- 1框架概述 - Spring 简介 - 发展历程与核心特性公开
- 2框架概述 - Spring 优势 - 依赖注入与 IoC 的好处公开
- 3环境搭建 - 开发工具 - IDE 选择与配置公开
- 4环境搭建 - 项目创建 - 使用 Maven 或 Gradle 创建公开
- 5核心概念 - IoC 容器 - 控制反转原理与实现公开
- 6核心概念 - Bean 定义 - 配置与创建 Bean公开
- 7核心概念 - Bean 生命周期 - 创建到销毁过程公开
- 8配置方式 - XML 配置 - 传统 XML 配置 Bean公开
- 9配置方式 - Java 配置 - Java 代码配置容器公开
- 10配置方式 - 注解配置 - 使用注解简化配置公开
- 11依赖注入 - 构造器注入 - 通过构造函数注入依赖公开
- 12依赖注入 - Setter 注入 - 使用 Setter 方法注入公开
- 13依赖注入 - 自动装配 - 自动匹配依赖项公开
- 14Bean 作用域 - 单例作用域 - 唯一实例的 Bean公开
- 15Bean 作用域 - 原型作用域 - 每次请求新实例公开
- 16Bean 作用域 - 会话与请求作用域 - Web 环境作用域公开
- 17事件机制 - 事件发布 - 发布自定义事件公开
- 18事件机制 - 事件监听 - 监听并处理事件公开
- 19资源管理 - 资源加载 - 加载文件、类路径资源公开
- 20资源管理 - 属性文件 - 读取属性配置文件公开
- 21AOP 概念 - AOP 简介 - 面向切面编程原理公开
- 22AOP 概念 - 连接点与切入点 - 定义切面位置公开
- 23AOP 概念 - 通知类型 - 前置、后置等通知公开
- 24AOP 配置 - XML 配置 AOP - 配置切面与通知公开
- 25AOP 配置 - 注解配置 AOP - 使用注解定义切面公开
- 26切面实现 - 自定义切面 - 编写切面类公开
- 27切面实现 - 日志切面 - 记录方法执行日志公开
- 28切面实现 - 事务切面 - 管理事务操作公开
- 29AOP 应用 - 权限验证 - 切面实现权限检查公开
- 30AOP 应用 - 性能监控 - 监控方法执行时间公开
- 31JDBC 基础 - JDBC 简介 - 数据库连接标准公开
- 32JDBC 基础 - 连接数据库 - 配置数据库连接公开
- 33Spring JDBC - JdbcTemplate - 简化 JDBC 操作公开
- 34Spring JDBC - NamedParameterJdbcTemplate - 命名参数操作公开
- 35数据库操作 - 查询数据 - 执行 SQL 查询语句公开
- 36数据库操作 - 插入数据 - 插入新记录到数据库公开
- 37数据库操作 - 更新数据 - 修改数据库记录公开
- 38数据库操作 - 删除数据 - 删除数据库记录公开
- 39事务管理 - 编程式事务 - 手动管理事务公开
- 40事务管理 - 声明式事务 - 注解或 XML 配置事务公开
- 41MVC 架构 - MVC 简介 - 模型 视图 控制器模式公开
- 42MVC 架构 - 组件职责 - 各组件功能与协作公开
- 43环境搭建 - Spring MVC 配置 - 配置 DispatcherServlet公开
- 44环境搭建 - 视图解析器 - 配置视图解析方式公开
- 45控制器 - 控制器定义 - 创建控制器类公开
- 46控制器 - 请求映射 - 映射请求到方法公开
- 47控制器 - 请求参数处理 - 接收请求参数公开
- 48控制器 - 响应处理 - 返回视图或数据公开
- 49数据绑定 - 基本类型绑定 - 绑定简单参数公开
- 50数据绑定 - 对象绑定 - 绑定对象参数公开
- 51数据验证 - JSR 303 验证 - 使用注解验证数据公开
- 52数据验证 - 自定义验证 - 编写自定义验证器公开
- 53视图技术 - JSP 视图 - 使用 JSP 作为视图公开
- 54视图技术 - Thymeleaf 视图 - Thymeleaf 模板引擎公开
- 55视图技术 - JSON 数据返回 - 返回 JSON 格式数据公开
- 56文件上传 - 单文件上传 - 实现单个文件上传公开
- 57文件上传 - 多文件上传 - 支持多个文件上传公开
- 58拦截器 - 拦截器定义 - 创建拦截器类公开
- 59拦截器 - 拦截器配置 - 配置拦截规则公开
- 60国际化 - 国际化配置 - 支持多语言环境公开
- 61国际化 - 资源文件管理 - 管理语言资源文件公开
- 62框架简介 - Spring Boot 特点 - 快速开发与自动配置公开
- 63框架简介 - 起步依赖 - 简化依赖管理公开
- 64环境搭建 - 创建项目 - 使用 Spring Initializr公开
- 65环境搭建 - 项目结构 - 了解项目目录结构公开
- 66配置文件 - application.properties - 基本配置文件公开
- 67配置文件 - application.yml - YAML 格式配置公开
- 68自动配置 - 自动配置原理 - 条件化配置机制公开
- 69自动配置 - 自定义自动配置 - 编写自定义配置公开
- 70嵌入式服务器 - Tomcat 服务器 - 使用 Tomcat 启动公开
- 71嵌入式服务器 - Jetty 服务器 - 切换到 Jetty 服务器公开
- 72监控与管理 - Actuator - 监控应用运行状态公开
- 73监控与管理 - 健康检查 - 检查应用健康状况公开
- 74日志管理 - 日志框架 - 集成 Logback 等日志公开
- 75日志管理 - 日志配置 - 配置日志级别与输出公开
- 76测试 - 单元测试 - 编写单元测试用例公开
- 77测试 - 集成测试 - 进行集成测试公开
- 78部署 - 打包与部署 - 打包为可执行 JAR公开
- 79部署 - 云部署 - 部署到云平台公开
- 80数据访问 - Spring Data 简介 - 简化数据访问公开
- 81数据访问 - 仓库接口 - 定义数据访问接口公开
- 82JPA 集成 - JPA 简介 - Java 持久化 API公开
- 83JPA 集成 - 实体类与注解 - 定义实体与映射公开
- 84JPA 集成 - 仓库接口实现 - 自动实现接口方法公开
- 85MongoDB 集成 - MongoDB 简介 - 文档数据库公开
- 86MongoDB 集成 - 配置连接 - 连接 MongoDB 数据库公开
- 87MongoDB 集成 - 数据操作 - 增删改查文档公开
- 88Redis 集成 - Redis 简介 - 键值对数据库公开
- 89Redis 集成 - 配置连接 - 连接 Redis 服务器公开
- 90Redis 集成 - 缓存使用 - 使用 Redis 作为缓存公开
- 91数据分页与排序 - 分页查询 - 实现分页功能公开
- 92数据分页与排序 - 排序查询 - 按字段排序查询公开
- 93自定义查询方法 - 方法命名规则 - 按规则定义方法公开
- 94自定义查询方法 - @Query 注解 - 使用注解编写查询公开
- 95事务管理 - 数据事务 - 管理数据操作事务公开
- 96安全框架 - Spring Security 简介 - 提供安全服务公开
- 97安全框架 - 核心组件 - 过滤器与认证管理器公开
- 98基本认证 - 基于内存认证 - 配置内存用户认证公开
- 99基本认证 - 基于数据库认证 - 从数据库认证用户公开
- 100表单登录 - 表单登录配置 - 配置表单登录页面公开
- 101表单登录 - 登录处理 - 处理登录请求公开
- 102权限管理 - 角色与权限 - 定义角色与权限公开
- 103权限管理 - 访问控制 - 控制用户访问资源公开
- 104密码加密 - 加密算法 - 使用 BCrypt 等加密公开
- 105密码加密 - 密码存储 - 安全存储用户密码公开
- 106注销功能 - 注销配置 - 配置用户注销功能公开
- 107注销功能 - 注销处理 - 处理注销请求公开
- 108CSRF 保护 - CSRF 原理 - 防止跨站请求伪造公开
- 109CSRF 保护 - 配置与禁用 - 配置或禁用 CSRF公开
- 110记住我功能 - 记住我配置 - 实现记住登录状态公开
- 111记住我功能 - 令牌存储 - 存储记住我令牌公开
- 112OAuth2 集成 - OAuth2 简介 - 开放授权标准公开
- 113OAuth2 集成 - 客户端配置 - 配置 OAuth2 客户端公开
- 114OAuth2 集成 - 资源服务器 - 保护资源服务器公开
- 115安全测试 - 单元测试 - 测试安全配置公开
- 116安全测试 - 集成测试 - 测试安全功能公开
- 117微服务架构 - 微服务概念 - 架构模式与优势公开
- 118微服务架构 - 服务拆分 - 合理拆分服务公开
- 119服务注册与发现 - Eureka - 服务注册中心公开
- 120服务注册与发现 - Consul - 使用 Consul 注册服务公开
- 121服务注册与发现 - Nacos - 阿里巴巴服务注册中心公开
- 122服务调用 - RestTemplate - 同步服务调用公开
- 123服务调用 - Feign - 声明式服务调用公开
- 124服务调用 - OpenFeign - 增强版 Feign公开
- 125服务熔断 - Hystrix - 熔断器保护服务公开
- 126服务熔断 - Resilience4j - 轻量级熔断库公开
- 127服务限流 - Sentinel - 阿里限流框架公开
- 128服务网关 - Zuul - 传统服务网关公开
- 129服务网关 - Spring Cloud Gateway - 响应式网关公开
- 130配置中心 - Config Server - 集中管理配置公开
- 131配置中心 - Nacos Config - 配置管理服务公开
- 132消息总线 - Spring Cloud Bus - 消息传播机制公开
- 133分布式链路追踪 - Zipkin - 追踪服务调用公开
- 134分布式链路追踪 - Sleuth - 日志追踪工具公开
- 135部署与运维 - Docker 部署 - 容器化部署服务公开
- 136部署与运维 - Kubernetes 部署 - 集群部署服务公开
- 137批处理框架 - Spring Batch 简介 - 处理大量数据公开
- 138批处理框架 - 核心组件 - 作业、步骤等组件公开
- 139作业配置 - 作业定义 - 定义批处理作业公开
- 140作业配置 - 步骤配置 - 配置作业步骤公开
- 141数据读取 - 读取器实现 - 从文件、数据库读取公开
- 142数据处理 - 处理器实现 - 处理读取的数据公开
- 143数据写入 - 写入器实现 - 写入数据到目标公开
- 144作业执行 - 作业启动 - 启动批处理作业公开
- 145作业执行 - 作业监控 - 监控作业执行状态公开
- 146作业调度 - Quartz 集成 - 使用 Quartz 调度作业公开
- 147事务管理 - 批处理事务 - 管理批处理事务公开
- 148异常处理 - 异常捕获 - 捕获处理作业异常公开
- 149重试机制 - 重试策略 - 配置重试机制公开
- 150跳过机制 - 跳过策略 - 配置跳过异常数据公开
密码加密 - 密码存储 - 安全存储用户密码
Java - Web - Spring 《密码加密 - 密码存储 - 安全存储用户密码》
一、引言
在 Web 应用程序中,用户密码的安全存储是至关重要的。如果密码以明文形式存储在数据库中,一旦数据库泄露,用户的账户将面临极大的安全风险。因此,对用户密码进行加密处理并安全存储是保障用户信息安全的关键步骤。本文将详细介绍在 Java Web 应用中使用 Spring 框架进行密码加密和安全存储的方法。
二、密码加密的基本概念
2.1 单向加密
单向加密是指将明文转换为密文后,无法通过密文还原出明文。常见的单向加密算法有 MD5、SHA 等。这些算法通常用于密码存储,因为即使数据库泄露,攻击者也无法直接获取用户的明文密码。
2.2 加盐
为了增加密码的安全性,通常会在加密过程中加入“盐”。盐是一个随机生成的字符串,它会与用户的密码一起进行加密。这样,即使两个用户的密码相同,由于盐不同,加密后的密文也会不同,从而增加了密码破解的难度。
三、Spring 中的密码加密
Spring Security 提供了多种密码加密器,其中最常用的是 BCryptPasswordEncoder。BCrypt 是一种基于 Blowfish 加密算法的密码哈希函数,它会自动生成盐并将其包含在加密后的密码中。
3.1 添加依赖
首先,在 pom.xml 中添加 Spring Security 的依赖:
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency>
3.2 演示代码
以下是一个简单的示例,演示了如何使用 BCryptPasswordEncoder 进行密码加密和验证:
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;public class PasswordEncoderExample {public static void main(String[] args) {// 创建 BCryptPasswordEncoder 实例BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();// 明文密码String rawPassword = "123456";// 加密密码String encodedPassword = passwordEncoder.encode(rawPassword);System.out.println("加密后的密码: " + encodedPassword);// 验证密码boolean isPasswordMatch = passwordEncoder.matches(rawPassword, encodedPassword);System.out.println("密码验证结果: " + isPasswordMatch);}}
代码解释
- 创建
BCryptPasswordEncoder实例:通过new BCryptPasswordEncoder()创建一个BCryptPasswordEncoder对象。 - 加密密码:调用
encode()方法将明文密码加密为密文。 - 验证密码:调用
matches()方法验证明文密码和密文是否匹配。
四、在 Spring Boot 应用中安全存储用户密码
4.1 创建用户实体类
import javax.persistence.Entity;import javax.persistence.GeneratedValue;import javax.persistence.GenerationType;import javax.persistence.Id;@Entitypublic class User {@Id@GeneratedValue(strategy = GenerationType.IDENTITY)private Long id;private String username;private String password;// 构造函数、Getter 和 Setter 方法public User() {}public User(String username, String password) {this.username = username;this.password = password;}public Long getId() {return id;}public void setId(Long id) {this.id = id;}public String getUsername() {return username;}public void setUsername(String username) {this.username = username;}public String getPassword() {return password;}public void setPassword(String password) {this.password = password;}}
4.2 创建用户存储库
import org.springframework.data.jpa.repository.JpaRepository;public interface UserRepository extends JpaRepository<User, Long> {User findByUsername(String username);}
4.3 创建服务层
import org.springframework.beans.factory.annotation.Autowired;import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;import org.springframework.stereotype.Service;@Servicepublic class UserService {@Autowiredprivate UserRepository userRepository;@Autowiredprivate BCryptPasswordEncoder passwordEncoder;public User createUser(String username, String password) {// 加密密码String encodedPassword = passwordEncoder.encode(password);User user = new User(username, encodedPassword);return userRepository.save(user);}public boolean verifyPassword(String username, String rawPassword) {User user = userRepository.findByUsername(username);if (user!= null) {return passwordEncoder.matches(rawPassword, user.getPassword());}return false;}}
4.4 创建控制器
import org.springframework.beans.factory.annotation.Autowired;import org.springframework.web.bind.annotation.*;@RestController@RequestMapping("/users")public class UserController {@Autowiredprivate UserService userService;@PostMappingpublic User createUser(@RequestParam String username, @RequestParam String password) {return userService.createUser(username, password);}@GetMapping("/verify")public boolean verifyPassword(@RequestParam String username, @RequestParam String password) {return userService.verifyPassword(username, password);}}
五、总结
5.1 密码加密和存储的要点
| 要点 | 说明 |
|---|---|
| 单向加密 | 使用单向加密算法(如 BCrypt)对密码进行加密,防止明文泄露。 |
| 加盐 | 自动生成盐并包含在加密后的密码中,增加密码破解的难度。 |
| 安全存储 | 将加密后的密码存储在数据库中,而不是明文密码。 |
5.2 注意事项
- 避免使用弱加密算法(如 MD5),因为它们已经被证明存在安全漏洞。
- 定期更新加密算法和盐的长度,以提高密码的安全性。
通过以上步骤,我们可以在 Java Web 应用中使用 Spring 框架安全地存储用户密码,保护用户的账户信息。