在Spring项目中使用Maven和BCrypt来实现修改密码功能

简介

在数字时代,信息安全的重要性不言而喻,尤其当涉及到个人隐私和账户安全时。每天,无数的用户登录各种在线服务,从社交媒体到银行账户,再到电子邮件和云存储服务。这些服务的背后,是复杂的系统架构,其中包含着用户最为敏感的数据------密码。

过去,简单的加密方法和弱密码策略导致了许多严重的数据泄露事件。例如,2013年雅虎(Yahoo)遭遇的大规模数据泄露事件,影响了数十亿的用户账户,部分原因就是由于使用了不够安全的密码存储技术。再如2016年的LinkedIn数据泄露事件,尽管该公司使用了SHA-1散列算法对密码进行了处理,但未加盐的密码散列最终还是被破解,暴露了用户的隐私。

这些事件引发了行业对于密码安全的深刻反思,促使开发者和安全专家寻找更安全的解决方案。BCrypt作为一种适应性强且经过时间考验的密码哈希算法,成为了现代密码安全的基石。它不仅能够有效抵御暴力破解和彩虹表攻击,还能通过增加工作因子来适应未来计算能力的增长。

在本文中,我们将深入探讨如何在Spring项目中利用Maven和BCrypt来实现一个安全的密码修改功能。这不仅仅是关于代码实现的问题,更是一次对密码安全重要性的重申,以及对如何在实际应用中践行这一原则的示范。我们将从环境搭建开始,逐步构建出一个既实用又安全的密码修改流程,确保即使在最恶劣的情况下,用户的密码也能得到妥善保护。

通过本文的学习,你将获得宝贵的实践经验,了解如何在自己的项目中实施类似的解决方案,从而提升应用的安全性,给用户提供更加安心的在线体验。在接下来的内容中,我们将一步步解析实现过程,从添加依赖到编写核心业务逻辑,直至完成完整的功能测试,确保每一步都遵循最佳的安全实践。

**controller(**UserController)

java 复制代码
/**
     * 修改密码
     */
    @PutMapping("/update/pwd/{id}")
    public Result update(@PathVariable("id") long id, @RequestBody ChangePasswordVo changePasswordVo) {
        try{
           userService.changePassword(changePasswordVo,id);
            return Result.success("修改成功!");

        }catch (Exception e){
            // 捕获异常,获取异常信息
            String message = e.getMessage();
            // 如果修改失败,返回失败的结果,并附带异常信息
            return Result.failed(message);
        }
    }
  1. 注解 @PutMapping("/update/pwd/{id}")

    • @PutMapping 是Spring MVC中的一个注解,用于处理HTTP PUT请求。
    • "/update/pwd/{id}" 是该方法的URL路径。其中 {id} 是一个路径变量,用于接收用户ID。
  2. 方法定义 public Result update(...)

    • 这是一个公开的方法,名为update,返回一个Result对象。
    • Result 很可能是一个自定义的响应类,通常用于封装API的响应结果,包括状态码、消息和数据等。
  3. 方法参数

    • @PathVariable("id") long id:这是从URL路径中提取的id变量。@PathVariable 注解告诉Spring MVC从URL中提取名为id的变量值,并将其转换为long类型。
    • @RequestBody ChangePasswordVo changePasswordVo@RequestBody 注解用于将HTTP请求体中的JSON数据转换为ChangePasswordVo类型的对象。ChangePasswordVo 可能是一个包含旧密码和新密码等信息的DTO(数据传输对象)。
  4. 方法体

    • 首先,它尝试调用 userService.changePassword(changePasswordVo,id);。这里假设userService是一个已经注入的服务类,用于处理与用户相关的业务逻辑。changePassword 方法可能会根据提供的用户ID和密码信息来更新用户的密码。
    • 如果上述操作成功,方法将返回一个表示成功的Result对象,并附带消息"修改成功!"。
    • 如果在更新密码的过程中发生异常(如数据库错误、密码验证失败等),catch 块将捕获该异常,并获取其消息。然后,它返回一个表示失败的Result对象,并附带异常的消息。

entity(VO-ChangePasswordVo)

java 复制代码
@Data
public class ChangePasswordVo implements Serializable {

    /**
     * 旧的密码
     */
    private String oldpassword;


    /**
     * 新的密码
     */
    private String newpassword;

}
  1. 注解

    • @Data: 这是一个Lombok库提供的注解。当你添加@Data到类上时,Lombok会自动为这个类生成getter、setter、equals、hashCode和toString方法。这可以大大减少模板代码的数量,使代码更加简洁。
    • implements Serializable: 这表示该类实现了Serializable接口。Serializable是一个标记接口,用于指示一个类的对象可以被序列化。序列化是将对象状态转换为字节流,以便可以将其写入文件或发送到网络上的另一个位置。如果该类或其成员类(如果它们不是基本类型或String数组等)需要被序列化,则必须实现这个接口。
  2. 成员变量

    • private String oldpassword;: 这是一个私有字符串类型的成员变量,用于存储旧的密码。但是,从Java的命名约定来看,变量名应该使用驼峰命名法(camelCase),并且首字母小写。因此,更合适的命名可能是oldPassword
    • private String newpassword;: 同样,这是一个私有字符串类型的成员变量,用于存储新的密码。按照Java的命名约定,它应该被命名为newPassword
  3. 注释

    • 每个成员变量上方都有注释,描述了该变量的用途。这是一个很好的做法,因为它增加了代码的可读性。但是,请注意,这些注释是用中文写的,而在国际项目中,通常建议使用英文注释。

Service


UserService

java 复制代码
void changePassword(ChangePasswordVo changePasswordVo, Long id);
  1. 返回类型 (void) : 方法前面有一个void关键字,表示这个方法没有返回值。也就是说,当你调用这个方法时,它不会返回任何值或对象。

  2. 方法名 (changePassword) : 这是方法的名称,即changePassword。当你想在代码的其他部分调用这个方法时,你会使用这个名字。

  3. 参数:

    • ChangePasswordVo changePasswordVo: 这是方法的第一个参数。

      • ChangePasswordVo: 这是参数的类型。它可能是一个数据传输对象(DTO),用于封装与更改密码相关的数据,如旧密码、新密码等。
      • changePasswordVo: 这是参数的名称。在方法内部,你可以使用这个名称来引用传入的ChangePasswordVo对象。
    • Long id: 这是方法的第二个参数。

      • Long: 这是参数的类型,表示这是一个长整型(64位整数)数据。
      • id: 这是参数的名称。在方法内部,你可以使用这个名称来引用传入的id值。从参数名可以推测,这个id可能表示用户的唯一标识符(如用户ID)。

UserServiceImpl

java 复制代码
 @Override
   public void changePassword(ChangePasswordVo changePasswordVo, Long id){
       // 根据id查询用户信息
       User user = userMapper.selectById(id);
       // 判断原密码是否正确
       if(!BCrypt.checkpw(changePasswordVo.getOldpassword(),user.getPassword())){
           throw new RuntimeException("原密码不正确");
       }
       // 设置新密码
       user.setPassword(BCrypt.hashpw(changePasswordVo.getNewpassword(), BCrypt.gensalt()));
       // 调用Mapper的updateById方法更新用户信息
       userMapper.updateById(user);
   }
  1. @Override : 这是一个Java注解,它告诉编译器这个方法是从超类或接口中继承或实现的。使用@Override注解可以确保你正确地重写了父类或接口中的方法,如果没有正确重写(例如方法签名不匹配),编译器会报错。

  2. public void changePassword(ChangePasswordVo changePasswordVo, Long id): 这是方法的声明部分。

    • public:表示这是一个公共方法,可以从任何其他类中被访问。
    • void:表示该方法没有返回值。
    • changePassword:是方法的名称。
    • ChangePasswordVo changePasswordVoLong id:是方法的参数。ChangePasswordVo可能是一个数据传输对象(DTO),用于封装密码更改请求所需的信息(如旧密码和新密码)。id则是用户的唯一标识符。
  3. User user = userMapper.selectById(id);

    • 使用userMapper(可能是MyBatis的Mapper或类似的ORM工具)的selectById方法根据提供的id从数据库中查询用户信息,并将查询到的用户信息存储在user变量中。
  4. if(!BCrypt.checkpw(changePasswordVo.getOldpassword(),user.getPassword())){

    • 使用BCrypt库(一个流行的密码哈希库)的checkpw方法检查用户提供的旧密码(从changePasswordVo中获取)是否与数据库中存储的哈希密码(从查询到的user对象中获取)匹配。
    • 如果不匹配(!BCrypt.checkpw(...)返回true),则执行下面的throw语句。
  5. throw new RuntimeException("原密码不正确");

    • 如果旧密码不正确,则抛出一个RuntimeException,并带有消息"原密码不正确"。调用此方法的代码应该捕获此异常并适当地处理它(例如,向用户显示错误消息)。
  6. user.setPassword(BCrypt.hashpw(changePasswordVo.getNewpassword(), BCrypt.gensalt()));

    • 如果旧密码正确,则使用BCrypt库的gensalt方法生成一个新的随机盐值。
    • 使用这个新盐值和用户提供的新密码(从changePasswordVo中获取)作为参数,调用BCrypthashpw方法生成新的哈希密码。
    • 将这个新的哈希密码设置到user对象的password字段中。
  7. userMapper.updateById(user);

    • 使用userMapperupdateById方法更新数据库中对应id的用户的密码信息。这里假设userMapperupdateById方法会处理将user对象中的更改保存到数据库中的逻辑。

测试

先新增一条数据

密码:111

进行修改密码;

id为你新增后的id号

输入字段为我之前定义的字段oldpassword与newpassword

可以看到密码已经被修改

相关推荐
腥臭腐朽的日子熠熠生辉22 分钟前
解决maven失效问题(现象:maven中只有jdk的工具包,没有springboot的包)
java·spring boot·maven
ejinxian24 分钟前
Spring AI Alibaba 快速开发生成式 Java AI 应用
java·人工智能·spring
杉之29 分钟前
SpringBlade 数据库字段的自动填充
java·笔记·学习·spring·tomcat
圈圈编码1 小时前
Spring Task 定时任务
java·前端·spring
俏布斯1 小时前
算法日常记录
java·算法·leetcode
27669582921 小时前
美团民宿 mtgsig 小程序 mtgsig1.2 分析
java·python·小程序·美团·mtgsig·mtgsig1.2·美团民宿
爱的叹息1 小时前
Java 连接 Redis 的驱动(Jedis、Lettuce、Redisson、Spring Data Redis)分类及对比
java·redis·spring
程序猿chen1 小时前
《JVM考古现场(十五):熵火燎原——从量子递归到热寂晶壁的代码涅槃》
java·jvm·git·后端·java-ee·区块链·量子计算
松韬2 小时前
Spring + Redisson:从 0 到 1 搭建高可用分布式缓存系统
java·redis·分布式·spring·缓存
绝顶少年2 小时前
Spring Boot 注解:深度解析与应用场景
java·spring boot·后端