Java實(shí)現(xiàn)加鹽算法的兩種方法

更新時(shí)間：2024年02月12日 10:41:05 作者：fiance111

數(shù)據(jù)安全是一個(gè)重要的問題,本文主要介紹了Java實(shí)現(xiàn)加鹽算法的兩種方法,具有一定的參考價(jià)值,感興趣的可以了解一下

手寫一個(gè)加鹽算法

首先要理解“鹽”的概念，他就是一個(gè)隨機(jī)值，沒有任何規(guī)律

這里約定密碼的最終格式都是鹽值(32位)$加密后的密碼(32位）

加密的實(shí)現(xiàn)思路：

每次調(diào)用的時(shí)候都會(huì)隨機(jī)生成一個(gè)鹽值（隨機(jī)、唯一） + 用戶輸入的密碼（使用MD5） = 加密的密碼，鹽值(32位) + $ + 加密密碼(32位) = 最終的密碼格式

解密（驗(yàn)證密碼）的實(shí)現(xiàn)思路：

解密的時(shí)候需要兩個(gè)密碼：用戶輸入的明文待驗(yàn)證密碼、存儲(chǔ)在數(shù)據(jù)庫中的最終密碼（自定義格式：鹽值(32位)$加密后的密碼(32位)）

解密（驗(yàn)證密碼）的核心在于得到鹽值

解密的時(shí)候，首先從最終數(shù)據(jù)庫中的密碼中來得到鹽值，之后將用戶輸入的明文待驗(yàn)證密碼加上這個(gè)鹽值，生成加密后的密碼，然后使用鹽值 + 分隔符 + 加密后的密碼生成最終密碼格式，再與數(shù)據(jù)庫中最終的密碼格式進(jìn)行比對(duì)

要是一樣的，那就說明這個(gè)用戶輸入的密碼是沒有問題的，要是不對(duì)就說明密碼輸入錯(cuò)誤

最重要的是先理解加鹽解密的實(shí)現(xiàn)思路，這是最核心的?。?！

就算使用加鹽算法來對(duì)密碼加密，也不能保證就一定是安全的，可以針對(duì)一個(gè)鹽值來生成一個(gè)彩虹表，暴力破解也是可以的，但是這只是破解了一個(gè)賬號(hào)密碼，所以破解的成本是極大的，當(dāng)破解的成本遠(yuǎn)大于收益的時(shí)候，可以看做是安全的

解密（驗(yàn)證密碼）具體的實(shí)現(xiàn)步驟：

從數(shù)據(jù)庫中真正的最終密碼中得到鹽值
將用戶輸入的明文密碼+鹽值 = 加密后的密碼（使用MD5）
使用鹽值 + 分隔符 + 加密后的密碼生成最終密碼（最終密碼的格式）
對(duì)比生成的最終密碼和數(shù)據(jù)庫中的最終密碼是否相等

要是相等就說明用戶名和密碼都是對(duì)的，要是不對(duì)，就說明密碼輸入錯(cuò)誤

為什么就是能驗(yàn)證成功呢？

最終比對(duì)的就是三個(gè)部分：鹽值我就是從數(shù)據(jù)庫中的最終密碼中拿的前32位，肯定是一樣的，$都是一樣的，加密的部分都是MD5加密的，所以也一定是一樣的，所以能登錄成功

具體的代碼：

在common包下面建一個(gè)PasswordUtils類

package com.example.demo.common;

import org.springframework.util.DigestUtils;
import org.springframework.util.StringUtils;

import java.util.UUID;

public class PasswordUtils{

    /**
     * 1.加鹽并生成最終的密碼
     * @param password 明文的密碼
     * @return 最終生成的密碼
     */
    public static String encrypt(String password){
        //a.產(chǎn)生鹽值
        //UUID.randomUUID()會(huì)生成32位數(shù)字+4位-，是隨機(jī)的唯一的，將4位-去掉就得到32位數(shù)字的鹽值
        String salt = UUID.randomUUID().toString().replace("-","");
        //生成加鹽后的密碼(需要使用MD5)
        String saltPassword = DigestUtils.md5DigestAsHex((salt + password).getBytes());
        //生成最終的密碼格式
        String finalPassword = salt + "$" + saltPassword;
        return finalPassword;
    }

    /**
     * 2.加鹽并生成最終密碼格式（方法一的重載），區(qū)別于上面的方法：這個(gè)方法是用來解密的，給定了鹽值，生成一個(gè)最終密碼，
     后面要和正確的最終密碼進(jìn)行比對(duì)
     * @param password 需要驗(yàn)證的明文密碼
     * @param salt
     * @return
     */
    public static  String encrypt(String password, String salt){
        //1.生成一個(gè)加密后的密碼
        String saltPassword = DigestUtils.md5DigestAsHex((salt + password).getBytes());
        //2.生成最終的密碼（待驗(yàn)證）
        String finalPassword = salt + "$" + saltPassword;
        return finalPassword;
    }

    /**
     * 3.驗(yàn)證密碼
     * @param inputPassword  登錄用戶輸入的明文密碼
     * @param finalPassword  數(shù)據(jù)庫中實(shí)際的最終密碼格式
     * @return
     */
    public static boolean check(String inputPassword, String finalPassword){
        //首先判斷這兩個(gè)參數(shù)到底有沒有值,數(shù)據(jù)庫中的最終密碼是不是65位
        if(StringUtils.hasLength(inputPassword) && StringUtils.hasLength(finalPassword)
        && finalPassword.length() == 65){
            //a.首先從最終的密碼中得到鹽值
            //使用$將finalPassword劃分成兩個(gè)部分，前面的32位的部分就是鹽值
            //注意：這里的$是被認(rèn)為是一個(gè)通配符，所以要轉(zhuǎn)義一下
            String salt = finalPassword.split("\\$")[0];
            //b.使用之前加密的方法，生成最終的密碼格式（待驗(yàn)證）
            String checkPassword = encrypt(inputPassword,salt);
            if(checkPassword.equals(finalPassword)){
                return true;
            }
        }
        return false;
    }
}

在寫完了加鹽算法之后，就要修改一下博客的具體調(diào)用了

在userinfoController中的注冊(cè)接口：

@RequestMapping("/reg")
public AjaxResult reg(UserInfo userinfo) {
    //非空判斷
    //雖然前端已經(jīng)進(jìn)行了非空檢查，但是用戶可能會(huì)通過別的方式直接訪問url繞過前端的非空校驗(yàn)，所以作為后端，應(yīng)該要考慮到這一點(diǎn)
    //所以在后端也是要寫非空校驗(yàn)的
    if (userinfo == null || !StringUtils.hasLength(userinfo.getUsername()) ||
        !StringUtils.hasLength(userinfo.getPassword())){
            return AjaxResult.fail(-1,"非法參數(shù)");
    }
    //不是空的話，就直接返回成功的響應(yīng)就行了
    //這里響應(yīng)的是1，所以前端在進(jìn)行成功判斷的時(shí)候才有result.data == 1這一條

    //注冊(cè)成功之后要將密碼加鹽，寫進(jìn)數(shù)據(jù)庫中
    userinfo.setPassword(PasswordUtils.encrypt(userinfo.getPassword()));
    return AjaxResult.success(userService.reg(userinfo));
}

在userinfoController中的登錄接口：

@RequestMapping("/login")
public AjaxResult login(HttpServletRequest request, String username, String password) {
    //1.進(jìn)行非空判斷
    if (!StringUtils.hasLength(username) || !StringUtils.hasLength(password)){
        //說明沒有傳入任何參數(shù)
        return AjaxResult.fail(-1,"非法請(qǐng)求");
    }
    //2.查詢數(shù)據(jù)庫
    UserInfo userinfo = userService.getUserByName(username);
    if (userinfo != null && userinfo.getId() > 0) {
        //能獲得id就說明用戶名一定是在數(shù)據(jù)庫中，說明是有效用戶

        //使用自己寫的加鹽算法來判斷登錄
        //password是輸入的待驗(yàn)證的明文密碼，userinfo.getPassword()得到的是數(shù)據(jù)庫中正確的最終密碼格式
        if (PasswordUtils.check(password,userinfo.getPassword())){
            //將用戶的session存儲(chǔ)下來
            //參數(shù)為true：要是沒有session就創(chuàng)建一個(gè)會(huì)話
            HttpSession session = request.getSession(true);
            //設(shè)置session的key和value
            session.setAttribute(ApplicationVariable.USER_SESSION_KEY,userinfo);
            //要是密碼正確，在將數(shù)據(jù)返回之前，考慮到隱私，隱藏密碼
            userinfo.setPassword("");
            return AjaxResult.success(userinfo);
        }
    }
    return AjaxResult.fail(0,null);
}

以上就是自己手寫的一個(gè)加鹽算法

實(shí)際上，springboot官方也提供了一種更加齊全的安全框架： spring security

spring security

要想使用spring security首先要先引入依賴（可以通過插件Edit Starters來引入依賴）

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

在spring security框架中在項(xiàng)目啟動(dòng)的時(shí)候，會(huì)自動(dòng)注入登錄的頁面，在一般的項(xiàng)目中都是有自己的登錄頁面的，所以不需要自動(dòng)注入登錄，所以要將其去掉

在項(xiàng)目的啟動(dòng)類前面的@SpringBootApplication注解加上排除SecurityAutoConfiguration.class這個(gè)類對(duì)象就行了

package com.example.demo;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration;

//關(guān)閉spring security的驗(yàn)證
@SpringBootApplication(exclude = SecurityAutoConfiguration.class)
public class Demo3Application {
    public static void main(String[] args) {
        SpringApplication.run(Demo3Application.class, args);
    }
}

在單元測(cè)試中使用spring security中的密碼加鹽算法

package com.example.demo;

import org.junit.jupiter.api.Test;
import org.springframework.boot.test.context.SpringBootTest;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@SpringBootTest
class Demo3ApplicationTests {

    @Test
    void contextLoads() {
        BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
        String str = "111";
        //進(jìn)行加密
        String finalPassword = bCryptPasswordEncoder.encode(str);
        System.out.println(finalPassword);
        //驗(yàn)證密碼
        String inputPassword1 = "123";
        String inputPassword2 = "111";
        //inputPassword是用戶輸入的密碼（待驗(yàn)證），finalPassword是存儲(chǔ)在數(shù)據(jù)庫中的最終密碼格式
        System.out.println(bCryptPasswordEncoder.matches(inputPassword1,finalPassword));
        System.out.println(bCryptPasswordEncoder.matches(inputPassword2,finalPassword));
    }

}