快捷導(dǎo)航

SpringBoot實(shí)現(xiàn)MD5加鹽算法的示例代碼

更新時(shí)間：2025年03月30日 15:46:16 作者：一只愛打拳的程序猿

加鹽算法是一種用于增強(qiáng)密碼安全性的技術(shù),本文主要介紹了SpringBoot實(shí)現(xiàn)MD5加鹽算法的示例代碼,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧

一、什么是加鹽算法

加鹽算法是一種用于增強(qiáng)密碼安全性的技術(shù)。這種技術(shù)通過在密碼存儲過程中添加一個(gè)隨機(jī)生成的鹽值（salt），來增加密碼被破解的難度。舉個(gè)例子：

在日常生活中，做菜是生活中的基本操作。炒青菜餐桌中必備的一道菜，不同的人炒青菜放鹽的程度是不同的，換句話來說不同的人炒同一種菜放鹽的多與少是一種隨機(jī)的操作。因此，在注冊賬號時(shí)，不同用戶在注冊時(shí)難免會使用相同的密碼。加鹽算法會根據(jù)不同的用戶生成一串隨機(jī)的字符串與用戶所輸入的密碼進(jìn)行結(jié)合生成一個(gè)最終的結(jié)果值，而這個(gè)最終值得到的就是加密后的密碼。

具體來說，加鹽加密的過程如下：

生成鹽值：后端在存儲一個(gè)密碼時(shí)，首先會隨機(jī)生成一個(gè)鹽值。這個(gè)鹽值是一個(gè)隨機(jī)字符串，用于增加密碼的復(fù)雜性。

結(jié)合鹽值和密碼：將生成的鹽值和用戶輸入的密碼進(jìn)行有規(guī)則的結(jié)合，通常是將鹽值附加在密碼的前面或后面，或者通過其他方式進(jìn)行組合。

加密處理：將結(jié)合后的數(shù)據(jù)使用加密算法進(jìn)行加密。常見的加密算法包括MD5、SHA-256等。在Spring Security中，還可以使用更強(qiáng)大的加密方式，如BCrypt。本期講解使用MD5。

存儲加密后的數(shù)據(jù)和鹽值：將加密后的數(shù)據(jù)和鹽值按照一定規(guī)則組合起來，并存儲在數(shù)據(jù)庫中。通常，鹽值會被保存在與加密密碼相同的記錄中，以便在驗(yàn)證用戶密碼時(shí)使用。

二、如何實(shí)現(xiàn)加鹽算法

2.1 加鹽算法代碼實(shí)現(xiàn)

首先，我們要了解到：

生成一個(gè)隨機(jī)鹽值可使用 UUID ，UUID 是一個(gè)128比特的數(shù)值，通常由 32 個(gè) 16 進(jìn)制數(shù)字組成，并以連字號分為五段，例如：550e8400-e29b-41d4-a716-446655440000，因此可使用 replace 方法去除 - 。

生成一個(gè) MD5 散列值，可使用 DigestUtils類中的 .md5DigestAsHex 方法將生成的隨機(jī)鹽值 salt 和 password 結(jié)合，并通過 .getBytes 將結(jié)合后的字符串轉(zhuǎn)換成一個(gè)字節(jié)數(shù)組即 .getBytes(StandardCharsets.UTF_8) 。

此外需要注意的是：

MD5（Message-Digest Algorithm 5）是一種廣泛使用的散列函數(shù)，可以產(chǎn)生一個(gè)128位（16字節(jié)）的散列值，通常表示為32位的十六進(jìn)制數(shù)。
md5DigestAsHex 是 DigestUtils 類中的一個(gè)靜態(tài)方法。這個(gè)方法接受一個(gè)字節(jié)數(shù)組作為輸入，計(jì)算其MD5散列值，并將結(jié)果轉(zhuǎn)換為十六進(jìn)制字符串。
StandardCharsets.UTF_8 是一個(gè)表示UTF-8字符集的常量，它指定了字符串到字節(jié)數(shù)組的編碼方式。

代碼實(shí)現(xiàn)：

/**
 * 加密工具類
 */
public class PasswordUtils {
    public static String encrypt(String password){
        // 1.鹽值
        String salt = UUID.randomUUID().toString().replace("-","");
        // 2.將鹽值+密碼進(jìn)行 md5 得到最終密碼
        String finalPassword = DigestUtils.md5DigestAsHex((salt+password).getBytes(StandardCharsets.UTF_8));
        // 3.將鹽值和最終密碼返回
        return salt+"$"+finalPassword;
    }


    /**
     * 加鹽驗(yàn)證
     * @param password 待驗(yàn)證的密碼
     * @param dbPassword 數(shù)據(jù)庫中的密碼：鹽值$最終密碼
     * @return
     */
    public static boolean decrypt(String password,String dbPassword) {
        if(!StringUtils.hasLength(password) || !StringUtils.hasLength(dbPassword)
        || dbPassword.length() != 65) {
            return false;
        }
        // 1.得到鹽值
        String[] dbPasswordArray = dbPassword.split("\\$") ;
        if (dbPasswordArray.length != 2) {
            return false;
        }
        //鹽值
        String salt = dbPasswordArray[0];
        //最終正確密碼
        String dbFinalPassword = dbPasswordArray[1];
        // 2.加密待驗(yàn)證的密碼
        String finalPassword = DigestUtils.md5DigestAsHex((salt+password).getBytes(StandardCharsets.UTF_8));
        // 3.對比
        if (finalPassword.equals(dbFinalPassword)) {
            return true;
        }
        return false;
    }

    public static void main(String[] args) {
        // 得到鹽值和最終密碼一共65位
        System.out.println(encrypt("111"));
    }
}

在該類中生成一個(gè) main 方法，測試最后生成的字符串符不符合預(yù)期，輸出結(jié)果:

將上述的字符串，定義為一個(gè)字符串，驗(yàn)證是否加密成功。

    public static void main(String[] args) {
/*        // 得到鹽值和最終密碼一共65位
        System.out.println(encrypt("111"));*/
        String dbPassword = "0f0d62e88c6c41dc83163e2813147111$b7321a14e1e5f3360a0d0d59e2b3cd6e";
        System.out.println("當(dāng)密碼為123時(shí):"+decrypt("123",dbPassword));
        System.out.println("當(dāng)密碼為111時(shí):"+decrypt("111",dbPassword));
    }

2.2 注冊頁面中進(jìn)行密碼加鹽

    /**
     * 注冊
     * @param userinfo
     * @return
     */
    @RequestMapping("/reg")
    public ResultAjax reg(Userinfo userinfo) {
       // 1.校驗(yàn)參數(shù)
        if (userinfo == null || !StringUtils.hasLength(userinfo.getUsername()) ||
        !StringUtils.hasLength(userinfo.getPassword())) {
            return ResultAjax.fail(-1,"異常");
        }
        // 實(shí)現(xiàn)密碼加鹽
        userinfo.setPassword(PasswordUtils.encrypt(userinfo.getPassword()));
        // 2.請求接口 service 進(jìn)行添加接口
        int ret = userService.reg(userinfo);
        // 3.將結(jié)果返回給前端
        return ResultAjax.success(ret);
    }

2.3 登錄頁面進(jìn)行加鹽的解密

/**
     * 登錄
     * @param userinfoVO
     * @return
     */
    @RequestMapping("/login")
    public ResultAjax login(UserinfoVO userinfoVO, HttpServletRequest request) {
        // 1.參數(shù)校驗(yàn)
        if (userinfoVO == null || !StringUtils.hasLength(userinfoVO.getUsername())
                || !StringUtils.hasLength(userinfoVO.getPassword())) {
            // 非法登錄
            return ResultAjax.fail(-1,"非法登錄!");
        }
        // 2.根據(jù)用戶名查詢對象，判斷用戶名是否錯誤
        Userinfo userinfo = userService.getUserByName(userinfoVO.getUsername());
        if (userinfo == null && userinfo.getId() == 0) {
            return ResultAjax.fail(-2,"賬號或密碼錯誤!");
        }
        // 3.使用對象中的密碼和輸入的密碼進(jìn)行對比，判斷密碼是否錯誤
        // 加鹽解密
        if (!PasswordUtils.decrypt(userinfoVO.getPassword(),userinfo.getPassword())) {
            return ResultAjax.fail(-2,"賬號或密碼錯誤!");
        }
        // 4.成功后將對象存儲到 session 中
        HttpSession session = request.getSession();
        session.setAttribute(ApplicationVariable.SESSION_USERINFO_KEY,userinfo);
        // 5.結(jié)果返回給用戶
        return ResultAjax.success(1);
    }

此時(shí)查詢數(shù)據(jù)庫中，只有一條數(shù)據(jù)，下面再注冊一個(gè)用戶，觀察是否生成密碼。