什麼是MD5加密?
漫畫:什麼是MD5算法?
https://zhuanlan.zhihu.com/p/55841123
轉載自:程序員小灰
爲什麼做MD5?
如果不做任何處理:那麼明文密碼就會在網絡上進行傳輸,假如說惡意用戶取得這個數據包,那麼就可以得到這個密碼,所有不安全。
爲什麼做兩次MD5?
- 用戶端:PASS=MD5(明文+固定Salt)
- 服務端:PASS=MD5(用戶輸入+隨機Salt)
第一次 (在前端加密,客戶端):密碼加密是(明文密碼+固定鹽值)生成md5用於傳輸,目的由於http是明文傳輸,當輸入密碼若直接發送服務端驗證,此時被截取將直接獲取到明文密碼,獲取用戶信息。加鹽值是爲了混淆密碼,原則就是明文密碼不能在網絡上傳輸。
第二次:服務端接收到已經計算過依次MD5的密碼後,我們並不是直接存至數據庫裏面,而是生成一個隨機的salt,跟用戶輸入的密碼一起拼裝,再做一次MD5,然後再把最終密碼存在數據庫裏面。
第二次的目的:
防止數據庫被入侵,被人通過彩虹表反查出密碼。所以服務端接受到後,也不是直接寫入到數據庫,而是生成一個隨機鹽(salt),再進行一次MD5後存入數據庫。
在pom文件裏面引入兩個MD5的依賴
<dependency>
<groupId>commons-codec</groupId>
<artifactId>commons-codec</artifactId>
<version>1.9</version>
</dependency>
<dependency>
<groupId>org.apache.commons</groupId>
<artifactId>commons-lang3</artifactId>
<version>3.6</version>
</dependency>
編寫MD5Util工具類用於生成MD5密碼
public class MD5Util {
public static String md5(String src) {
return DigestUtils.md5Hex(src);
}
//客戶端固定的salt,跟用戶的密碼做一個拼裝
private static final String salt="1a2b3c4d";
public static String inputPassToFormPass(String inputPass) {
String str=""+salt.charAt(0)+salt.charAt(2)+inputPass+salt.charAt(5)+salt.charAt(4);
System.out.println(md5(str));
return md5(str); //char類型計算會自動轉換爲int類型
}
//二次MD5
public static String formPassToDBPass(String formPass,String salt) {//隨機的salt
String str=""+salt.charAt(0)+salt.charAt(2)+formPass+salt.charAt(5)+salt.charAt(4);
return md5(str);
}
//數據庫md5,使用數據庫隨機salt
public static String inputPassToDbPass(String input,String saltDB) {
String formPass=inputPassToFormPass(input);
System.out.println(formPass);
String dbPass=formPassToDBPass(formPass,saltDB);
return dbPass;
}
public static void main(String[] args) {
String pass = "123456";
String salt = "1a2b3c4d";
System.out.println(inputPassToDBPass(pass,salt));
}
}