Spring项目使用Maven和BCrypt实现修改密码功能方式
作者:涤生272
简介
在数字时代,信息安全的重要性不言而喻,尤其当涉及到个人隐私和账户安全时。每天,无数的用户登录各种在线服务,从社交媒体到银行账户,再到电子邮件和云存储服务。这些服务的背后,是复杂的系统架构,其中包含着用户最为敏感的数据——密码。
过去,简单的加密方法和弱密码策略导致了许多严重的数据泄露事件。例如,2013年雅虎(Yahoo)遭遇的大规模数据泄露事件,影响了数十亿的用户账户,部分原因就是由于使用了不够安全的密码存储技术。再如2016年的LinkedIn数据泄露事件,尽管该公司使用了SHA-1散列算法对密码进行了处理,但未加盐的密码散列最终还是被破解,暴露了用户的隐私。
这些事件引发了行业对于密码安全的深刻反思,促使开发者和安全专家寻找更安全的解决方案。BCrypt作为一种适应性强且经过时间考验的密码哈希算法,成为了现代密码安全的基石。它不仅能够有效抵御暴力破解和彩虹表攻击,还能通过增加工作因子来适应未来计算能力的增长。
在本文中,我们将深入探讨如何在Spring项目中利用Maven和BCrypt来实现一个安全的密码修改功能。这不仅仅是关于代码实现的问题,更是一次对密码安全重要性的重申,以及对如何在实际应用中践行这一原则的示范。我们将从环境搭建开始,逐步构建出一个既实用又安全的密码修改流程,确保即使在最恶劣的情况下,用户的密码也能得到妥善保护。
通过本文的学习,你将获得宝贵的实践经验,了解如何在自己的项目中实施类似的解决方案,从而提升应用的安全性,给用户提供更加安心的在线体验。在接下来的内容中,我们将一步步解析实现过程,从添加依赖到编写核心业务逻辑,直至完成完整的功能测试,确保每一步都遵循最佳的安全实践。
controller(UserController)
/** * 修改密码 */ @PutMapping("/update/pwd/{id}") public Result update(@PathVariable("id") long id, @RequestBody ChangePasswordVo changePasswordVo) { try{ userService.changePassword(changePasswordVo,id); return Result.success("修改成功!"); }catch (Exception e){ // 捕获异常,获取异常信息 String message = e.getMessage(); // 如果修改失败,返回失败的结果,并附带异常信息 return Result.failed(message); } }
1.注解 @PutMapping("/update/pwd/{id}")
@PutMapping
是Spring MVC中的一个注解,用于处理HTTP PUT请求。"/update/pwd/{id}"
是该方法的URL路径。其中{id}
是一个路径变量,用于接收用户ID。
2.方法定义 public Result update(...)
- 这是一个公开的方法,名为
update
,返回一个Result
对象。 Result
很可能是一个自定义的响应类,通常用于封装API的响应结果,包括状态码、消息和数据等。
3.方法参数
@PathVariable("id") long id
:这是从URL路径中提取的id
变量。@PathVariable
注解告诉Spring MVC从URL中提取名为id
的变量值,并将其转换为long
类型。@RequestBody ChangePasswordVo changePasswordVo
:@RequestBody
注解用于将HTTP请求体中的JSON数据转换为ChangePasswordVo
类型的对象。ChangePasswordVo
可能是一个包含旧密码和新密码等信息的DTO(数据传输对象)。
4.方法体
- 首先,它尝试调用
userService.changePassword(changePasswordVo,id);
。这里假设userService
是一个已经注入的服务类,用于处理与用户相关的业务逻辑。changePassword
方法可能会根据提供的用户ID和密码信息来更新用户的密码。 - 如果上述操作成功,方法将返回一个表示成功的
Result
对象,并附带消息“修改成功!”。
如果在更新密码的过程中发生异常(如数据库错误、密码验证失败等),catch
块将捕获该异常,并获取其消息。然后,它返回一个表示失败的Result
对象,并附带异常的消息。
entity(VO-ChangePasswordVo)
@Data public class ChangePasswordVo implements Serializable { /** * 旧的密码 */ private String oldpassword; /** * 新的密码 */ private String newpassword; }
1.注解
@Data
: 这是一个Lombok库提供的注解。当你添加@Data
到类上时,Lombok会自动为这个类生成getter、setter、equals、hashCode和toString方法。这可以大大减少模板代码的数量,使代码更加简洁。implements Serializable
: 这表示该类实现了Serializable
接口。Serializable
是一个标记接口,用于指示一个类的对象可以被序列化。序列化是将对象状态转换为字节流,以便可以将其写入文件或发送到网络上的另一个位置。如果该类或其成员类(如果它们不是基本类型或String
、数组
等)需要被序列化,则必须实现这个接口。
2.成员变量
private String oldpassword;
: 这是一个私有字符串类型的成员变量,用于存储旧的密码。但是,从Java的命名约定来看,变量名应该使用驼峰命名法(camelCase),并且首字母小写。因此,更合适的命名可能是oldPassword
。private String newpassword;
: 同样,这是一个私有字符串类型的成员变量,用于存储新的密码。按照Java的命名约定,它应该被命名为newPassword
。
3.注释
- 每个成员变量上方都有注释,描述了该变量的用途。
- 这是一个很好的做法,因为它增加了代码的可读性。
- 但是,请注意,这些注释是用中文写的,而在国际项目中,通常建议使用英文注释。
Service
UserService
void changePassword(ChangePasswordVo changePasswordVo, Long id);
1.返回类型 (void
): 方法前面有一个void
关键字,表示这个方法没有返回值。也就是说,当你调用这个方法时,它不会返回任何值或对象。
2.方法名 (changePassword
): 这是方法的名称,即changePassword
。当你想在代码的其他部分调用这个方法时,你会使用这个名字。
参数:
ChangePasswordVo changePasswordVo
: 这是方法的第一个参数。
ChangePasswordVo
: 这是参数的类型。它可能是一个数据传输对象(DTO),用于封装与更改密码相关的数据,如旧密码、新密码等。changePasswordVo
: 这是参数的名称。在方法内部,你可以使用这个名称来引用传入的ChangePasswordVo
对象。
Long id
: 这是方法的第二个参数。
Long
: 这是参数的类型,表示这是一个长整型(64位整数)数据。id
: 这是参数的名称。在方法内部,你可以使用这个名称来引用传入的id
值。从参数名可以推测,这个id
可能表示用户的唯一标识符(如用户ID)。
UserServiceImpl
@Override public void changePassword(ChangePasswordVo changePasswordVo, Long id){ // 根据id查询用户信息 User user = userMapper.selectById(id); // 判断原密码是否正确 if(!BCrypt.checkpw(changePasswordVo.getOldpassword(),user.getPassword())){ throw new RuntimeException("原密码不正确"); } // 设置新密码 user.setPassword(BCrypt.hashpw(changePasswordVo.getNewpassword(), BCrypt.gensalt())); // 调用Mapper的updateById方法更新用户信息 userMapper.updateById(user); }
1.@Override:
- 这是一个Java注解,它告诉编译器这个方法是从超类或接口中继承或实现的。
- 使用
@Override
注解可以确保你正确地重写了父类或接口中的方法,如果没有正确重写(例如方法签名不匹配),编译器会报错。
2.public void changePassword(ChangePasswordVo changePasswordVo, Long id): 这是方法的声明部分。
public
:表示这是一个公共方法,可以从任何其他类中被访问。void
:表示该方法没有返回值。changePassword
:是方法的名称。ChangePasswordVo changePasswordVo
和Long id
:是方法的参数。ChangePasswordVo
可能是一个数据传输对象(DTO),用于封装密码更改请求所需的信息(如旧密码和新密码)。id
则是用户的唯一标识符。
3.User user = userMapper.selectById(id);:
- 使用
userMapper
(可能是MyBatis的Mapper或类似的ORM工具)的selectById
方法根据提供的id
从数据库中查询用户信息,并将查询到的用户信息存储在user
变量中。
4.if(!BCrypt.checkpw(changePasswordVo.getOldpassword(),user.getPassword())){:
- 使用
BCrypt
库(一个流行的密码哈希库)的checkpw
方法检查用户提供的旧密码(从changePasswordVo
中获取)是否与数据库中存储的哈希密码(从查询到的user
对象中获取)匹配。 - 如果不匹配(
!BCrypt.checkpw(...)
返回true
),则执行下面的throw
语句。
5.throw new RuntimeException("原密码不正确");:
- 如果旧密码不正确,则抛出一个
RuntimeException
,并带有消息“原密码不正确”。调用此方法的代码应该捕获此异常并适当地处理它(例如,向用户显示错误消息)。
6.user.setPassword(BCrypt.hashpw(changePasswordVo.getNewpassword(), BCrypt.gensalt()));:
- 如果旧密码正确,则使用
BCrypt
库的gensalt
方法生成一个新的随机盐值。 - 使用这个新盐值和用户提供的新密码(从
changePasswordVo
中获取)作为参数,调用BCrypt
的hashpw
方法生成新的哈希密码。 - 将这个新的哈希密码设置到
user
对象的password
字段中。
7.userMapper.updateById(user);:
- 使用
userMapper
的updateById
方法更新数据库中对应id
的用户的密码信息。 - 这里假设
userMapper
的updateById
方法会处理将user
对象中的更改保存到数据库中的逻辑。
测试
先新增一条数据
密码:111
进行修改密码;
id为你新增后的id号
输入字段为我之前定义的字段oldpassword与newpassword
可以看到密码已经被修改
总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。
您可能感兴趣的文章:
- 解决Spring security5.5.7报错Encoded password does not look like BCrypt异常
- 使用spring security BCryptPasswordEncoder接入系统
- 如何在spring boot项目中使用Spring Security的BCryptPasswordEncoder类进行相同密码不同密文的加密和验证
- 一文掌握SpringSecurity BCrypt密码加密和解密
- Springboot基于BCrypt非对称加密字符串的实现
- SpringBoot整合BCrypt实现密码加密
- Spring security BCryptPasswordEncoder密码验证原理详解