用戶密碼兩次MD5加密:
原因:一次MD5加密,很容易被反編譯破解出來,通過前臺進行一次MD5加密和後臺一次MD5加密,可以有效保證數據的安全性
用戶註冊邏輯:
- 前臺獲取用戶輸入的密碼(inputPassword),通過固定的salt(鹽)例如:String salt=1234abc,通過一定順序進行組合例如:salt.charAt(1)+salt.charAt(3)+inputPassword+salt.charAt(5)+salt.charAt(6),然後通過前臺MD5插件,對組合密碼進行加密
- 後臺獲取前臺的密碼數據(已經加密過一次的fromPassword),後臺字母+數字隨機生成salt(鹽),通過一定順序進行組合(原理同前臺組合加密),然後把組合後的密碼通過MD5加密,同時保存經過兩次加密的MD5密碼和後臺隨機生成的salt(字母+數字)
用戶登錄驗證邏輯:
如果是用戶登錄驗證,前臺獲取用戶輸入的用戶名和密碼,通過前臺固定的salt(鹽),通過順序進行組合使用MD5加密,生成inputPassword和Username並傳遞給後臺,後臺獲取經過一次加密的inputPassword和userName,通過UserName查詢db中用戶數據(用戶名,密碼(dbPassword),salt(隨機生成的)),通過db中的salt(鹽)+前臺傳遞的inputPassword進行組合使用MD5進行二次加密,和數據庫中dbPassword進行equals比較,如果相同則登錄成功…
示例:
/**
* shiro 權限註解 value可以多值通過","分開,logical表示權限是並且和或的關係
*
* @return
*/
@RequiresPermissions(value = { "admin" }, logical = Logical.OR)
@RequestMapping("/add")
@ResponseBody
public String add(HttpServletRequest request) {
String userName = request.getParameter("userName");
String password = request.getParameter("password");
// 隨機生成鹽值 salt
String salt = getRandomString();
// 原生密碼混合salt
// password=salt.charAt(1)+salt.charAt(3)+password+salt.charAt(5)+salt.charAt(6);
// 調用封裝shiro的MD5加密方法(s1:密碼,s2:隨機鹽值,s3:加密次數)
String Md5Password = getPassword(password, salt, 2);
User user = new User();
user.setUserName(userName);
user.setPassword(Md5Password);
user.setPhone("15629048422");
user.setIdNumber("420116199308160074");
user.setCreateTime(new Date());
user.setSalt(salt);
user.setNickName("汪汪汪");
user.setState(0);
user.setGroupId(1);
user.setSuperMan("0");
user.setParentId(1);
userService.add(user);
return "新增方法";
}
/**
* 密碼加密方法
*
* @param password
* 密碼
* @param salt
* 鹽值
* @param hashTimes
* 加密次數
* @return
*/
public static String getPassword(String password, String salt, int hashTimes) {
// SimpleHash md5Hsh = new SimpleHash(password,salt,hashTimes);
Md5Hash md5Hash = new Md5Hash(password, salt, hashTimes);
return md5Hash.toString();
}
/**
* 鹽值字符串
*/
String range;
{
range = "0123456789abcdefghijklmnopqrstuvwxyz";
}
/**
* 獲取隨機鹽值
*
* @return
*/
public String getRandomString() {
Random random = new Random();
StringBuffer result = new StringBuffer();
// 要生成幾位,就把這裏的數字改成幾
for (int i = 0; i < 7; i++) {
result.append(range.charAt(random.nextInt(range.length())));
}
return result.toString();
}
示例中使用的demo是SpringBoot整合shiro的retryLimitCredentialsMatcher類進行MD5進行加密,也可以自己編寫加密邏輯