发表于: 2019-04-09 23:54:16
1 514
用cookie登录
1.控制器保存/销毁cookie信息的登录/登出url
2.校验是否有cookie信息及匹配cookie信息的拦截器
3.在springMVC.xml中配置拦截器信息
登录要用MD5加盐
什么是MD5
它是一种信息摘要算法,它可以从一个字符串或一个文件中按照一定的规则生成一个特殊的字符串(这个特殊的字符串就被称之为摘要,我理解就是从文件中摘一些信息片段加工而来),并且一个文件所对应的MD5摘要是固定的,当文件内容变化后,其MD5值也会不一样(虽然理论上来说也有可能会一样,但概率极小极小),因此,在应用中经常使用MD5值来验证一段数据有没有被篡改。比如,在数据的发送方将原始数据生成出MD5值,然后把原始数据连同其MD5值一起传给接收方,接收该收到数据后,先将原始数据用MD5算法生成摘要信息,然后再将此摘要信息与发送方发过来的摘要信息进行比较,如果一致就认为原始数据没有被修改,否则原始数据就是被修改过了。
MD5的几个特点:
1、它是一段固定长度的数据,即128bit的由“0”和“1”组成的一段二进制数据。无论原始数据是多长或多短,其MD5值都是128bit。
2、通常(或者叫行业规定),这段128bit的数据,按4bit一组分成32组,每一组按16进制来计算其值,并以字符的形式输出每个值。比如一组数据按16进制计算出来的值是0~9,打印出来也是0~9,如果计算出来的值是a~f,如果直接打印的话将会是10~15,在java中通常使用Integer.toHexString(int)方法来将16进制的 a~f 打印成字母“a~f”,最终这个128bit的数据将会被打印成一个32位的字符串。所以我们通常所说的MD5值就是指这串32位的由“0~9,a~f”所组成的字符串。如果你看到某个MD5不是32位,或发现其中含有“0~f”之外的字符,那肯定是个错误的MD5值。
3、确定性,一个原始数据的MD5值是唯一的,同一个原始数据不可能会计算出多个不同的MD5值。
4、碰撞性,原始数据与其MD5值并不是一一对应的,有可能多个原始数据计算出来的MD5值是一样的,这就是碰撞。
5、不可逆。也就是说如果告诉你一个MD5值,你是无法通过它还原出它的原始数据的,这不是你的技术不够牛,这是由它的算法所决定的。因为根据第4点,一个给定的MD5值是可能对应多个原始数据的,并且理论上讲是可以对应无限多个原始数据,所有无法确定到底是由哪个原始数据产生的。
加盐
不同的用户可能会设置出一样的密码,那么通过相同的加密算法得到的是相同的结果。大部分常用密码都可以通过MD5摘要反向查询到密码明文。为了防止内部人员(能够接触到数据库或者数据库备份文件的人员)和外部入侵者通过MD5反查密码明文,更好地保护用户的密码和个人帐户安全(一个用户可能会在多个系统中使用同样的密码,因此涉及到用户在其他网站和系统中的数据安全),需要对MD5摘要结果掺入其他信息,称之为加盐。
简单的说就是为了减少破解了一个人的密码造成多人账户被盗的可能性。
MD5工具类
public class Md5Util {
//输入字符串,输出32进制字符串形式的MD5摘要
public static String MD5(String input) {
/*MessageDigest 类为应用程序提供信息摘要算法的功能,
如 MD5 或 SHA 算法。信息摘要是安全的单向哈希函数,
它接收任意大小的数据,并输出固定长度的哈希值。*/
MessageDigest md5 = null;
try {
// 获取类实例
md5 = MessageDigest.getInstance("MD5");
} catch (NoSuchAlgorithmException e) {
return "check jdk";
} catch (Exception e) {
e.printStackTrace();
return "";
}
// input.toCharArray是将字符串对象中的字符转化为字符串数组
char[] charArray = input.toCharArray();
// 创建一个和字符串长度相同的字节数组
byte[] byteArray = new byte[charArray.length];
//将字符串数组转化为字节数组
for (int i = 0; i < charArray.length; i++)
byteArray[i] = (byte) charArray[i];
//获取摘要信息的字节数组
byte[] md5Bytes = md5.digest(byteArray);
/*StringBuffer类中的方法主要偏重于对于字符串的变化,
例如追加、插入和删除等,这个也是StringBuffer和String类的主要区别*/
StringBuffer hexValue = new StringBuffer();
//遍历摘要信息字节数组的每个元素
for (int i = 0; i < md5Bytes.length; i++) {
//byte类型向高24位(就是int的32位)转换,直接转换会将高24位也看做是有效位数,会导致错误。将高24位置0就可以避免
int val = ((int) md5Bytes[i]) & 0xff;
if (val < 16)
hexValue.append("0");
hexValue.append(Integer.toHexString(val));
}
return hexValue.toString();
}
public static String generate(String password) {
// 创建一个随机数生成器,没有随机种子时,以当前时间为随机种子;r.next()产生随机数并设置随机数范围
Random r = new Random();
// StringBuilder用字符串连接,可设置容量
StringBuilder sb = new StringBuilder(16);
// 产生随机数
sb.append(r.nextInt(99999999)).append(r.nextInt(99999999));
int len = sb.length();
if (len < 16) {
for (int i = 0; i < 16 - len; i++) {
sb.append("0");
}
}
String salt = sb.toString();
// 获取16进制的密码加盐的摘要
password = md5Hex(password + salt);
char[] cs = new char[48];
for (int i = 0; i < 48; i += 3) {
cs[i] = password.charAt(i / 3 * 2);
char c = salt.charAt(i / 3);
cs[i + 1] = c;
cs[i + 2] = password.charAt(i / 3 * 2 + 1);
}
return new String(cs);
}
//校验加盐后是否与原文一致,
public static boolean verify(String password, String md5) {
char[] cs1 = new char[32];
char[] cs2 = new char[16];
for (int i = 0; i < 48; i += 3) {
cs1[i / 3 * 2] = md5.charAt(i);
cs1[i / 3 * 2 + 1] = md5.charAt(i + 2);
cs2[i / 3] = md5.charAt(i + 1);
}
String salt = new String(cs2);
return md5Hex(password + salt).equals(new String(cs1));
}
/**
* 获取十六进制字符串形式的MD5摘要
*/
private static String md5Hex(String src) {
try {
MessageDigest md5 = MessageDigest.getInstance("MD5");
byte[] bs = md5.digest(src.getBytes());
return new String(new Hex().encode(bs));
} catch (Exception e) {
return null;
}
}
}
然后用MD5给密码加盐
登录的时候再加密一次,与传进来的密码对比是否相同
@RequestMapping(value = "/register", method = RequestMethod.POST)
public String insert(User user, String name) {
logger.info("新注册用户信息:" + user);
// 通过用户名查找数据,看是否有这条数据
List<User> users = userService.selectByName(name);
logger.info("查看是否注册:" + users);
// 能查出来这条数据就说明数据库里有这条数据,那么注册失败,否则注册成功,跳转到首页
if (!CollectionUtils.isEmpty(users)) {
logger.info("用户已存在");
return "register";
} else {
if(
user.getName()!=null
&& user.getName().length()>0
&& user.getPassword()!=null
&& user.getPassword().length()>0){
//MD5给密码加密加盐
user.setPassword(Md5Util.MD5(user.getPassword()+user.getId()));
int row = userService.insert(user);
logger.info("插入成功:" + row);
return "home";
}
else {
return "register";
}
}
}
@RequestMapping(value = "/login", method = RequestMethod.GET)
public String login(User user , HttpServletResponse response) throws UnsupportedEncodingException {
logger.info("user:" + user);
user.setPassword(Md5Util.MD5(user.getPassword()+user.getId()));
List<User> user1 = userService.selectByNameAndPassword(user.getName(),user.getPassword());
String string1 = DesUtil.encryptFromLong(System.currentTimeMillis());
String string2 = DesUtil.encryptFromLong(user.getId());
//token由用户名,id,登录时间组成
String token = DesUtil.encrypt(string1+"|"+user.getName()+"|"+string2);
logger.info("token:"+token);
if (!ObjectUtils.isEmpty(user.getName()) && !ObjectUtils.isEmpty(user.getPassword())) {
//初使化并设置Cookie的名称
Cookie cookie = new Cookie("name",user.getName());
Cookie tokencookie = new Cookie("token",token);
//设置过期时间,单位为秒
cookie.setMaxAge(60 * 60);
response.addCookie(cookie);
response.addCookie(tokencookie);
return "home";
} else {
return "login";
}
}
返回列表
评论