提前声明:

你不会写这加密算法没关系啊,你会用就行。

要求就是:你可以不会写这个加密算法,但是你要知道加密流程,你要会用。

@Service

public class PasswordEncryptor{}

很好,请在service层中创建一个名字为PasswordEncryptor的服务类,用来负责密码的加密。

加密的方法有很多。

简单一点的,直接加密为MD5,或者使用base64进行编码到达伪加密的效果(毕竟base64编码是可以解码的)

在这里,用一种比较通常的方式进行加密

这种加密方式是一种结合了哈希函数和“盐”(Salt)的密码存储策略。以下是该加密方式的详细介绍:

  1. 哈希函数(Hashing Function)

    哈希函数是一种从任何大小的数据(通常是字符串)生成固定长度字符串的方法。在这个例子中,使用了SHA-256,它是一种常用的加密哈希函数。SHA-256生成的哈希值总是256位(32字节)长。哈希函数有一个重要的特性,那就是它们是单向的。这意味着,虽然从原始数据很容易生成哈希值,但从哈希值反向推导出原始数据却几乎是不可能的。

  2. 盐(Salt)

    “盐”是一个随机生成的数据,它与原始密码一起哈希处理。在这个例子中,盐的长度是16字节。盐的主要目的是防止所谓的“彩虹表”攻击。彩虹表是一种预先计算好的、从原始密码到其哈希值的映射。通过使用盐,即使两个用户使用了相同的密码,他们的哈希值也会是不同的,因为每个用户的盐都是不同的。这使得攻击者无法简单地使用预先计算好的彩虹表来查找原始密码。

  3. 加密过程

    在hashPassword方法中,首先生成一个新的随机盐。然后,将这个盐和密码一起哈希处理。最后,将盐和哈希值合并,并使用Base64编码以便于存储和传输。

  4. 验证过程

    在verifyPassword方法中,首先从存储的Base64编码字符串中解码出盐和哈希值。然后,使用相同的盐对用户输入的密码进行哈希处理。最后,比较计算出的哈希值和存储的哈希值是否相同。如果相同,那么密码就是正确的。

  5. 安全性

    这种加密方式提供了相当高的安全性。由于哈希函数的单向性,攻击者无法从哈希值中直接获取原始密码。同时,由于使用了盐,攻击者也无法使用彩虹表来查找原始密码。然而,需要注意的是,没有任何加密方式是绝对安全的。例如,如果攻击者能够获取到足够多的哈希值和对应的原始密码(这通常是通过某种形式的“钓鱼”攻击或恶意软件实现的),那么他们可能会使用这些信息来尝试“破解”哈希函数,尽管这在实践中是非常困难的。

代码如下:

package cc.xrilang.serversystem.service;

import org.springframework.stereotype.Service;

import java.nio.charset.StandardCharsets;

import java.security.MessageDigest;

import java.security.NoSuchAlgorithmException;

import java.security.SecureRandom;

import java.util.Base64;

@Service

public class PasswordEncryptor {

    // 盐的长度,这里设置为16字节

    private static final int SALT_LENGTH = 16;

    // SecureRandom用于生成安全的随机数

    private final SecureRandom secureRandom;

    // 构造函数,初始化SecureRandom实例

    public PasswordEncryptor() {

        this.secureRandom = new SecureRandom();

    }

    // 生成随机的盐

    private byte[] generateSalt() {

        byte[] salt = new byte[SALT_LENGTH];

        secureRandom.nextBytes(salt);

        return salt;

    }

    // 哈希密码并附带盐一起存储

    public String hashPassword(String password) throws NoSuchAlgorithmException {

        // 生成随机的盐

        byte[] salt = generateSalt();

        // 使用盐对密码进行哈希处理

        byte[] hash = hash(password.getBytes(StandardCharsets.UTF_8), salt);

        // 将盐和哈希值合并存储

        byte[] saltedHash = new byte[salt.length + hash.length];

        System.arraycopy(salt, 0, saltedHash, 0, salt.length);

        System.arraycopy(hash, 0, saltedHash, salt.length, hash.length);

        // 使用Base64对合并后的数据进行编码,便于存储和传输

        return Base64.getEncoder().encodeToString(saltedHash);

    }

    // 使用SHA-256算法和盐对输入数据进行哈希处理

    private byte[] hash(byte[] input, byte[] salt) throws NoSuchAlgorithmException {

        MessageDigest md = MessageDigest.getInstance("SHA-256");

        md.update(salt);

        return md.digest(input);

    }

    // 验证密码是否正确

    public boolean verifyPassword(String storedSaltedHash, String passwordToVerify) throws NoSuchAlgorithmException {

        // 对存储的Base64编码的盐和哈希值进行解码

        byte[] saltedHash = Base64.getDecoder().decode(storedSaltedHash);

        // 从解码后的数据中提取盐

        byte[] salt = new byte[SALT_LENGTH];

        System.arraycopy(saltedHash, 0, salt, 0, salt.length);

        // 从解码后的数据中提取哈希值

        byte[] hash = new byte[saltedHash.length - salt.length];

        System.arraycopy(saltedHash, salt.length, hash, 0, hash.length);

        // 使用提取的盐对用户输入的密码进行哈希处理

        byte[] computedHash = hash(passwordToVerify.getBytes(StandardCharsets.UTF_8), salt);

        // 比较计算出的哈希值与存储的哈希值是否一致

        return MessageDigest.isEqual(computedHash, hash);

    }

    // 主函数,用于测试

    public static void main(String[] args) {

        PasswordEncryptor encryptor = new PasswordEncryptor();

        String password = "userPassword123";

        try {

            // 对密码进行哈希处理并附带盐一起存储

            String encryptedPassword = encryptor.hashPassword(password);

            System.out.println("加密后的密码(包含盐): " + encryptedPassword);

            // 验证密码是否正确

            boolean isVerified = encryptor.verifyPassword(encryptedPassword, password);

            System.out.println("密码验证结果: " + isVerified);

            // 使用错误的密码进行验证

            boolean isWrongPasswordVerified = encryptor.verifyPassword(encryptedPassword, "wrongPassword");

            System.out.println("错误密码验证结果: " + isWrongPasswordVerified);

        } catch (NoSuchAlgorithmException e) {

            System.err.println("找不到哈希算法: " + e.getMessage());

        }

    }

}

接下来,我们在新增用户的时候,就要应用上这个加密

  // 增加用户

    @PostMapping

    public ResponseEntity<?> createUser(@RequestBody Users user) {

        if (usersService.selectUserAccount(user.getUserAccount()) != null) {

            return ResponseEntity.error("该账号已注册");

        }

        String password = user.getUserPassword();

        //对密码进行加密

        String plainPassword = user.getUserPassword();

        String encryptedPassword = null;

        try {

            encryptedPassword = passwordEncryptor.hashPassword(plainPassword);

        } catch (NoSuchAlgorithmException e) {

            // 处理加密异常,这里可以记录日志并返回错误信息

            return ResponseEntity.error("密码加密失败");

        }

        // 设置加密后的密码到用户对象

        user.setUserPassword(encryptedPassword);

        user.setUserStatus(1);

        user.setUserRegTime(new Timestamp(System.currentTimeMillis()));

        Users createdUser = usersService.createUser(user);

        return ResponseEntity.success(createdUser);

    }

那么,我们再编写一个登录接口吧。



    // 登录接口

    @PostMapping("/login")

    public ResponseEntity<?> login(@RequestParam String userAccount,@RequestParam String userPassword) {

        // 从登录请求中获取用户名和密码

//        System.out.println(userAccount);

//        System.out.println(userPassword);

        // 尝试从数据库中查找用户

        Users user = usersService.selectUserAccount(userAccount);

        // 验证用户是否存在

        if (user == null) {

            return ResponseEntity.error("用户不存在");

        }

        try {

            // 验证密码是否正确

            boolean passwordMatches = passwordEncryptor.verifyPassword(user.getUserPassword(),userPassword);

            if (!passwordMatches) {

                // 密码不匹配

                return ResponseEntity.error("密码错误");

            }

        }catch (NoSuchAlgorithmException e){

            return ResponseEntity.error("密码验证失败");

        }catch (Exception e){

            return ResponseEntity.error(e.getMessage());

        }

        return ResponseEntity.success(user);

    }

验证密码的时候,首先根据账号去获取数据里面加密的密码

加密的密码包括 盐值+哈希值

对存储的Base64编码的盐和哈希值进行解码

从解码后的数据中分别提取盐和哈市值

使用提取的盐对用户输入的密码进行哈希处理

比较计算出的哈希值与存储的哈希值是否一致

这就是判断流程了

当然不要忘记了修改密码的时候,也要对密码进行加密哦

    // 更新用户

    @PutMapping

    public ResponseEntity<Users> updateUser(@RequestBody Users user) {

        //获取参数的内容

        String userNickname = user.getUserNickname();

        String userPassword = user.getUserPassword();

        String userIdentity = user.getUserIdentity();

        Timestamp userLoginTime = user.getUserLastLoginTime();

        String remarks = user.getRemarks();

        long userStatus = user.getUserStatus();

        long userId = user.getUserId();

        //根据ID查出原本的数据

        Users u = usersService.readUser(user.getUserId());

        if (u == null) {

            return ResponseEntity.error("用户不存在");

        }

        // 更新用户信息(此处代码保持不变)

        //将需要修改的内容替换进去

        if (userNickname != null) {

            u.setUserNickname(userNickname);

        }

        if (userPassword != null) {

            //密码要加密后存储

            //对密码进行加密

            String encryptedPassword = null;

            try {

                encryptedPassword = passwordEncryptor.hashPassword(userPassword);

            } catch (NoSuchAlgorithmException e) {

                // 处理加密异常,这里可以记录日志并返回错误信息

                return ResponseEntity.error("密码加密失败");

            }

            // 设置加密后的密码到用户对象

            u.setUserPassword(encryptedPassword);

        }

        if (userIdentity != null) {

            u.setUserIdentity(userIdentity);

        }

        if (userLoginTime != null) {

            u.setUserLastLoginTime(userLoginTime);

        }

        if (remarks != null) {

            u.setRemarks(remarks);

        }

        if (userStatus != 0) {

            u.setUserStatus(userStatus);

        }

        Users updatedUser = usersService.updateUser(u);

        return ResponseEntity.success(updatedUser);

    }

登录试试看

故意输错密码:

故意输错账号

2024年1月Java项目开发指南9:密码加密存储的更多相关文章

  1. 转:Java项目开发规范参考

    Java项目开发规范参考 - KevinLee的博客 - 博客频道 - CSDN.NEThttp://blog.csdn.net/u011383131/article/details/51227860 ...

  2. IDEA 学习笔记之 Java项目开发深入学习(2)

    Java项目开发深入学习(2): 查找变量被用到的地方 编译当前文件 增加变量watch 注意:我使用了keymap (eclipse模板),所以很多快捷键和eclipse一样. F5单步调试进入函数 ...

  3. IDEA 学习笔记之 Java项目开发深入学习(1)

    Java项目开发深入学习(1): 定义编译输出路径: 继承以上工程配置 重新定义新的项目编译路径 添加source目录:点击添加,再点击移除: 编译项目: 常用快捷键总结: Ctrl+Space 代码 ...

  4. IDEA 学习笔记之 Java项目开发

    Java项目开发: 新建模块: 添加JDK: 导入本地Jars: 从远程Maven仓库下载: 创建package: 新建类/接口/枚举等: 字体太小,改字体: Duplicate Scheme 修改编 ...

  5. 《Maven在Java项目开发中的应用》论文笔记(十七)

    标题:Maven在Java项目开发中的应用 一.基本信息 时间:2019 来源:山西农业大学 关键词:Maven:Java Web:仓库:开发人员:极限编程; 二.研究内容 1.Maven 基本原理概 ...

  6. 收藏基本Java项目开发的书

    一.Java项目开发全程实录 第1章 进销存管理系统(Swing+SQL Server2000实现) 第2章企业内部通信系统(Swing+JavaDB实现) 第3章 企业人事管理系统( Swing+H ...

  7. Java项目开发中实现分页的三种方式一篇包会

    前言   Java项目开发中经常要用到分页功能,现在普遍使用SpringBoot进行快速开发,而数据层主要整合SpringDataJPA和MyBatis两种框架,这两种框架都提供了相应的分页工具,使用 ...

  8. Java项目开发

    项目开发整体构建: MVC+DAO设计模式 用面向对象的方式理解和使用数据库,一个数据库对应一个java项目 数据库--项目 表--类 字段--属性 表中的一条数据--类的一个对象 M:模型层 Jav ...

  9. DRF项目之实现用户密码加密保存

    在DRF项目的开发中,我们通过直接使用序列化器保存的用户信息时,用户的密码是被明文保存到数据库中. 代码实现: def create(self, validated_data): '''重写creat ...

  10. 《JAVA 从入门到精通》 - 正式走向JAVA项目开发的路

    以前很多时候会开玩笑,说什么,三天学会PHP,七天精通Nodejs,xx天学会xx ... 一般来说,这样子说的多半都带有一点讽刺的意味,我也基本上从不相信什么快速入门.我以前在学校的时候自觉过很多门 ...

随机推荐

  1. Flutter 实现骨架屏

    什么是骨架屏 在客户端开发中,我们总是需要等待拿到服务端的响应后,再将内容呈现到页面上,那么在用户发起请求到客户端成功拿到响应的这段时间内,应该在屏幕上呈现点什么好呢? 答案是:骨架屏 那么什么是骨架 ...

  2. HarmonyOS NEXT 底部选项卡功能

    在HarmonyOS NEXT中使用ArkTS实现一个完整的底部选项卡功能,可以通过以下几个步骤来完成: 创建Tabs组件:使用Tabs组件来创建底部导航栏,并通过barPosition属性设置其位置 ...

  3. 推荐一款轻量级 eBPF 前端工具 ply

    1 Overview ply 是 eBPF 的 front-end 前端工具之一,专为 embedded Linux systems 开发,采用 C 语言编写,只需 libc 和内核支持 BPF 就可 ...

  4. CF102411 ICPC 2019-2020 North-Western Russia Regional Contest题解

    A Accurate Movement 签到 M Managing Difficulties 签到 B Bad Treap 已知\(y=\sin(x)\),要求给出数组\(a[n]\),满足\(\fo ...

  5. 收到offer之后的回复术语

    不去: 您好,非常荣幸能收到贵岗的offer, 感谢您对我能力的认可,但贵公司岗位要求/薪资结构和我预想还有一定的差距,希望今后有共事的机会,祝您工作顺利!   去: 您好,非常荣幸能够收到贵公司的o ...

  6. python中利用变量解压列表、元组、字符串、字典、文件对象、迭代器和生成器等序列

    一.如果知道序列中元素的个数,可以直接进行变量赋值. coords = (102, 40) lon, lat = coords print(lon) print(lat) text = "n ...

  7. 3DRealCar: An In-the-wild RGB-D Car Dataset with 360-degree Views

    3DRealCar:An In-the-wild RGB-D Car Dataset with 360-degree Views Du, Xiaobiao and Sun, Haiyang and W ...

  8. 一文彻底弄清Redis的布隆过滤器

    布隆过滤器(Bloom Filter)是一种空间效率极高的数据结构,用于快速判断一个元素是否在集合中.它能够节省大量内存,但它有一个特点:可能存在误判,即可能会认为某个元素存在于集合中,但实际上不存在 ...

  9. Plain-Det:同时支持多数据集训练的新目标检测 | ECCV'24

    近期在大规模基础模型上的进展引发了对训练高效大型视觉模型的广泛关注.一个普遍的共识是必须聚合大量高质量的带注释数据.然而,鉴于计算机视觉中密集任务(如目标检测和分割)标注的固有挑战,实际的策略是结合并 ...

  10. Vulhub 安装运行

    前言 vulhub是利用docker技术做的一个漏洞复现平台,可以一键搭建对应的配置.在下载好对应的代码包后,不需要安装,只需要解压并利用3条命令,就可以简单的创建关闭对应漏洞环境.最好是购买一台阿里 ...