【SpringBoot】MD5加盐算法的详解
目录
一、什么是加盐算法
二、如何实现加盐算法
2.1 加盐算法代码实现
2.2 注册页面中进行密码加盐
2.3 登录页面进行加盐的解密
2.4 注册和登录
一、什么是加盐算法
加盐算法是一种用于增强密码安全性的技术。这种技术通过在密码存储过程中添加一个随机生成的盐值(salt),来增加密码被破解的难度。举个例子:
在日常生活中,做菜是生活中的基本操作。炒青菜餐桌中必备的一道菜,不同的人炒青菜放盐的程度是不同的,换句话来说不同的人炒同一种菜放盐的多与少是一种随机的操作。因此,在注册账号时,不同用户在注册时难免会使用相同的密码。加盐算法会根据不同的用户生成一串随机的字符串与用户所输入的密码进行结合生成一个最终的结果值,而这个最终值得到的就是加密后的密码。
具体来说,加盐加密的过程如下:
- 生成盐值:后端在存储一个密码时,首先会随机生成一个盐值。这个盐值是一个随机字符串,用于增加密码的复杂性。
- 结合盐值和密码:将生成的盐值和用户输入的密码进行有规则的结合,通常是将盐值附加在密码的前面或后面,或者通过其他方式进行组合。
- 加密处理:将结合后的数据使用加密算法进行加密。常见的加密算法包括MD5、SHA-256等。在Spring Security中,还可以使用更强大的加密方式,如BCrypt。本期讲解使用MD5。
- 存储加密后的数据和盐值:将加密后的数据和盐值按照一定规则组合起来,并存储在数据库中。通常,盐值会被保存在与加密密码相同的记录中,以便在验证用户密码时使用。
二、如何实现加盐算法
2.1 加盐算法代码实现
首先,我们要了解到:
生成一个随机盐值可使用 UUID ,UUID 是一个128比特的数值,通常由 32 个 16 进制数字组成,并以连字号分为五段,例如:550e8400-e29b-41d4-a716-446655440000,因此可使用 replace 方法去除 - 。
生成一个 MD5 散列值,可使用 DigestUtils类 中的 .md5DigestAsHex 方法将生成的随机盐值 salt 和 password 结合,并通过 .getBytes 将结合后的字符串转换成一个字节数组即 .getBytes(StandardCharsets.UTF_8) 。
此外需要注意的是:
- MD5(Message-Digest Algorithm 5)是一种广泛使用的散列函数,可以产生一个128位(16字节)的散列值,通常表示为32位的十六进制数。
- md5DigestAsHex 是 DigestUtils 类中的一个静态方法。这个方法接受一个字节数组作为输入,计算其MD5散列值,并将结果转换为十六进制字符串。
- StandardCharsets.UTF_8 是一个表示UTF-8字符集的常量,它指定了字符串到字节数组的编码方式。
代码实现:
/**
* 加密工具类
*/
public class PasswordUtils {
public static String encrypt(String password){
// 1.盐值
String salt = UUID.randomUUID().toString().replace("-","");
// 2.将盐值+密码进行 md5 得到最终密码
String finalPassword = DigestUtils.md5DigestAsHex((salt+password).getBytes(StandardCharsets.UTF_8));
// 3.将盐值和最终密码返回
return salt+"$"+finalPassword;
}
/**
* 加盐验证
* @param password 待验证的密码
* @param dbPassword 数据库中的密码:盐值$最终密码
* @return
*/
public static boolean decrypt(String password,String dbPassword) {
if(!StringUtils.hasLength(password) || !StringUtils.hasLength(dbPassword)
|| dbPassword.length() != 65) {
return false;
}
// 1.得到盐值
String[] dbPasswordArray = dbPassword.split("\\$") ;
if (dbPasswordArray.length != 2) {
return false;
}
//盐值
String salt = dbPasswordArray[0];
//最终正确密码
String dbFinalPassword = dbPasswordArray[1];
// 2.加密待验证的密码
String finalPassword = DigestUtils.md5DigestAsHex((salt+password).getBytes(StandardCharsets.UTF_8));
// 3.对比
if (finalPassword.equals(dbFinalPassword)) {
return true;
}
return false;
}
public static void main(String[] args) {
// 得到盐值和最终密码一共65位
System.out.println(encrypt("111"));
}
}在该类中生成一个 main 方法,测试最后生成的字符串符不符合预期,输出结果:
将上述的字符串,定义为一个字符串,验证是否加密成功。
public static void main(String[] args) {
/* // 得到盐值和最终密码一共65位
System.out.println(encrypt("111"));*/
String dbPassword = "0f0d62e88c6c41dc83163e2813147111$b7321a14e1e5f3360a0d0d59e2b3cd6e";
System.out.println("当密码为123时:"+decrypt("123",dbPassword));
System.out.println("当密码为111时:"+decrypt("111",dbPassword));
} 
2.2 注册页面中进行密码加盐
/**
* 注册
* @param userinfo
* @return
*/
@RequestMapping("/reg")
public ResultAjax reg(Userinfo userinfo) {
// 1.校验参数
if (userinfo == null || !StringUtils.hasLength(userinfo.getUsername()) ||
!StringUtils.hasLength(userinfo.getPassword())) {
return ResultAjax.fail(-1,"异常");
}
// 实现密码加盐
userinfo.setPassword(PasswordUtils.encrypt(userinfo.getPassword()));
// 2.请求接口 service 进行添加接口
int ret = userService.reg(userinfo);
// 3.将结果返回给前端
return ResultAjax.success(ret);
}2.3 登录页面进行加盐的解密
/**
* 登录
* @param userinfoVO
* @return
*/
@RequestMapping("/login")
public ResultAjax login(UserinfoVO userinfoVO, HttpServletRequest request) {
// 1.参数校验
if (userinfoVO == null || !StringUtils.hasLength(userinfoVO.getUsername())
|| !StringUtils.hasLength(userinfoVO.getPassword())) {
// 非法登录
return ResultAjax.fail(-1,"非法登录!");
}
// 2.根据用户名查询对象,判断用户名是否错误
Userinfo userinfo = userService.getUserByName(userinfoVO.getUsername());
if (userinfo == null && userinfo.getId() == 0) {
return ResultAjax.fail(-2,"账号或密码错误!");
}
// 3.使用对象中的密码和输入的密码进行对比,判断密码是否错误
// 加盐解密
if (!PasswordUtils.decrypt(userinfoVO.getPassword(),userinfo.getPassword())) {
return ResultAjax.fail(-2,"账号或密码错误!");
}
// 4.成功后将对象存储到 session 中
HttpSession session = request.getSession();
session.setAttribute(ApplicationVariable.SESSION_USERINFO_KEY,userinfo);
// 5.结果返回给用户
return ResultAjax.success(1);
}此时查询数据库中,只有一条数据,下面再注册一个用户,观察是否生成密码。
2.4 注册和登录
注册页面
输入用户名 lisi 和密码 123 后,提示注册成功。
在数据中查询对应的数据,验证密码 123 被加秘为一大串字符串。
再来到登录页面,输入用户名 lisi 和密码 123,提示登陆成功。
跳转到个人页面。
注册页面和登录页面的讲解和源码在前两篇博客中已有详细的讲解,感兴趣可以去看看。
本篇博客到这里就结束了,感谢各位的观看。