2. 程式人生 > >使用者登入模組進行必要的安全處理(MD5加密、加鹽和傳輸過程加密)

使用者登入模組進行必要的安全處理(MD5加密、加鹽和傳輸過程加密)

阿新 發佈:2018-12-13

1、首先簡談一下常規Web登入模組的開發(只為了實現簡單的登入功能,未對資料庫欄位進行加密處理以及傳輸過程中進行加密處理)

非安全性登入模組開發

使用JSP+MYSQL

資料庫表如下所示:   在這裡插入圖片描述    先用jsp頁面建立login.jsp和index.jsp頁面(為了方便講解,直接使用jsp頁面傳值及校驗)具體程式碼如下所示:

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>登入介面</title>
</head>
<body>
<form action="index.jsp" method="post">
    賬&nbsp;號:<input type="text" name="username"/><br/>
    密&nbsp;碼:<input type="password" name="password"><br/><br/>
        <input type="submit" value="提交"><br/>
</form>
</body>
</html>    

 
<%@page import="java.sql.ResultSet"%>
<%@page import="java.sql.PreparedStatement"%>
<%@page import="java.sql.DriverManager"%>
<%@page import="java.sql.Connection"%>
<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>首頁</title>
</head>
<body>
<%
    //獲取mysql連線物件
    String driverClass="com.mysql.jdbc.Driver";
    String user="root";
    String psw="zwkkwz";
    String url="jdbc:mysql://localhost:3306/mytest";
    Class.forName(driverClass);
    Connection conn=DriverManager.getConnection(url,user,psw);
    //獲取login.jsp傳過來的username和password
    String username=request.getParameter("username");
    String password=request.getParameter("password");
    String sql="select * from login where username=?";
    PreparedStatement stmt=conn.prepareStatement(sql);
    stmt.setString(1, username);
    ResultSet rs=stmt.executeQuery();
%>
<%
    if(rs.next()){
        String p=rs.getString("password");
        if(password.equals(p)){
            out.println("使用者"+username+"登入成功");
        }else{
            out.println("使用者"+username+"登入失敗");
        }
    }else{
        out.println("使用者"+username+"不存在");
    }
%>
</body>
</html>

通過上面兩個jsp頁面進行實現登入頁面的,可以實現校驗功能。但存在的安全隱患問題太多

資料庫以明文的形式進行儲存 資料傳輸的過程中未對資料進行加密處理(可以使用WireShark等抓包工具獲取post傳遞的明文資訊 2、接下來針對以上兩個問題進行分析和解決:

安全加固1:對資料庫表的password欄位進行摘要處理(在MYSQL中對資料摘要處理,sql語句如下)

//使用SHA進行摘要處理
UPDATE loginset password = SHA(password)

//使用MD5進行摘要處理
UPDATE userinfo set password = MD5(password)

原來明文123456 經過是用MD5加密後是e10adc3949ba59abbe56e057f20f883e 在這裡插入圖片描述

但是這樣子還是不安全,進入http://www.cmd5.com/ 輸入加密後的密文進行解密後可以得到明文密碼

比如資料庫有多個密碼的明文是123456,通過MD5加密生成的密文是一模一樣的,這樣別人解密後就可以獲取到其他一樣的密碼 針對上述問題,我們會進行加鹽處理。即在使用者註冊時隨機生成一個規定長度的欄位,然後和使用者密碼相結合,在進行MD5加密,等會再討論這個問題。 在這裡插入圖片描述 當對資料庫的明文密碼進行MD5加密後,我們再來改造一下jsp頁面的處理邏輯,對使用者輸入的密碼也進行MD5處理後再校驗

寫一個工具類DigestUtil,由這個工具類來幫助我們生成使用者輸入的password對應的MD5 寫一個工具類BytesToString,將位元組陣列轉化為字串 具體程式碼分別如下,具體過程請讀者自己分析程式碼

package util;

import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;

public class DigestUtil {
    
    public static String getMD5(byte[] data) throws NoSuchAlgorithmException{
        MessageDigest md = MessageDigest.getInstance("MD5");
        md.update(data);
        byte[] resultBytes = md.digest();
        String resultString = BytesToString.fromBytesToString(resultBytes);
        return resultString;
    }
    
    public static String getSHA1(byte[] data) throws NoSuchAlgorithmException{
        MessageDigest md = MessageDigest.getInstance("SHA1");
        md.update(data);
        byte[] resultBytes = md.digest();
        String resultString = BytesToString.fromBytesToString(resultBytes);
        return resultString;
    }

}

package util;

public class BytesToString {
    
    public static String fromBytesToString(byte[] resultBytes) {
        StringBuilder builder = new StringBuilder();
        for (int i = 0; i < resultBytes.length; i++) {
            if (Integer.toHexString(0xFF & resultBytes[i]).length() == 1) {
                builder.append("0").append(
                        Integer.toHexString(0xFF & resultBytes[i]));
            } else {
                builder.append(Integer.toHexString(0xFF & resultBytes[i]));
            }
        }
        return builder.toString();
    }

}

改造後的index.jsp程式碼,如下:

<%@page import="util.DigestUtil"%>
<%@page import="java.sql.ResultSet"%>
<%@page import="java.sql.PreparedStatement"%>
<%@page import="java.sql.DriverManager"%>
<%@page import="java.sql.Connection"%>
<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>首頁</title>
</head>
<body>
<%
    //獲取mysql連線物件
    String driverClass="com.mysql.jdbc.Driver";
    String user="root";
    String psw="zwkkwz";
    String url="jdbc:mysql://localhost:3306/mytest";
    Class.forName(driverClass);
    Connection conn=DriverManager.getConnection(url,user,psw);
    //獲取login.jsp傳過來的username和password
    String username=request.getParameter("username");
    String password=request.getParameter("password");
    String sql="select * from login where username=?";
    PreparedStatement stmt=conn.prepareStatement(sql);
    stmt.setString(1, username);
    ResultSet rs=stmt.executeQuery();
%>
<%
    if(rs.next()){
        String p=rs.getString("password");
        //簡單的明文校驗程式碼
        /* if(password.equals(p)){
            out.println("使用者"+username+"登入成功");
        }else{
            out.println("使用者"+username+"登入失敗");
        }
    }else{
        out.println("使用者"+username+"不存在");
    } */
        //sql使用MD5加密後的密文和使用者輸入的password校驗程式碼
        if(p.equals(DigestUtil.getMD5(password.getBytes())))
            //getMD5(byte[] data)方法是將原始的資料轉換成加密後的密文
        {
            out.println("資料庫password欄位"+p);
            out.println("使用者輸入的password"+password);
            out.println("經過處理後的password"+DigestUtil.getMD5(password.getBytes()));
            out.println("使用者"+username+"登入成功");
            
        }else{
            out.println("使用者"+username+"登入失敗");
        }
        }else{
        out.println("使用者"+username+"不存在");
        }
%>
</body>
</html>

通過以上步驟,我們只對資料庫的password明文欄位進行了簡單的MD5加密,有以下缺點:

容易根據密文位數推測演算法,從而使用工具破解 真實密碼相同,加密過的密碼也相同 接下來我們介紹一下對其進行加鹽處理:

3、加鹽處理,以此來增強系統的複雜度,再通過摘要處理,就能得到隱蔽性更強的摘要值

將表中的salt欄位隨意輸入abccba,然後和原來的明文密碼123456結合,再進行SHA1加密 多建一對資料,將表中的salt欄位輸入cbaabc,然後和原來的明文密碼123456結合,再進行SHA1加密 在這裡插入圖片描述 所謂的salt欄位就是一個隨機的欄位,具體隨機演算法就不討論了,每當使用者註冊賬戶時,後臺就給它隨機生成一個不同的欄位

然後根據password和salt欄位結合進行摘要處理,存在資料庫表中的password欄位,這樣一來,原來明文都是123456生成的密文就不一樣了

操作如下:  在這裡插入圖片描述  得到加密後密文是(原來密碼都是123456):  在這裡插入圖片描述  接下來改造index.jsp的處理邏輯,對於使用者輸入的密碼進行SHA1處理後的工具類在上面的DigestUtil方法中有列舉出

index.jsp程式碼如下:

<%@page import="util.DigestUtil"%>
<%@page import="java.sql.ResultSet"%>
<%@page import="java.sql.PreparedStatement"%>
<%@page import="java.sql.DriverManager"%>
<%@page import="java.sql.Connection"%>
<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>首頁</title>
</head>
<body>
<%
    //獲取mysql連線物件
    String driverClass="com.mysql.jdbc.Driver";
    String user="root";
    String psw="zwkkwz";
    String url="jdbc:mysql://localhost:3306/mytest";
    Class.forName(driverClass);
    Connection conn=DriverManager.getConnection(url,user,psw);
    //獲取login.jsp傳過來的username和password
    String username=request.getParameter("username");
    String password=request.getParameter("password");
    String sql="select * from login where username=?";
    PreparedStatement stmt=conn.prepareStatement(sql);
    stmt.setString(1, username);
    ResultSet rs=stmt.executeQuery();
%>
<%
    if(rs.next()){
        String p=rs.getString("password");
        //sql使用SHA1進行加鹽加密後的密文和使用者輸入的password校驗程式碼
        //我們需要獲取到使用者輸入的密碼和對應的salt
        String salt=rs.getString("salt");
        if(p.equals(DigestUtil.getSHA1((password+salt).getBytes()))){
                out.println("資料庫password欄位"+p);
                out.println("使用者輸入的password"+password);
                out.println("經過處理後的password"+DigestUtil.getSHA1((password+salt).getBytes()));
                out.println("使用者"+username+"登入成功");
                
            }else{
                out.println("使用者"+username+"登入失敗");
            }
        }else{
            out.println("使用者"+username+"不存在");
            }
    %>
    <%
        rs.close();
        stmt.close();
        conn.close();
    %>
</body>
</html>

以上的步驟我們只是對sql進行了加密操作。

 為了防止使用者輸入密碼在傳輸的過程中被抓包工具獲取,我們還要在密碼傳輸的過程中進行加密,這樣可以使得獲取到的也是密文。

使用MD5.js對錶單加密(可以百度搜索MD5.js下載)

傳輸加密:在瀏覽器端傳送出資料之前就要對資料進行加密處理。

在jsp引入MD5.js;給input標籤指定一個id,然後在提交的時候給定一個方法onclick,來對使用者輸入的密碼進行加密,具體的login.jsp如下:

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>登入介面</title>
<script type="text/javascript" src="md5.js"></script>
</head>
<body>
<form action="index.jsp" method="post">
    賬&nbsp;號:<input type="text" name="username"/><br/>
    密&nbsp;碼:<input type="password" name="password" id="password"><br/><br/>
    
    <input type="submit" value="提交" onclick="toMd5()"><br/>
</form>
</body>
<script type="text/javascript">
    function toMd5(){
        var passwordNode=document.getElementById("password");
        //加密前
        alert(passwordNode.value);
        var hash=hex_md5(passwordNode.value);
        passwordNode.value=hash;
        //加密後
        alert(passwordNode.value);
    }
</script>
</html>

相關推薦

使用者登入模組進行必要安全處理MD5加密傳輸過程加密

1、首先簡談一下常規Web登入模組的開發(只為了實現簡單的登入功能,未對資料庫欄位進行加密處理以及傳輸過程中進行加密處理) 非安全性登入模組開發 使用JSP+MYSQL 資料庫表如下所示:      先用jsp頁面建立login.jsp和index.jsp

用戶登錄模塊進行必要安全處理MD5加密傳輸過程加密

sele clas 抓包 index.jsp sql語句 new 不存在 別人 com 1、首先簡談一下常規Web登錄模塊的開發(只為了實現簡單的登錄功能,未對數據庫字段進行加密處理以及傳輸過程中進行加密處理)   非安全性登錄模塊開發   使用JSP+MYSQL  

ActiveMQ的安全機制管控臺密碼的設定mq使用者認證

activemq的web管理介面:http://127.0.0.1:8161/admin (1)activemq管控臺使用jetty部署,所以需要修改密碼則需要修改相應的配置檔案D:\apache-activemq-5.12.0\conf\jetty-realm.properties。

JavaScript變量作用域內存問題

pos 指向 代碼 強類型 str -s asc blog left JavaScript是一個變量松散型的語言。(不像Java一樣強類型語言。) JavaScript變量包括兩種:基本類型(簡單的數據段)和引用類型(對象)。 一、基本數據類型(5種) Undefined

VS2010-MFC文檔視圖框架:概述

position runt mfc href ext 必須 eal 應用 指向 轉自:http://www.jizhuomi.com/software/221.html 前面幾節講了菜單、工具欄和狀態欄的使用,本節開始將為大家講解文檔、視圖和框架的知識。

Java學習——迴圈結構for迴圈while迴圈do...while迴圈

一、for迴圈 格式: for(初始化表示式語句;判斷條件語句;控制條件語句){ 迴圈體語句; } 執行流程: a:執行初始化表示式語句 b:執行判斷條件語句,看其返回值是true還是false 如果是true,就繼續執行 如果是false,就結束迴圈 c:執行迴圈體語句; d:執行控制條件

基於註解的Hibernate JPA操作CRUD單表一對多多對多

0.maven引入相關依賴資源 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/200

【小程序】用nginx進行反向代理處理windows

TP 代理 targe 反向 todo nginx安裝 http cnblogs smi 在通過json-server搭建本地服務器得到 http://localhost:3000/todos 的基礎上,要想將接口改為www.test.com/todos這樣的形式 ,

php對前臺提交的表單資料做安全處理防SQL注入XSS攻擊等

/** * 防sql注入字串轉義 * @param $content 要轉義內容 * @return array|string */ public static function escapeString($content) { $pa

OpenCV在字符提取中進行的預處理

的人 lease pos extract .net avg 圖像 rar 識別 OCR簡介熟悉OCR的人都了解,OCR大致分為兩個部分: -文字提取text extractor -文字識別text recognition 其中,第一部分是屬於圖像處理部分,涉及到圖像分割的知

如何對Python的類物件進行序列化處理Object of type 'BookCollection' is not JSON serializable

  Python內建的json模組提供了非常完善的Python物件到JSON格式的轉換。 json.dumps()         將Python中的物件轉換為JSON中的字串物件json.loads()   &

《使用Python進行自然語言處理Nltk》2

import nltk from nltk.corpus import * '''1、古騰堡語料庫''' gutenberg.fileids() #所有古騰堡語料庫中的文字 emma = nltk.corpus.gutenberg.words('austen-e

使用結巴分詞jieba對自然語言進行特徵預處理PythonJava 實現

一、前言 之前使用基於 Python 語言的 Spark 進行機器學習,程式設計起來是十分簡單。 ① 但是演算法部署到雲伺服器上,是一個障礙。 ② 得藉助 Flask/Django 等 Python W

學以致用——Java原始碼——對使用者輸入進行去重處理Duplicate Elimination

發現之前的程式碼與需求有一定出入,所以改寫了一下: 1. 如果使用者輸入不重複的值,顯示該值,否則提示使用者重複輸入,不顯示該值 2. 使用了增強for語句(enhanced for statement)遍歷陣列 3. 僅列印不重複值 上一個版本的程式碼參考: https:/

play framework如何進行模組化開發--學習筆記借鑑同事部落格等資料自己試驗通過!

1.第一步:先建立一個play專案,我建立play專案時,進入的目錄是:..\playframework\samples-and-tests\,然後開始建立工作。 play new  app 2.第二步:建立一個公共模組 play new-module model 建立了

利用Tensorflow進行自然語言處理NLP系列之二高階Word2Vec

一、概述 在上一篇中,我們介紹了Word2Vec即詞向量,對於Word Embeddings即詞嵌入有了些基礎,同時也闡述了Word2Vec演算法的兩個常見模型 :Skip-Gram模型和CBOW模型,本篇會對兩種演算法做出比較分析並給出其擴充套件模型-GloVe模型。

使用OpenCV進行圖片模糊處理中值濾波

本篇部落格主要介紹如何使用OpenCV自帶的中值濾波器來對圖片進行處理,達到模糊圖片的效果。在程式碼中通過使用一個TrackerBar動態改變。具體的還是根據程式碼來進行解釋吧! 先看一下效果圖: 通過效果圖可以很清楚的感受到隨著trackerBar的不

用python進行資料預處理,過濾特殊符號,英文數字。適用於中文分詞

要進行中文分詞,必須要求資料格式全部都是中文,需求過濾掉特殊符號、標點、英文、數字等。當然了使用者可以根據自己的要求過濾自定義字元。 實驗環境:python、mysql 實驗目的:從資料庫讀取資料,

Python進行文字預處理文字分詞,過濾停用詞,詞頻統計,特徵選擇,文字表示

系統:win7 32位 分詞軟體:PyNLPIR 整合開發環境(IDE):Pycharm 功能:實現多級文字預處理全過程,包括文字分詞,過濾停用詞,詞頻統計,特徵選擇,文字表示,並將結果匯出為WEKA能夠處理的.arff格式。 直接上程式碼: #!/usr/bin/

Spring Mvc使用Jackson進行json轉物件時,遇到的字串轉日期的異常處理Can not deserialize value of type Date from String

1、問題排查出現的場景:服務端通過springmvc寫了一個對外的介面,返回一個json字串,其中該json帶有日期,格式為yyyy-MM-dd HH:mm:ss客戶端通過feign呼叫該http介面,指定返回值為一個Dto,Dto中日期的欄位為Date型別客戶端呼叫該介面後