我的个人博客网站管理员密码和用户密码我都打算用md5存储(因为其它存储方式都不太熟悉😁)。但是我听很多人说md5不安全。根据我查到的资料,他们说的不安全指的不是md5可以破解,而是通过枚举的方法能找出简单md5密文的原始原始内容。比如如果你的密码是
123,这个可以通过枚举很快能枚举出来。但是如果我们的密码足够复杂,比如Hello%akbar%,这种,这个枚举出来就很难了,如果我们再用随机产生32位字符串加上密码一起转换成md5密文存储呢,比如,密码:Hello%akbar%,32位盐:bJhCIFgJOfykFyDmjGqDpy2efVgL5guB。
1.md5算法
这是md5工具类是黑马老师给提供的,我不做太多解释,因为看不懂😁
package com.akbar.utils;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
public class Md5Util {
/**
* 默认的密码字符串组合,用来将字节转换成 16 进制表示的字符,apache校验下载的文件的正确性用的就是默认的这个组合
*/
protected static char hexDigits[] = {'0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f'};
protected static MessageDigest messagedigest = null;
static {
try {
messagedigest = MessageDigest.getInstance("MD5");
} catch (NoSuchAlgorithmException nsaex) {
System.err.println(Md5Util.class.getName() + "初始化失败,MessageDigest不支持MD5Util。");
nsaex.printStackTrace();
}
}
/**
* 生成字符串的md5校验值
*
* @param s
* @return
*/
public static String getMD5String(String s) {
return getMD5String(s.getBytes());
}
/**
* 判断字符串的md5校验码是否与一个已知的md5码相匹配
*
* @param password 要校验的字符串
* @param md5PwdStr 已知的md5校验码
* @return
*/
public static boolean checkPassword(String password, String md5PwdStr) {
String s = getMD5String(password);
return s.equals(md5PwdStr);
}
public static String getMD5String(byte[] bytes) {
messagedigest.update(bytes);
return bufferToHex(messagedigest.digest());
}
private static String bufferToHex(byte bytes[]) {
return bufferToHex(bytes, 0, bytes.length);
}
private static String bufferToHex(byte bytes[], int m, int n) {
StringBuffer stringbuffer = new StringBuffer(2 * n);
int k = m + n;
for (int l = m; l < k; l++) {
appendHexPair(bytes[l], stringbuffer);
}
return stringbuffer.toString();
}
private static void appendHexPair(byte bt, StringBuffer stringbuffer) {
char c0 = hexDigits[(bt & 0xf0) >> 4];// 取字节中高 4 位的数字转换, >>>
// 为逻辑右移,将符号位一起右移,此处未发现两种符号有何不同
char c1 = hexDigits[bt & 0xf];// 取字节中低 4 位的数字转换
stringbuffer.append(c0);
stringbuffer.append(c1);
}
}
2.随机生成字符串
package com.akbar.utils;
import java.security.SecureRandom;
public class RandomStringUtil {
// 字符库,包括大小写字母和数字
private static final String CHARACTERS = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789";
private static final SecureRandom RANDOM = new SecureRandom();
public static String generateRandomString() {
StringBuilder sb = new StringBuilder();
for (int i = 0; i < 32; i++) {
sb.append(CHARACTERS.charAt(RANDOM.nextInt(CHARACTERS.length())));
}
return sb.toString();
}
}
这个产生随机字符串的工具类使用了Java给我们提供的SecureRandom工具类。
为什么不用Random类:
Random 使用的是伪随机数生成算法,这种算法是确定性的,意味着如果你知道种子(初始值),你可以预测后续生成的随机数。SecureRandom 则使用加密级别的随机数生成算法,它的随机数难以预测,适合用于生成密钥、验证码等安全性要求较高的场景。
然后把secureRandom对象声明为static final类型。这样做的好处是:
- 避免重复创建对象:
SecureRandom对象的创建可能会相对耗时,因为它需要从操作系统中获取高质量的随机数种子。通过将它声明为静态变量,确保在整个应用程序运行期间只创建一次SecureRandom实例,避免了每次调用generateRandomString方法时都要重新创建对象的开销。 - 保证随机性一致性:使用同一个
SecureRandom实例能够保证在同一运行环境中随机数生成的连续性和一致性。这对于某些使用场景来说非常重要,比如密码生成或安全密钥生成等。
然后生成随机字符用StringBuilder存储,用StringBuilder而不用String的好处:
- 在 Java 中,
String是不可变的,也就是说,一旦创建了一个String对象,它的内容就不能改变。如果你对一个字符串进行多次修改(例如拼接),每次都会创建一个新的String对象,这样会导致不必要的内存消耗和性能开销。 StringBuilder是可变的,这意味着它在修改内容时不会创建新的对象,而是在现有的对象上进行修改,从而大大提高性能,特别是在进行多次字符串拼接时。
3.进项md5密文存储
下面是数据库tb_admin表:
下面是我更新管理员密码的操作:
