Java雙重MD5加密怎麼實現安全登入-java教程-PHP中文網

首頁

Java

java教程

Java雙重MD5加密怎麼實現安全登入

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

May 17, 2023 pm 05:31 PM

javamd5

一：問題引入

對儲存在資料庫中的密碼進行解密操作：

Java雙重MD5加密怎麼實現安全登入

可以看到成功將我的密碼解密出來，這讓我很吃驚，因為我們都知道MD5算法是不可逆的，因為它是其是一種散列函數，使用的是hash算法，在計算過程中原文的部分信息是丟失了的。那為什麼網站中可以將我的密碼解密出來呢？

經過一番查找後發現，原來線上解密工具的解密原理很簡單，其原理是收集使用者常用的簡單密碼形成了一個密碼字典，並將字典中的密碼用MD5加密後儲存起來，在所謂的「解密「的時候，就將真正用戶密碼加密都的密文與已儲存的密碼相比較，如該密文存在於字典當中，即可以「解密」。因此，簡單的用MD5對使用者密碼加密還不安全，我們設定密碼時候也通常都會有複雜度偵測，像是密碼必須帶英文數字什麼的，就是為了安全性考量。

知道其解密原理之後，我們嘗試一下複雜點的密碼看看能不能「解密」出來，首先對密碼「qweasd666」進行加密：

Java雙重MD5加密怎麼實現安全登入

加密之後我們選取32位元小寫的密文進行解密運算：

Java雙重MD5加密怎麼實現安全登入

#解密失敗顯示其原理是透過收集常用的密文進行配對破解。既然「qweasd666」密碼無法被破解，那麼它應該是安全的，你們都可以使用這個密碼（doge）。

言歸正傳，說到這個網站成功將我精心設定的密碼給破解了，這讓我很沒有安全感，而且我感覺我很沒有面子，我一定要將我的登入安全等級進行提升。

除了上面提到的解密操作之外，還有一個很大的問題就是在前端將資料傳輸過來時候http採用的是明文傳輸，如果傳輸資料包被截取，那麼就算你後端的加密演算法有多複雜，你的密碼也會被別人知道。

二：解決方案

2.1：第一次加密

找到問題所在之後，我們就可以對症下藥了，首先我覺得要解決的是http明文傳輸問題，因為這個風險最大，普通抓包就能抓取密碼，這不是很恐怖的一件事嗎。既然明文傳輸有安全問題，我們可以透過加密來確保傳輸安全性

我仍然採用MD5加密方案，但在對密碼加密前，增加了一個固定的salt值。 salt？是加鹽嗎，其實差不多，不如說是加點「佐料」。其基本想法是這樣的：當用戶首次提供密碼時（通常是註冊時），由程式往這個密碼裡撒一些“佐料”，為了減輕開發壓力，這個佐料對於每一個用戶都是相同的，然後再散列。這樣就能防止傳輸過程中出現明文密碼外洩。

2.2：第二次加密

注意上面我提到的是防止明文密碼洩漏，但這並不代表密文不會洩漏，假如駭客截取你透過http傳輸的經過加密後的密碼，或是資料庫發生洩漏導致加密後的密碼被駭客盜取，駭客透過解析前端js檔案來獲得前端固定鹽值，那麼駭客可能可以透過彩虹表進行反向查詢得到原始密碼。這時候就二次加密的重要性就出來了，二次加密實現原理為對前端傳過來經過加密之後的密碼再次和一個隨機Salt值結合後進行加密（注意這次是隨機的），鹽值會在用戶登陸的時候隨機生成，並存在資料庫中。

這時候可能你會跟我剛開始一樣也會有一個疑惑，那就是你把隨機鹽值保存到資料庫中了，那麼如果資料庫洩漏那你的隨機鹽值還有什麼作用呢？駭客拿到加密資料解密後移除鹽值不是就能得到密碼了嗎？是的，駭客有可能透過這樣的手段得到密碼，但是前提是他能解密出來，要知道的是MD5是無法直接破解的，只能透過窮舉法解密。就算駭客拿到了資料庫中的加密密碼，但是不知道後端的加密過程，他就無法進行解析，就算駭客同時知道加密過程，由於經過了二次加鹽二次加密，這時候的密文是很難很難被解析出來的，隨著加密資料的複雜度增加，破解成本是呈指數級增加的，在那麼大的成本面前相信沒有什麼駭客願意去嘗試。當然，salt也不一定要加在最前面或最後面，也可以插在中間，也可以分開插入，也可以倒序，程式設計時可以靈活調整，都可以使破解的難度呈指數型增長。

2.3：具體實作

2.3.1：使用者註冊

#前端對使用者輸入的密碼進行md5加密（固定的salt）
將加密後的密碼傳遞到後端
#後端隨機產生一個salt
使用產生salt將前端傳過來的密碼加密，然後將加密後密碼和salt一起儲存到db

2.3.2：使用者登入

##前端對使用者輸入的密碼進行md5加密（固定的salt）
將加密後的密碼傳遞到後端
後端使用使用者帳號取出使用者資訊
後端將加密後的密碼在進行md5加密（取出鹽），然後與資料庫中儲存的密碼進行比較
匹配則登入成功，否則登入失敗

三：程式碼實作

3.1：第一次加密

#3.1 .1：前端

const params = {
    ...this.ruleForm,
    sex: this.ruleForm.sex === &#39;女&#39; ? &#39;0&#39; : &#39;1&#39;,
    //设置密码加密(加上固定salt值)
    password: md5(this.ruleForm.password + this.salt)
}
addEmployee(params).then(res => {
    if (res.code === 1) {
        this.$message.success(&#39;员工添加成功！&#39;)
        if (!st) {
            this.goBack()
        } else {
            this.ruleForm = {
                username: &#39;&#39;,
                &#39;name&#39;: &#39;&#39;,
                &#39;phone&#39;: &#39;&#39;,
                password: &#39;&#39;,
                // &#39;rePassword&#39;: &#39;&#39;,/
                &#39;sex&#39;: &#39;男&#39;,
                &#39;idNumber&#39;: &#39;&#39;
            }
        }
    } else {
        this.$message.error(res.msg || &#39;操作失败&#39;)
    }
}

3.1.2：後端

/**
* 添加员工
*/
@PostMapping
public R<String> save(@RequestBody Employee employee){
    //生成随机salt值
    String salt = RandomStringUtils.randomAlphanumeric(5);
    //设置随机盐值
    employee.setSalt(salt);
    //设置密码二次加密
    employee.setPassword(DigestUtils.md5DigestAsHex((salt + employee.getPassword()).getBytes()));
 
    boolean save = employeeService.save(employee);
    if(save){
        return R.success("添加成功！");
    }
    return R.error("添加失败！");
}

3.2：第二次加密

3.2.1：前端

const params = {
    ...this.loginForm,
    //登录密码加上固定盐值后发送
    password: md5(this.loginForm.password + this.salt),
}
let res = await loginApi(params)
if (String(res.code) === &#39;1&#39;) {
    localStorage.setItem(&#39;userInfo&#39;, JSON.stringify(res.data))
    window.location.href = &#39;/backend/index.html&#39;
} else {
    this.$message.error(res.msg)
    this.loading = false
}

3.2. 2：後端

/**
 * 员工登录
 */
@PostMapping("/login")
public R<Employee> login(HttpServletRequest request, @RequestBody Employee employee){
    //1.获取传输过来的加密后的密码值
    String encryPassword = employee.getPassword();
 
    //2.从数据库中获取用户信息
    LambdaQueryWrapper<Employee> lqw = new LambdaQueryWrapper<>();
    lqw.eq(Employee::getUsername,employee.getUsername());
    Employee emp = employeeService.getOne(lqw);
 
    //3.如果没有查询到则返回登陆失败查询结果
    if(emp == null){
        return R.error("没有查询到该用户信息！");
    }
 
    //4.获取注册时保存的随机盐值
    String salt = emp.getSalt();
 
    //5.将页面提交的密码password进行md5二次加密
    String password = DigestUtils.md5DigestAsHex((salt + encryPassword).getBytes());
 
    //6.密码比对，如果不一致则返回登陆失败结果
    if(!emp.getPassword().equals(password)){
        return R.error("密码错误！");
    }
 
    //7.查看员工状态是否可用
    if(emp.getStatus() == 0){
        return R.error("该员工已被禁用！");
    }
    
    //8.登录成功，将员工id存入Session对象并返回登录成功结果
    request.getSession().setAttribute("employee",emp.getId());
    return R.success(emp);
}

以上是Java雙重MD5加密怎麼實現安全登入的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文轉載於：亿速云。如有侵權，請聯絡admin@php.cn刪除

JVM中的類加載程序子系統如何促進平台獨立性？Apr 23, 2025 am 12:14 AM

類加載器通過統一的類文件格式、動態加載、雙親委派模型和平台無關的字節碼，確保Java程序在不同平台上的一致性和兼容性，實現平台獨立性。

Java編譯器會產生特定於平台的代碼嗎？解釋。Apr 23, 2025 am 12:09 AM

Java編譯器生成的代碼是平台無關的，但最終執行的代碼是平台特定的。 1.Java源代碼編譯成平台無關的字節碼。 2.JVM將字節碼轉換為特定平台的機器碼，確保跨平台運行但性能可能不同。

JVM如何處理不同操作系統的多線程？Apr 23, 2025 am 12:07 AM

多線程在現代編程中重要，因為它能提高程序的響應性和資源利用率，並處理複雜的並發任務。 JVM通過線程映射、調度機制和同步鎖機制，在不同操作系統上確保多線程的一致性和高效性。

在Java的背景下，'平台獨立性”意味著什麼？Apr 23, 2025 am 12:05 AM

Java的平台獨立性是指編寫的代碼可以在任何安裝了JVM的平台上運行，無需修改。 1)Java源代碼編譯成字節碼，2)字節碼由JVM解釋執行，3)JVM提供內存管理和垃圾回收功能，確保程序在不同操作系統上運行。

Java應用程序仍然可以遇到平台特定的錯誤或問題嗎？Apr 23, 2025 am 12:03 AM

Javaapplicationscanindeedencounterplatform-specificissuesdespitetheJVM'sabstraction.Reasonsinclude:1)Nativecodeandlibraries,2)Operatingsystemdifferences,3)JVMimplementationvariations,and4)Hardwaredependencies.Tomitigatethese,developersshould:1)Conduc

雲計算如何影響Java平台獨立性的重要性？Apr 22, 2025 pm 07:05 PM

云计算显著提升了Java的平台独立性。1)Java代码编译为字节码，由JVM在不同操作系统上执行，确保跨平台运行。2)使用Docker和Kubernetes部署Java应用，提高可移植性和可扩展性。

Java的平台獨立性在廣泛採用中扮演著什麼角色？Apr 22, 2025 pm 06:53 PM

Java'splatformindependenceallowsdeveloperstowritecodeonceandrunitonanydeviceorOSwithaJVM.Thisisachievedthroughcompilingtobytecode,whichtheJVMinterpretsorcompilesatruntime.ThisfeaturehassignificantlyboostedJava'sadoptionduetocross-platformdeployment,s