• 【web安全】-- springboot实现两次MD5加密


    一、为什么要做两次MD5

    客户端MD5:HTTP在网络上是使用明文传输,用户输入的明文密码直接在网络上传输太危险。所以,在客户端需要进行一次MD5(明文+固定盐)。

    服务端:防止数据库被入侵,被人通过彩虹表反查出密码。所以服务端接受到后,也不是直接写入到数据库,而是生成一个随机盐,再进行一次MD5后存入数据库。

    二、具体步骤

    1、引入依赖

     <dependency>
          <groupId>commons-codec</groupId>
          <artifactId>commons-codec</artifactId>
     </dependency>
     <dependency>
          <groupId>org.apache.commons</groupId>
          <artifactId>commons-lang3</artifactId>
     </dependency>

    2、MD5Util工具类

    public class MD5Util {
        
        /**
         * 加密方法
         * @param src
         * @return
         */
        public static String md5(String src) {
            return DigestUtils.md5Hex(src);
        }
        
        //固定盐
        private static final String salt = "1a2b3c4d";
        
        /**
         * 将用户输入的明文密码与固定盐进行拼装后再进行MD5加密
         * @param inputPass
         * @return
         */
        public static String inputPassToFormPass(String inputPass) {
            String str = ""+salt.charAt(0)+salt.charAt(2) + inputPass +salt.charAt(5) + salt.charAt(4);
            System.out.println(str);
            return md5(str);
        }
        
        /**
         * 将form表单中的密码转换成数据库中存储的密码
         * @param formPass
         * @param salt 随机盐
         * @return
         */
        public static String formPassToDBPass(String formPass, String salt) {
            String str = ""+salt.charAt(0)+salt.charAt(2) + formPass +salt.charAt(5) + salt.charAt(4);
            return md5(str);
        }
        
        public static String inputPassToDbPass(String inputPass, String saltDB) {
            String formPass = inputPassToFormPass(inputPass);
            String dbPass = formPassToDBPass(formPass, saltDB);
            return dbPass;
        }
        
    }

    3、前台进行加密

    //获取密码
    var inputPass = $("#password").val();
    //获取固定盐
    var salt ="1a2b3c4d"; 
    //进行拼装
    var str = ""+salt.charAt(0)+salt.charAt(2) + inputPass +salt.charAt(5) + salt.charAt(4);
    //加密
    var password = md5(str);

    4、服务端

     //获取数据库密码
      String dbPass = user.getPassword();
      //获取数据库卡存储盐
      String saltDB = user.getSalt();
      //将前台加密后的密码转换成数据库存储的二次加密密码
      String calcPass = MD5Util.formPassToDBPass(formPass, saltDB);
      //判断是否相等
       if(!calcPass.equals(dbPass)) {
         //我配置了全局异常处理器,会捕捉这里的异常
         throw new GlobalException(CodeMsg.PASSWORD_ERROR);
        }
  • 相关阅读:
    浏览器内核中各个线程之间的关系
    Browser进程和浏览器内核(Renderer进程)的通信过程
    babel 的一些记录
    mac nvm install
    小程序云开发补充
    JavaScript 导学推荐
    网页切片
    初探响应式Web设计
    WEB ICON 的探讨
    [转载]CSS 创作指南(Beta)(css规范)
  • 原文地址:https://www.cnblogs.com/jsyllhb/p/10577481.html
Copyright © 2020-2023  润新知