本文深入探讨了在用户认证系统中安全处理密码的关键原则。核心在于使用不可逆的哈希算法而非可逆的加密技术来存储和验证密码。我们将阐明哈希与加密的区别,并提供一个基于哈希的密码验证流程,以确保用户数据的安全性,避免常见的匹配失败问题。
在构建用户登录系统时,一个常见的误区是将密码进行“加密”后存储。然而,从安全角度来看,密码应当被“哈希”而非“加密”。这两者之间存在根本性的差异:
因此,安全实践要求我们存储密码的哈希值,而不是其加密后的形式,更不是明文。
原始问题中提到使用 crypto-js 进行前端加密,后端再次对“加密键”进行加密并存储。这种做法通常会导致以下问题:
一个安全且标准的密码验证流程应遵循以下步骤:
在Java后端,推荐使用Spring Security提供的BCryptPasswordEncoder或Pbkdf2PasswordEncoder等实现,它们封装了强大的哈希算法,并自动处理盐值。
1.后台管理登陆直接在网站地址后输入后台路径,默认为 /admin,进入后台管理登陆页面,输入管理员用户名和密码,默认为 中文 admin ,登陆后台。2.后台管理a.注销管理登陆 (离开后台管理时,请点击这里正常退出,确保系统安全)b.查看使用帮助 (如果你在使用系统时,有不清楚的,可以到这里来查看)c.管理员管理 (这里可以添加,修改,删除系统管理员,暂不支持,分权限管理操作)d.分类管理 (
0
1. 配置 BCryptPasswordEncoder (通常在Spring配置类中)
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
@Configuration
public class SecurityConfig {
@Bean
public PasswordEncoder passwordEncoder() {
// BCryptPasswordEncoder会自动生成盐值并处理哈希
// strength参数控制计算强度,值越大越安全但计算耗时越长
return new BCryptPasswordEncoder(12); // 默认值是10,12是一个不错的折衷
}
}2. 注册时哈希密码
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Service;
@Service
public class UserService {
@Autowired
private PasswordEncoder passwordEncoder; // 注入配置好的PasswordEncoder
public User registerUser(String username, String rawPassword) {
// 1. 哈希密码
String hashedPassword = passwordEncoder.encode(rawPassword);
// 2. 将用户名和哈希后的密码存储到数据库
// User user = new User(username, hashedPassword);
// userRepository.save(user); // 实际应用中会保存到数据库
System.out.println("用户 " + username + " 注册成功,哈希密码: " + hashedPassword);
// 实际应用中返回用户对象或其他结果
return null;
}
}3. 登录时验证密码
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Service;
@Service
public class AuthService {
@Autowired
private PasswordEncoder passwordEncoder;
public boolean login(String username, String rawPassword) {
// 1. 从数据库获取存储的哈希密码 (实际应用中会从数据库加载)
String storedHashedPassword = findHashedPasswordByUsername(username);
if (storedHashedPassword == null) {
// 用户不存在
System.out.println("用户 " + username + " 登录失败:用户不存在。");
return false;
}
// 2. 验证输入的明文密码是否与存储的哈希密码匹配
// BCryptPasswordEncoder会自动从存储的哈希中提取盐值并进行比较
boolean isPasswordMatch = passwordEncoder.matches(rawPassword, storedHashedPassword);
if (isPasswordMatch) {
System.out.println("用户 " + username + " 登录成功!");
} else {
System.out.println("用户 " + username + " 登录失败:密码不匹配。");
}
return isPasswordMatch;
}
// 模拟从数据库获取哈希密码的方法
private String findHashedPasswordByUsername(String username) {
// 实际应用中,这里会进行数据库查询
// 为了演示,我们假设存储了一个用户名为 "testuser" 的哈希密码
if ("testuser".equals(username)) {
// 这个哈希值是注册时由 BCryptPasswordEncoder.encode("password123") 生成的示例
// 注意:每次encode都会生成不同的哈希值以上就是安全的用户认证:理解密码哈希而非加密在登录系统中的应用的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
583
收藏
取消收藏
