Java雙重MD5加密怎麼實現安全登入
一:問題引入
對儲存在資料庫中的密碼進行解密操作:
可以看到成功將我的密碼解密出來,這讓我很吃驚,因為我們都知道MD5算法是不可逆的,因為它是其是一種散列函數,使用的是hash算法,在計算過程中原文的部分信息是丟失了的。那為什麼網站中可以將我的密碼解密出來呢?
經過一番查找後發現,原來線上解密工具的解密原理很簡單,其原理是收集使用者常用的簡單密碼形成了一個密碼字典,並將字典中的密碼用MD5加密後儲存起來,在所謂的「解密「的時候,就將真正用戶密碼加密都的密文與已儲存的密碼相比較,如該密文存在於字典當中,即可以「解密」。因此,簡單的用MD5對使用者密碼加密還不安全,我們設定密碼時候也通常都會有複雜度偵測,像是密碼必須帶英文數字什麼的,就是為了安全性考量。
知道其解密原理之後,我們嘗試一下複雜點的密碼看看能不能「解密」出來,首先對密碼「qweasd666」進行加密:
加密之後我們選取32位元小寫的密文進行解密運算:
#解密失敗顯示其原理是透過收集常用的密文進行配對破解。既然「qweasd666」密碼無法被破解,那麼它應該是安全的,你們都可以使用這個密碼(doge)。
言歸正傳,說到這個網站成功將我精心設定的密碼給破解了,這讓我很沒有安全感,而且我感覺我很沒有面子,我一定要將我的登入安全等級進行提升。
除了上面提到的解密操作之外,還有一個很大的問題就是在前端將資料傳輸過來時候http採用的是明文傳輸,如果傳輸資料包被截取,那麼就算你後端的加密演算法有多複雜,你的密碼也會被別人知道。
二:解決方案
2.1:第一次加密
找到問題所在之後,我們就可以對症下藥了,首先我覺得要解決的是http明文傳輸問題,因為這個風險最大,普通抓包就能抓取密碼,這不是很恐怖的一件事嗎。既然明文傳輸有安全問題,我們可以透過加密來確保傳輸安全性
我仍然採用MD5加密方案,但在對密碼加密前,增加了一個固定的salt值。 salt?是加鹽嗎,其實差不多,不如說是加點「佐料」。其基本想法是這樣的:當用戶首次提供密碼時(通常是註冊時),由程式往這個密碼裡撒一些“佐料”,為了減輕開發壓力,這個佐料對於每一個用戶都是相同的,然後再散列。這樣就能防止傳輸過程中出現明文密碼外洩。
2.2:第二次加密
注意上面我提到的是防止明文密碼洩漏,但這並不代表密文不會洩漏,假如駭客截取你透過http傳輸的經過加密後的密碼,或是資料庫發生洩漏導致加密後的密碼被駭客盜取,駭客透過解析前端js檔案來獲得前端固定鹽值,那麼駭客可能可以透過彩虹表進行反向查詢得到原始密碼。這時候就二次加密的重要性就出來了,二次加密實現原理為對前端傳過來經過加密之後的密碼再次和一個隨機Salt值結合後進行加密(注意這次是隨機的),鹽值會在用戶登陸的時候隨機生成,並存在資料庫中。
這時候可能你會跟我剛開始一樣也會有一個疑惑,那就是你把隨機鹽值保存到資料庫中了,那麼如果資料庫洩漏那你的隨機鹽值還有什麼作用呢?駭客拿到加密資料解密後移除鹽值不是就能得到密碼了嗎?是的,駭客有可能透過這樣的手段得到密碼,但是前提是他能解密出來,要知道的是MD5是無法直接破解的,只能透過窮舉法解密。就算駭客拿到了資料庫中的加密密碼,但是不知道後端的加密過程,他就無法進行解析,就算駭客同時知道加密過程,由於經過了二次加鹽二次加密,這時候的密文是很難很難被解析出來的,隨著加密資料的複雜度增加,破解成本是呈指數級增加的,在那麼大的成本面前相信沒有什麼駭客願意去嘗試。當然,salt也不一定要加在最前面或最後面,也可以插在中間,也可以分開插入,也可以倒序,程式設計時可以靈活調整,都可以使破解的難度呈指數型增長。
2.3:具體實作
2.3.1:使用者註冊
#前端對使用者輸入的密碼進行md5加密(固定的salt)
將加密後的密碼傳遞到後端
#後端隨機產生一個salt
使用產生salt將前端傳過來的密碼加密,然後將加密後密碼和salt一起儲存到db
2.3.2:使用者登入
- ##前端對使用者輸入的密碼進行md5加密(固定的salt)
- 將加密後的密碼傳遞到後端
- 後端使用使用者帳號取出使用者資訊
- 後端將加密後的密碼在進行md5加密(取出鹽),然後與資料庫中儲存的密碼進行比較
- 匹配則登入成功,否則登入失敗
const params = {
...this.ruleForm,
sex: this.ruleForm.sex === '女' ? '0' : '1',
//设置密码加密(加上固定salt值)
password: md5(this.ruleForm.password + this.salt)
}
addEmployee(params).then(res => {
if (res.code === 1) {
this.$message.success('员工添加成功!')
if (!st) {
this.goBack()
} else {
this.ruleForm = {
username: '',
'name': '',
'phone': '',
password: '',
// 'rePassword': '',/
'sex': '男',
'idNumber': ''
}
}
} else {
this.$message.error(res.msg || '操作失败')
}
}/**
* 添加员工
*/
@PostMapping
public R<String> save(@RequestBody Employee employee){
//生成随机salt值
String salt = RandomStringUtils.randomAlphanumeric(5);
//设置随机盐值
employee.setSalt(salt);
//设置密码二次加密
employee.setPassword(DigestUtils.md5DigestAsHex((salt + employee.getPassword()).getBytes()));
boolean save = employeeService.save(employee);
if(save){
return R.success("添加成功!");
}
return R.error("添加失败!");
}const params = {
...this.loginForm,
//登录密码加上固定盐值后发送
password: md5(this.loginForm.password + this.salt),
}
let res = await loginApi(params)
if (String(res.code) === '1') {
localStorage.setItem('userInfo', JSON.stringify(res.data))
window.location.href = '/backend/index.html'
} else {
this.$message.error(res.msg)
this.loading = false
}/**
* 员工登录
*/
@PostMapping("/login")
public R<Employee> login(HttpServletRequest request, @RequestBody Employee employee){
//1.获取传输过来的加密后的密码值
String encryPassword = employee.getPassword();
//2.从数据库中获取用户信息
LambdaQueryWrapper<Employee> lqw = new LambdaQueryWrapper<>();
lqw.eq(Employee::getUsername,employee.getUsername());
Employee emp = employeeService.getOne(lqw);
//3.如果没有查询到则返回登陆失败查询结果
if(emp == null){
return R.error("没有查询到该用户信息!");
}
//4.获取注册时保存的随机盐值
String salt = emp.getSalt();
//5.将页面提交的密码password进行md5二次加密
String password = DigestUtils.md5DigestAsHex((salt + encryPassword).getBytes());
//6.密码比对,如果不一致则返回登陆失败结果
if(!emp.getPassword().equals(password)){
return R.error("密码错误!");
}
//7.查看员工状态是否可用
if(emp.getStatus() == 0){
return R.error("该员工已被禁用!");
}
//8.登录成功,将员工id存入Session对象并返回登录成功结果
request.getSession().setAttribute("employee",emp.getId());
return R.success(emp);
}以上是Java雙重MD5加密怎麼實現安全登入的詳細內容。更多資訊請關注PHP中文網其他相關文章!
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!
熱門文章
熱工具
記事本++7.3.1
好用且免費的程式碼編輯器
SublimeText3漢化版
中文版,非常好用
禪工作室 13.0.1
強大的PHP整合開發環境
Dreamweaver CS6
視覺化網頁開發工具
SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)
突破或從Java 8流返回?
Feb 07, 2025 pm 12:09 PM
Java 8引入了Stream API,提供了一種強大且表達力豐富的處理數據集合的方式。然而,使用Stream時,一個常見問題是:如何從forEach操作中中斷或返回? 傳統循環允許提前中斷或返回,但Stream的forEach方法並不直接支持這種方式。本文將解釋原因,並探討在Stream處理系統中實現提前終止的替代方法。 延伸閱讀: Java Stream API改進 理解Stream forEach forEach方法是一個終端操作,它對Stream中的每個元素執行一個操作。它的設計意圖是處
PHP:網絡開發的關鍵語言
Apr 13, 2025 am 12:08 AM
PHP是一種廣泛應用於服務器端的腳本語言,特別適合web開發。 1.PHP可以嵌入HTML,處理HTTP請求和響應,支持多種數據庫。 2.PHP用於生成動態網頁內容,處理表單數據,訪問數據庫等,具有強大的社區支持和開源資源。 3.PHP是解釋型語言,執行過程包括詞法分析、語法分析、編譯和執行。 4.PHP可以與MySQL結合用於用戶註冊系統等高級應用。 5.調試PHP時,可使用error_reporting()和var_dump()等函數。 6.優化PHP代碼可通過緩存機制、優化數據庫查詢和使用內置函數。 7
PHP與Python:了解差異
Apr 11, 2025 am 12:15 AM
PHP和Python各有優勢,選擇應基於項目需求。 1.PHP適合web開發,語法簡單,執行效率高。 2.Python適用於數據科學和機器學習,語法簡潔,庫豐富。
PHP與其他語言:比較
Apr 13, 2025 am 12:19 AM
PHP適合web開發,特別是在快速開發和處理動態內容方面表現出色,但不擅長數據科學和企業級應用。與Python相比,PHP在web開發中更具優勢,但在數據科學領域不如Python;與Java相比,PHP在企業級應用中表現較差,但在web開發中更靈活;與JavaScript相比,PHP在後端開發中更簡潔,但在前端開發中不如JavaScript。
PHP與Python:核心功能
Apr 13, 2025 am 12:16 AM
PHP和Python各有優勢,適合不同場景。 1.PHP適用於web開發,提供內置web服務器和豐富函數庫。 2.Python適合數據科學和機器學習,語法簡潔且有強大標準庫。選擇時應根據項目需求決定。
PHP的影響:網絡開發及以後
Apr 18, 2025 am 12:10 AM
PHPhassignificantlyimpactedwebdevelopmentandextendsbeyondit.1)ItpowersmajorplatformslikeWordPressandexcelsindatabaseinteractions.2)PHP'sadaptabilityallowsittoscaleforlargeapplicationsusingframeworkslikeLaravel.3)Beyondweb,PHPisusedincommand-linescrip
PHP:許多網站的基礎
Apr 13, 2025 am 12:07 AM
PHP成為許多網站首選技術棧的原因包括其易用性、強大社區支持和廣泛應用。 1)易於學習和使用,適合初學者。 2)擁有龐大的開發者社區,資源豐富。 3)廣泛應用於WordPress、Drupal等平台。 4)與Web服務器緊密集成,簡化開發部署。
PHP與Python:用例和應用程序
Apr 17, 2025 am 12:23 AM
PHP適用於Web開發和內容管理系統,Python適合數據科學、機器學習和自動化腳本。 1.PHP在構建快速、可擴展的網站和應用程序方面表現出色,常用於WordPress等CMS。 2.Python在數據科學和機器學習領域表現卓越,擁有豐富的庫如NumPy和TensorFlow。
