地址]. 2.Nightly 开启WebVR的步骤[引用自Mozilla VR] 1.从 ...

  8. Windows Server 2016介绍与安装

    版本介绍 Windows Server 2016 Essentials edition Windows Server 2016 Essentials版是专为小型企业而设计的.它对应于Windows S ...

  9. RocketMQ(九):主从同步的实现

    分布式系统的三大理论CAP就不说了,但是作为分布式消息系统的rocketmq, 主从功能是最最基础的了.也许该功能现在已经不是很常用了,但是对于我们理解一些分布式系统的常用工作原理还是有些积极意义的. ...

  10. mybatis实现MySQL数据库的增删改查之二

    这里直接附上代码: 1 package com.qijian.pojo; 2 3 import org.apache.ibatis.type.Alias; 4 5 6 public class Use ...