Java Spring Boot 项目中的密码加密与验证开发案例手册

2024-09-07 01:36

本文主要是介绍Java Spring Boot 项目中的密码加密与验证开发案例手册,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

本手册主要针对Java项目中的账号密码加密与验证进行详细的步骤讲解和代码示例。适用于开发登录认证、用户管理等功能的场景。文档包含工具类的创建、数据库配置、服务层和控制器层的集成等常见操作。

1. 常用加密操作

在实现安全的登录功能时,密码加密与验证是不可或缺的一部分。常用的加密流程如下:

1.1 密码加密

在用户注册或修改密码时,应该对密码进行加密。常用的加密方法有:

  • MD5:已不建议使用,因为安全性不足。
  • SHA-256:推荐使用,安全性较好。
  • 加盐:为了增加安全性,加密时应生成并使用一个随机的“盐值”。

加盐加密步骤

  1. 生成随机的盐值。
  2. 将盐值与密码组合,生成哈希。
  3. 将哈希值和盐值存储到数据库中。

1.2 盐值生成

为了确保每个用户的密码加密结果唯一,使用随机盐值非常重要。通过 SecureRandom 类可以生成高质量的随机盐值。

public static String generateSalt() {byte[] salt = new byte[16];new SecureRandom().nextBytes(salt);return Base64.getEncoder().encodeToString(salt);
}

1.3 加密密码的存储与验证

存储时不直接保存用户密码,而是保存加密后的哈希值和对应的盐值。在用户登录时,使用存储的盐值对用户输入的密码进行加密,然后比对哈希值。


2. 系统结构与配置

2.1 项目结构概述

假设项目使用Spring Boot框架(lombok),项目的基本结构如下:

├─src
│  ├─main
│  │  ├─java
│  │  │  └─com
│  │  │      └─company
│  │  │          └─erp
│  │  │              ├─config
│  │  │              ├─constant
│  │  │              ├─dto
│  │  │              ├─entity
│  │  │              ├─mapper
│  │  │              ├─service
│  │  │              ├─util
│  │  │              └─web

2.2 数据库设计

为实现密码加密功能,需要修改数据库表结构,保存哈希后的密码和对应的盐值。
示例数据库表结构如下:

CREATE TABLE emp (id INT AUTO_INCREMENT PRIMARY KEY,username VARCHAR(255) NOT NULL UNIQUE,password_hash VARCHAR(255) NOT NULL,salt VARCHAR(255) NOT NULL
);

3. 代码实现

3.1 工具类 PasswordUtils

加密和验证密码的工具类,包含生成盐值、加密密码和验证密码的方法。

public class PasswordUtils {// 生成随机盐值public static String generateSalt() {byte[] salt = new byte[16];new SecureRandom().nextBytes(salt);return Base64.getEncoder().encodeToString(salt);}// 使用盐值对密码进行哈希处理public static String hashPassword(String password, String salt) throws NoSuchAlgorithmException {MessageDigest md = MessageDigest.getInstance("SHA-256");md.update(Base64.getDecoder().decode(salt));byte[] hashedPassword = md.digest(password.getBytes());return Base64.getEncoder().encodeToString(hashedPassword);}// 验证密码是否匹配public static boolean verifyPassword(String password, String salt, String storedHash) throws NoSuchAlgorithmException {String hash = hashPassword(password, salt);return hash.equals(storedHash);}
}

3.2 实体类 Emp

实体类代表数据库中的用户信息,需要包含加密后的密码和盐值。

@Data
public class Emp {private Integer id;private String username;private String passwordHash; // 存储加密后的密码private String salt; // 存储盐值
}

3.3 数据访问层 EmpMapper

通过 EmpMapper 进行数据库操作。它负责将用户信息插入数据库以及根据用户名查找用户信息。

public interface EmpMapper {@Insert("INSERT INTO emp (username, password_hash, salt) VALUES (#{username}, #{passwordHash}, #{salt})")void insert(Emp emp);@Select("SELECT * FROM emp WHERE username = #{username}")Emp findByUsername(String username);
}

3.4 服务层 EmpServiceEmpServiceImpl

服务层负责处理用户注册和登录的业务逻辑,使用 PasswordUtils 工具类对密码进行加密和验证。

@Service
public class EmpServiceImpl implements EmpService {@Autowiredprivate EmpMapper empMapper;@Overridepublic void registerUser(String username, String password) {String salt = PasswordUtils.generateSalt();try {String hashedPassword = PasswordUtils.hashPassword(password, salt);Emp emp = new Emp();emp.setUsername(username);emp.setPasswordHash(hashedPassword);emp.setSalt(salt);empMapper.insert(emp);} catch (NoSuchAlgorithmException e) {throw new RuntimeException("Error while hashing password", e);}}@Overridepublic boolean authenticateUser(String username, String password) {Emp emp = empMapper.findByUsername(username);if (emp == null) {return false;}try {return PasswordUtils.verifyPassword(password, emp.getSalt(), emp.getPasswordHash());} catch (NoSuchAlgorithmException e) {throw new RuntimeException("Error while verifying password", e);}}
}

3.5 控制器层 LoginController

控制器层负责接收前端的登录和注册请求,并调用服务层进行用户验证。

@RestController
@RequestMapping("/v2")
public class LoginController {@Autowiredprivate EmpService empService;@PostMapping("/login")public String login(@RequestParam String username, @RequestParam String password) {boolean isAuthenticated = empService.authenticateUser(username, password);return isAuthenticated ? "Login successful" : "Invalid credentials";}@PostMapping("/register")public String register(@RequestParam String username, @RequestParam String password) {empService.registerUser(username, password);return "User registered successfully";}
}

4. 最佳实践与安全建议

  1. 加盐加密:确保密码在加密过程中使用随机生成的盐值,使得相同的密码不会产生相同的加密结果。
  2. 算法选择:推荐使用 SHA-256 或更高强度的算法进行加密。
  3. HTTPS:在传输过程中使用 HTTPS 确保密码安全。
  4. 限制登录尝试:为防止暴力破解,限制登录失败的尝试次数。
  5. 使用更高的加密标准:如有需要,可以使用 PBKDF2、bcrypt 或 Argon2 等算法。

5. 完整案例

综合上面的手册内容,这里是一个用户注册和登录的完整流程:

  1. 用户通过前端界面输入用户名和密码。
  2. 后端在用户注册时,使用 PasswordUtils.generateSalt() 生成盐值,并使用 hashPassword() 方法对密码进行加密,然后将加密后的密码和盐值存储到数据库中。
  3. 用户登录时,系统从数据库中查找对应的盐值,使用 verifyPassword() 方法验证用户输入的密码是否匹配。

此流程确保了用户密码的安全性,并能够防止常见的攻击手段,如彩虹表攻击。

这篇关于Java Spring Boot 项目中的密码加密与验证开发案例手册的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


原文地址:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.chinasem.cn/article/1143686

相关文章

Java利用Spire.XLS for Java设置Excel表格边框

《Java利用Spire.XLSforJava设置Excel表格边框》在日常的业务报表和数据处理中,Excel表格的美观性和可读性至关重要,本文将深入探讨如何利用Spire.XLSforJava库... 目录Spire.XLS for Java 简介与安装Maven 依赖配置手动安装 JAR 包核心API介

Java StringBuilder 实现原理全攻略

《JavaStringBuilder实现原理全攻略》StringBuilder是Java提供的可变字符序列类,位于java.lang包中,专门用于高效处理字符串的拼接和修改操作,本文给大家介绍Ja... 目录一、StringBuilder 基本概述核心特性二、StringBuilder 核心实现2.1 内部

SpringBoot AspectJ切面配合自定义注解实现权限校验的示例详解

《SpringBootAspectJ切面配合自定义注解实现权限校验的示例详解》本文章介绍了如何通过创建自定义的权限校验注解,配合AspectJ切面拦截注解实现权限校验,本文结合实例代码给大家介绍的非... 目录1. 创建权限校验注解2. 创建ASPectJ切面拦截注解校验权限3. 用法示例A. 参考文章本文

Java中字符编码问题的解决方法详解

《Java中字符编码问题的解决方法详解》在日常Java开发中,字符编码问题是一个非常常见却又特别容易踩坑的地方,这篇文章就带你一步一步看清楚字符编码的来龙去脉,并结合可运行的代码,看看如何在Java项... 目录前言背景:为什么会出现编码问题常见场景分析控制台输出乱码文件读写乱码数据库存取乱码解决方案统一使

Java Stream流与使用操作指南

《JavaStream流与使用操作指南》Stream不是数据结构,而是一种高级的数据处理工具,允许你以声明式的方式处理数据集合,类似于SQL语句操作数据库,本文给大家介绍JavaStream流与使用... 目录一、什么是stream流二、创建stream流1.单列集合创建stream流2.双列集合创建str

springboot集成easypoi导出word换行处理过程

《springboot集成easypoi导出word换行处理过程》SpringBoot集成Easypoi导出Word时,换行符n失效显示为空格,解决方法包括生成段落或替换模板中n为回车,同时需确... 目录项目场景问题描述解决方案第一种:生成段落的方式第二种:替换模板的情况,换行符替换成回车总结项目场景s

SpringBoot集成redisson实现延时队列教程

《SpringBoot集成redisson实现延时队列教程》文章介绍了使用Redisson实现延迟队列的完整步骤,包括依赖导入、Redis配置、工具类封装、业务枚举定义、执行器实现、Bean创建、消费... 目录1、先给项目导入Redisson依赖2、配置redis3、创建 RedissonConfig 配

SpringBoot中@Value注入静态变量方式

《SpringBoot中@Value注入静态变量方式》SpringBoot中静态变量无法直接用@Value注入,需通过setter方法,@Value(${})从属性文件获取值,@Value(#{})用... 目录项目场景解决方案注解说明1、@Value("${}")使用示例2、@Value("#{}"php

SpringBoot分段处理List集合多线程批量插入数据方式

《SpringBoot分段处理List集合多线程批量插入数据方式》文章介绍如何处理大数据量List批量插入数据库的优化方案:通过拆分List并分配独立线程处理,结合Spring线程池与异步方法提升效率... 目录项目场景解决方案1.实体类2.Mapper3.spring容器注入线程池bejsan对象4.创建

线上Java OOM问题定位与解决方案超详细解析

《线上JavaOOM问题定位与解决方案超详细解析》OOM是JVM抛出的错误,表示内存分配失败,:本文主要介绍线上JavaOOM问题定位与解决方案的相关资料,文中通过代码介绍的非常详细,需要的朋... 目录一、OOM问题核心认知1.1 OOM定义与技术定位1.2 OOM常见类型及技术特征二、OOM问题定位工具