在Spring项目中使用Maven和BCrypt来实现修改密码功能

简介 

在数字时代,信息安全的重要性不言而喻,尤其当涉及到个人隐私和账户安全时。每天,无数的用户登录各种在线服务,从社交媒体到银行账户,再到电子邮件和云存储服务。这些服务的背后,是复杂的系统架构,其中包含着用户最为敏感的数据——密码。

过去,简单的加密方法和弱密码策略导致了许多严重的数据泄露事件。例如,2013年雅虎(Yahoo)遭遇的大规模数据泄露事件,影响了数十亿的用户账户,部分原因就是由于使用了不够安全的密码存储技术。再如2016年的LinkedIn数据泄露事件,尽管该公司使用了SHA-1散列算法对密码进行了处理,但未加盐的密码散列最终还是被破解,暴露了用户的隐私。

这些事件引发了行业对于密码安全的深刻反思,促使开发者和安全专家寻找更安全的解决方案。BCrypt作为一种适应性强且经过时间考验的密码哈希算法,成为了现代密码安全的基石。它不仅能够有效抵御暴力破解和彩虹表攻击,还能通过增加工作因子来适应未来计算能力的增长。

在本文中,我们将深入探讨如何在Spring项目中利用Maven和BCrypt来实现一个安全的密码修改功能。这不仅仅是关于代码实现的问题,更是一次对密码安全重要性的重申,以及对如何在实际应用中践行这一原则的示范。我们将从环境搭建开始,逐步构建出一个既实用又安全的密码修改流程,确保即使在最恶劣的情况下,用户的密码也能得到妥善保护。

通过本文的学习,你将获得宝贵的实践经验,了解如何在自己的项目中实施类似的解决方案,从而提升应用的安全性,给用户提供更加安心的在线体验。在接下来的内容中,我们将一步步解析实现过程,从添加依赖到编写核心业务逻辑,直至完成完整的功能测试,确保每一步都遵循最佳的安全实践。

controller(UserController)

/*** 修改密码*/@PutMapping("/update/pwd/{id}")public Result update(@PathVariable("id") long id, @RequestBody ChangePasswordVo changePasswordVo) {try{userService.changePassword(changePasswordVo,id);return Result.success("修改成功!");}catch (Exception e){// 捕获异常,获取异常信息String message = e.getMessage();// 如果修改失败,返回失败的结果,并附带异常信息return Result.failed(message);}}

  1. 注解 @PutMapping("/update/pwd/{id}")

    • @PutMapping 是Spring MVC中的一个注解,用于处理HTTP PUT请求。
    • "/update/pwd/{id}" 是该方法的URL路径。其中 {id} 是一个路径变量,用于接收用户ID。
  2. 方法定义 public Result update(...)

    • 这是一个公开的方法,名为update,返回一个Result对象。
    • Result 很可能是一个自定义的响应类,通常用于封装API的响应结果,包括状态码、消息和数据等。
  3. 方法参数

    • @PathVariable("id") long id:这是从URL路径中提取的id变量。@PathVariable 注解告诉Spring MVC从URL中提取名为id的变量值,并将其转换为long类型。
    • @RequestBody ChangePasswordVo changePasswordVo@RequestBody 注解用于将HTTP请求体中的JSON数据转换为ChangePasswordVo类型的对象。ChangePasswordVo 可能是一个包含旧密码和新密码等信息的DTO(数据传输对象)。
  4. 方法体

    • 首先,它尝试调用 userService.changePassword(changePasswordVo,id);。这里假设userService是一个已经注入的服务类,用于处理与用户相关的业务逻辑。changePassword 方法可能会根据提供的用户ID和密码信息来更新用户的密码。
    • 如果上述操作成功,方法将返回一个表示成功的Result对象,并附带消息“修改成功!”。
    • 如果在更新密码的过程中发生异常(如数据库错误、密码验证失败等),catch 块将捕获该异常,并获取其消息。然后,它返回一个表示失败的Result对象,并附带异常的消息。


entity(VO-ChangePasswordVo)

@Data
public class ChangePasswordVo implements Serializable {/*** 旧的密码*/private String oldpassword;/*** 新的密码*/private String newpassword;}
  1. 注解

    • @Data: 这是一个Lombok库提供的注解。当你添加@Data到类上时,Lombok会自动为这个类生成getter、setter、equals、hashCode和toString方法。这可以大大减少模板代码的数量,使代码更加简洁。
    • implements Serializable: 这表示该类实现了Serializable接口。Serializable是一个标记接口,用于指示一个类的对象可以被序列化。序列化是将对象状态转换为字节流,以便可以将其写入文件或发送到网络上的另一个位置。如果该类或其成员类(如果它们不是基本类型或String数组等)需要被序列化,则必须实现这个接口。
  2. 成员变量

    • private String oldpassword;: 这是一个私有字符串类型的成员变量,用于存储旧的密码。但是,从Java的命名约定来看,变量名应该使用驼峰命名法(camelCase),并且首字母小写。因此,更合适的命名可能是oldPassword
    • private String newpassword;: 同样,这是一个私有字符串类型的成员变量,用于存储新的密码。按照Java的命名约定,它应该被命名为newPassword
  3. 注释

    • 每个成员变量上方都有注释,描述了该变量的用途。这是一个很好的做法,因为它增加了代码的可读性。但是,请注意,这些注释是用中文写的,而在国际项目中,通常建议使用英文注释。

Service


UserService

void changePassword(ChangePasswordVo changePasswordVo, Long id);
  1. 返回类型 (void): 方法前面有一个void关键字,表示这个方法没有返回值。也就是说,当你调用这个方法时,它不会返回任何值或对象。

  2. 方法名 (changePassword): 这是方法的名称,即changePassword。当你想在代码的其他部分调用这个方法时,你会使用这个名字。

  3. 参数:

    • ChangePasswordVo changePasswordVo: 这是方法的第一个参数。

      • ChangePasswordVo: 这是参数的类型。它可能是一个数据传输对象(DTO),用于封装与更改密码相关的数据,如旧密码、新密码等。
      • changePasswordVo: 这是参数的名称。在方法内部,你可以使用这个名称来引用传入的ChangePasswordVo对象。
    • Long id: 这是方法的第二个参数。

      • Long: 这是参数的类型,表示这是一个长整型(64位整数)数据。
      • id: 这是参数的名称。在方法内部,你可以使用这个名称来引用传入的id值。从参数名可以推测,这个id可能表示用户的唯一标识符(如用户ID)。

UserServiceImpl

 @Overridepublic void changePassword(ChangePasswordVo changePasswordVo, Long id){// 根据id查询用户信息User user = userMapper.selectById(id);// 判断原密码是否正确if(!BCrypt.checkpw(changePasswordVo.getOldpassword(),user.getPassword())){throw new RuntimeException("原密码不正确");}// 设置新密码user.setPassword(BCrypt.hashpw(changePasswordVo.getNewpassword(), BCrypt.gensalt()));// 调用Mapper的updateById方法更新用户信息userMapper.updateById(user);}
  1. @Override: 这是一个Java注解,它告诉编译器这个方法是从超类或接口中继承或实现的。使用@Override注解可以确保你正确地重写了父类或接口中的方法,如果没有正确重写(例如方法签名不匹配),编译器会报错。

  2. public void changePassword(ChangePasswordVo changePasswordVo, Long id): 这是方法的声明部分。

    • public:表示这是一个公共方法,可以从任何其他类中被访问。
    • void:表示该方法没有返回值。
    • changePassword:是方法的名称。
    • ChangePasswordVo changePasswordVo 和 Long id:是方法的参数。ChangePasswordVo可能是一个数据传输对象(DTO),用于封装密码更改请求所需的信息(如旧密码和新密码)。id则是用户的唯一标识符。
  3. User user = userMapper.selectById(id);

    • 使用userMapper(可能是MyBatis的Mapper或类似的ORM工具)的selectById方法根据提供的id从数据库中查询用户信息,并将查询到的用户信息存储在user变量中。
  4. if(!BCrypt.checkpw(changePasswordVo.getOldpassword(),user.getPassword())){

    • 使用BCrypt库(一个流行的密码哈希库)的checkpw方法检查用户提供的旧密码(从changePasswordVo中获取)是否与数据库中存储的哈希密码(从查询到的user对象中获取)匹配。
    • 如果不匹配(!BCrypt.checkpw(...)返回true),则执行下面的throw语句。
  5. throw new RuntimeException("原密码不正确");

    • 如果旧密码不正确,则抛出一个RuntimeException,并带有消息“原密码不正确”。调用此方法的代码应该捕获此异常并适当地处理它(例如,向用户显示错误消息)。
  6. user.setPassword(BCrypt.hashpw(changePasswordVo.getNewpassword(), BCrypt.gensalt()));

    • 如果旧密码正确,则使用BCrypt库的gensalt方法生成一个新的随机盐值。
    • 使用这个新盐值和用户提供的新密码(从changePasswordVo中获取)作为参数,调用BCrypthashpw方法生成新的哈希密码。
    • 将这个新的哈希密码设置到user对象的password字段中。
  7. userMapper.updateById(user);

    • 使用userMapperupdateById方法更新数据库中对应id的用户的密码信息。这里假设userMapperupdateById方法会处理将user对象中的更改保存到数据库中的逻辑。

 


测试

先新增一条数据

密码:111

进行修改密码;

id为你新增后的id号

输入字段为我之前定义的字段oldpassword与newpassword

可以看到密码已经被修改

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/51196.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【BUG】已解决:No Python at ‘C:Users…Python Python39python. exe’

No Python at ‘C:Users…Python Python39python. exe’ 目录 No Python at ‘C:Users…Python Python39python. exe’ 【常见模块错误】 【解决方案】 欢迎来到英杰社区https://bbs.csdn.net/topics/617804998 欢迎来到我的主页,我是博主英杰,211科班…

【linux服务器】大语言模型实战教程:LLMS大模型快速部署到个人服务器

🎬 鸽芷咕:个人主页 🔥 个人专栏: 《C干货基地》《粉丝福利》 ⛺️生活的理想,就是为了理想的生活! 引言 说到大语言模型相信大家都不会陌生,大型语言模型(LLMs)是人工智能文本处理的主要类型,也现在最流行的人工智能…

【数据结构】线性表与顺序表

🚩 WRITE IN FRONT 🚩 🔎 介绍:"謓泽"正在路上朝着"攻城狮"方向"前进四" 🔎🏅 荣誉:2021|2022年度博客之星物联网与嵌入式开发TOP5|TOP4、2021|2222年获评…

【算法】分布式共识Paxos

一、引言 在分布式系统中,一致性是至关重要的一个问题。Paxos算法是由莱斯利兰伯特(Leslie Lamport)在1990年提出的一种解决分布式系统中一致性问题的算法。 二、算法原理 Paxos算法的目标是让一个分布式系统中的多个节点就某个值达成一致。算…

【Django】前端技术-网页样式表CSS

文章目录 一、申明规则CSS的导入方式行内样式内部样式外部样式 二、CSS的选择器1. 基本选择器标签选择器: 选择一类标签 标签{}类选择器 class: 选择所有class属性一致的表情,跨标签.类名{}ID选择器:全局唯一 #id名{} 2.层次选择器…

束搜索(与贪心、穷举对比)

一、贪心搜索 1、基于贪心搜索从Y中找到具有最高条件概率的词元,但贪心可能不是最优解 2、比如 (1)贪心:.5*.4*.2*.1.0024 (2)另外:.5*.3*.6*.6.0054 二、穷举搜索 (1&#xff0…

Transformer中的Multi-head Attention机制解析——从单一到多元的关注效益最大化

Transformer中的Multi-head Attention机制解析——从单一到多元的关注效益最大化 Multi-head Attention的核心作用 组件/步骤描述多头注意力机制(Multi-head Attention)Transformer模型中的关键组件,用于处理序列数据功能允许模型同时关注到…

数据库 执行sql添加删除字段

添加字段: ALTER TABLE 表明 ADD COLUMN 字段名 类型 DEFAULT NULL COMMENT 注释 AFTER 哪个字段后面; 效果: 删除字段: ALTER TABLE 表明 DROP COLUMN 字段;

科普文:分布式架构中的三高:高并发、高性能、高可用

关于高并发 高并发场景 互联网应用以及云计算的普及,使得架构设计和软件技术的关注点从如何实现复杂的业务逻 辑,转变为如何满足大量用户的高并发访问请求。 一个简单的计算处理过程,如果一旦面对大量的用户访问,整个技术挑战就…

人工智能类——计算机科学与技术

计算机科学与技术是一个非常大的门类。目前计算机科学与技术类招生的专业主要有计算机科学与技术、软件工程、网络工程、信息安全、物联网工程等,后面的几个专业是计算机科学与技术的重要分支,而这个门类的其他分支并没有单列出来一个本科专业&#xff0…

leetcode热题系列章节11

378. 有序矩阵中第K小的元素 给定一个 n x n 矩阵,其中每行和每列元素均按升序排序,找到矩阵中第k小的元素。 请注意,它是排序后的第k小元素,而不是第k个元素。 示例: matrix [ [ 1, 5, 9], [10, 11, 13], [12, 13, 15] ], k …

【数据结构】顺序表(c语言实现)(附源码)

​ 🌟🌟作者主页:ephemerals__ 🌟🌟所属专栏:数据结构 目录 前言 1.顺序表的概念与结构 2.顺序表的分类 3.顺序表的实现 3.1 结构定义及方法的声明 3.2 方法的实现 3.2.1 初始化 3.2.2 销毁 3.2…

Nvidia GPU驱动安装报错显卡与驱动不兼容(本身兼容)

最近在公司服务器上遇到了一个特别离谱的问题,就是在本身在nividia官网上面下载的匹配的显卡驱动,安装之后采用下面命令查看驱动显示: $ nvidia-smiNVIDIA-SMI has failed because it couldnt communicate with the NVIDIA driver. Make su…

web服务器搭建练习

练习要求: 搭建一个web服务器,客户端通过www.haha.com访问该网站时能够看到内容:this is haha 完成过程: 1. 创建新ip,重启ens [rootlocalhost ~]# nmtui [rootlocalhost ~]# nmcli connection up ens1602.创建目录&#xff0…

Java面试八股之Spring boot的自动配置原理

Spring boot的自动配置原理 Spring Boot 的自动配置原理是其最吸引人的特性之一,它大大简化了基于 Spring 框架的应用程序开发。以下是 Spring Boot 自动配置的基本原理和工作流程: 1. 启动类上的注解 Spring Boot 应用通常会在主类上使用 SpringBoot…

微信支付v3

查看证书序列号 引用&#xff1a;https://wechatpay-api.gitbook.io/wechatpay-api-v3/chang-jian-wen-ti/zheng-shu-xiang-guan https://myssl.com/cert_decode.html # 查看证书序列号openssl x509 -in apiclient_cert.pem -noout -serial 微信支付java <dependency>…

sql-libs通关详解

1-4关 1.第一关 我们输入?id1 看回显&#xff0c;通过回显来判断是否存在注入&#xff0c;以及用什么方式进行注入&#xff0c;直接上图 可以根据结果指定是字符型且存在sql注入漏洞。因为该页面存在回显&#xff0c;所以我们可以使用联合查询。联合查询原理简单说一下&…

中间层 k8s(Kubernetes) 到底是什么,架构是怎么样的?

你是一个程序员&#xff0c;你用代码写了一个博客应用服务&#xff0c;并将它部署在了云平台上。 但应用服务太过受欢迎&#xff0c;访问量太大&#xff0c;经常会挂。 所以你用了一些工具自动重启挂掉的应用服务&#xff0c;并且将应用服务部署在了好几个服务器上&#xff0c;…

自动驾驶-机器人-slam-定位面经和面试知识系列06之C++STL面试题(02)

这个博客系列会分为C STL-面经、常考公式推导和SLAM面经面试题等三个系列进行更新&#xff0c;基本涵盖了自己秋招历程被问过的面试内容&#xff08;除了实习和学校项目相关的具体细节&#xff09;。在知乎和牛客&#xff08;某些文章上会附上内推码&#xff09;也会同步更新&a…

达梦数据库激活

SSH登录 192.168.0.148 账号&#xff1a;root 密码&#xff1a;xxx 1.上传 dm.key 文件到安装目录 /bin 目录下 cd /home/dmdba/dmdbms/bin rz -E dm.key2.修改 dm.key 文件权限 chown -R dmdba.dinstall dm.key3.打开数据库工具&#xff0c;新建查询&#xff0c;输入 cd /…