使用MD5加密的登陆demo

最近接手了之前的一个项目,在看里面登陆模块的时候,遇到了一堆问题。现在记录下来。

这个登陆模块的逻辑是这样的

1 首先在登陆之前,调用后台的UserLoginAction类的getRandomKey方法产生一个随机字符串。

2 在前台获得用户名的登陆密码后,首先是要md5对其加密,之后把加密的结果与之前的随机字符串合并,使用md5再次加密,并把最后的结果作为用户的密码传给后台。

3 后台获得前台的用户名后(用户名全局唯一),先找出这个用户的密码(数据库里的真实密码),先用md5加密,再与第一步产生的随机字符串合并,之后使用md5二次加密

4 比照第三步产生的密码与从前台获得的密码。如果相等,说明登陆成功。

OK,我们看代码

起始页面:

//index.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
    <%@ taglib prefix="s" uri="/struts-tags"%>
    <s:action name="index" namespace="/" executeResult="true" var="rd"/>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>

</body>
</html>

index.jsp里面只有一个action请求。

看看struts.xml的配置情况

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE struts PUBLIC
    "-//Apache Software Foundation//DTD Struts Configuration 2.0//EN"
    "http://struts.apache.org/dtds/struts-2.0.dtd">

<struts>
    <package name="core" namespace="/" extends="struts-default">

             <action name="index" class="userLoginAction"     method="getRandomKey">
                 <result name="success">login.jsp</result>
        </action>

        <action name="login" class="userLoginAction" method="login">
            <result name="success">main.jsp</result>
            <result name="input">login.jsp</result>
            <result name="error">login.jsp</result>
        </action>
    </package>
</struts>

我引入了Spirng来管理类。

看看UserLoginAction

注意要加上prototype

/**
 * @author dell
 *
 */
@Component
@Scope("prototype")
public class UserLoginAction extends BaseAction{

    /**
     * 接收JSP传来的账号与密码
     */
    private Users user;

    /**
     * 随机字符串作为加密密钥
     */
    private String randomString;

    /**
     * 生成随机字符串作为密钥
     */
    public String getRandomKey() {

        String base = "abcdefghijklmnopqrstuvwxyz0123456789";
        Random random = new Random();
        StringBuffer sb = new StringBuffer();
        int length = 6;
        for (int i = 0; i < length; i++) {
            int number = random.nextInt(base.length());
            sb.append(base.charAt(number));
        }
    //    logger.info("randomString: " + sb.toString());
        this.randomString = sb.toString();
        return SUCCESS;
    }
}

我们再看看返回的login.jsp

这个文件引入了MD5.js。

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<%@ taglib prefix="s" uri="/struts-tags"%>

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
    <title>短波应急接入网管理系统</title>
        <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
        <meta http-equiv="pragma" content="no-cache" />
        <meta http-equiv="cache-control" content="no-cache" />
        <meta http-equiv="expires" content="0" />
        <meta http-equiv="keywords" content="keyword1,keyword2,keyword3" />

        <link rel="shortcut icon" href="logo.ico" type="image/x-icon" />
        <link rel="stylesheet" type="text/css" href="css/common.css">

        <script type="text/javascript" src="easyui/jquery.min.js"></script>
        <script type="text/javascript" src="easyui/jquery.easyui.min.js"></script>

        <script type="text/javascript" src="js/md5.js"></script>

</head>
<body onload="document.getElementById('loginName').focus()">
<div id="page">
    <div class="t">
                    <center>
                        <span class="flderr">
                             <s:fielderror>
                                <s:param>error_msg</s:param>
                             </s:fielderror> </span>
                    </center>
    </div>
     <form action="login" id="login" method="post" class="ym_login_form" >
        <div class="ymlf_row">
            <span>用户编号:</span>
            <input type="text" id="loginName" name="user.userName" class="ymlf_name" />
        </div>
        <div class="ymlf_row">
            <span>用户密码:</span>

            <input type="password" id="loginPassword" name="user.passWord" class="ymlf_password" />
            <input type="hidden" id="randomString"  name="randomString" value=<s:property value="randomString"/> />
        //为什么要加上randomString?自己想一想
        </div>
        <div class="ymlf_btn_box">
            <img src="images/bt1.png" class="sub"  onclick="mysubmit()" />
             
            <img src="images/bt2.png" class="res"  onclick="myreset()"  />
        </div>

    </form>
</div>
</body>

        <script type="text/javascript">
        function myreset(){
             $('#login').form('clear');
        }
        function mysubmit(){
             var frm = document.getElementById("login");

            if(check(frm)==true)
            frm.submit();
        }
        function check(frm) {
            var lgnName = frm.loginName.value;
            var lgnPassword = frm.loginPassword.value;
            if(lgnName=='') {
                $('.flderr').html("请输入用户名");
                frm.loginName.focus();
                return false;
            }
            if(lgnPassword=='') {
                $('.flderr').html("请输入密码");
                frm.loginPassword.focus();
                return false;
            }

            var randomString = '<s:property value="randomString" />';
            lgnPassword = hex_md5(lgnPassword);
            lgnPassword = lgnPassword+randomString;
            lgnPassword = hex_md5(lgnPassword);
            $('#login').form('load',{
                'user.passWord':lgnPassword
            });

            return true;
        }

        document.onkeypress   =
            function(event) {
                var e = event||window.event;
                var ele = e.target||e.srcElement;
                var k = e.which||e.keyCode;
                if(k == 13 && ele.id == 'loginPassword')
                    mysubmit();
        }
</script>
</html>

提交的结果给了login那个aciton,最后调用的是UserLoginAction的login方法

         /**
     * 用户登录处理
     *
     * @return "center_login" or "dept_login" or ERROR
     */
    @SuppressWarnings("unchecked")
    public String login() {

        if (user == null || user.getUserName() == null
                || user.getPassWord() == null) {
            return ERROR;
        }

        // 从客户端传来的加密后的密码
        byte[] clientPassword = user.getPassWord().trim().getBytes();

        //逻辑就是这样 我自己写的dao就不给大家看了
        //根据前台传过来的用户名从数据库取得用户
                List<Users> resultList = (List<Users>) utilDAO.findListByProperty("Users", "userName",user.getUserName() ,"");

        if (resultList.isEmpty()) { // 该账号不存在
            this.addFieldError("error_msg", "该账号不存在");
             logger.info("该账号不存在!!");
            return ERROR;
        } else {
            user = resultList.get(0);

            // 对用户真实的密码作同样的加密处理

            String passwd = (String) user.getPassWord();
            System.out.println("passwd  真实的:"+passwd);
            MessageDigest md5 = null;
            byte[] serverPassword = null;
            try {
                md5 = MessageDigest.getInstance("MD5");
                md5.update(passwd.getBytes());
                passwd = new BigInteger(1, md5.digest()).toString(16);
                //md5(890617)后的之为09aaa5d27d99ad09a129a0734d52519b
                //字符串以0开头,用BigInteger会把开头的0截去,导致位数减少,所以需要判断并补0
                if (passwd.length() < 32) {
                    for (int i = 0; i <32- passwd.length(); i++) {
                        passwd = '0' + passwd;
                    }
                }
                passwd = passwd + this.randomString;            //从前台通过s:hidden传来的randomString
                System.out.println(randomString+"   aaaa"+"  "+this);
                md5.update(passwd.getBytes());
                serverPassword = (new BigInteger(1, md5.digest()).toString(16))
                        .getBytes();

            } catch (NoSuchAlgorithmException e) {
                e.printStackTrace();
            }

            if (!MessageDigest.isEqual(clientPassword, serverPassword)) {
                this.addFieldError("error_msg", "用户名或密码错误");
                logger.info("用户名或密码错误");
                return ERROR;
            }
            this.getSession().put("user", user);
            logger.info("登陆成功");
            getLevel();
            return SUCCESS;
        }
    }

在改写这个功能的时候,遇到很多问题。对就这么一个小小的登陆,实在是没有想到会碰到那么多问题。

问题1

<s:action name="index" namespace="/" executeResult="true" var="rd"/> 这是让后台产生随机字符串的action调用。

如果把它放在login.jsp里,那么xml的配置文件里是否需要写result?

如果不写result,在前台取不到randomString。这个很容易理解,你只是在login.jsp里调用这个action,login.jsp里凭什么能取到action里面的值呢?

如果写result,按照下面的形式

<action name="index" class="userLoginAction"     method="getRandomKey">

<result name="success">login.jsp</result>

</action>

会出现action与jsp调用的死循环。为什么?大家自己想。

我没有办法,最后把让后台产生随机字符串的action调用放到了一个新的index.jsp里面,这个页面的唯一作用就是调用index这个action,返回的结果给login.jsp。

问题2

UserLoginAction应该是单例还是多例。

从技术上来说,下面的就是多例

@Component

@Scope("prototype")

public class UserLoginAction extends BaseAction{

去掉 @Scope("prototype")之后就是单例。

如果是单例的话,用户名与密码在高并发下会发生覆盖问题。所以我们得采用多例。任何一个请求都对应唯一的一个action。

那么又出了一个新问题

问题3

请求index这个action,后台产生了随机字符串,我们可以在login.jsp里访问随机字符串,但是

<action name="login" class="userLoginAction" method="login">

<result name="success">main.jsp</result>

<result name="input">login.jsp</result>

<result name="error">login.jsp</result>

</action>

这个action对应的对象是一个全新的对象,它的getRandomKey()方法还没有调用过。它里面的随机字符串还是空值呢。

最后的解决方法是给login.jsp上加上这行代码

<input type="hidden" id="randomString"  name="randomString" value=<s:property value="randomString"/> />

它是怎么解决问题的?自己想一想。

时间: 2024-10-21 18:02:19

使用MD5加密的登陆demo的相关文章

JAVA中使用MD5加密工具类实现对数据的加密处理

1.MD5工具类 package com.ssm.util; import java.security.MessageDigest; public class MD5Util { //将字节数组转成十六进制字符串 private static String byteArrayToHexString(byte b[]) { StringBuffer resultSb = new StringBuffer(); for (int i = 0; i < b.length; i++) resultSb.

iOS,一行代码进行RSA、DES 、AES、MD5加密、解密

最近做了一个移动项目,是有服务器和客户端类型的项目,客户端是要登录才行的,服务器也会返回数据,服务器是用Java开发的,客户端要同时支持多平台(Android.iOS),在处理iOS的数据加密的时候遇到了一些问题.起初采取的方案是DES加密,老大说DES加密是对称的,网络抓包加上反编译可能会被破解,故采取RSA方式加密.RSA加密时需要公钥和私钥,客户端保存公钥加密数据,服务器保存私钥解密数据.(iOS端公钥加密私钥解密.java端公钥加密私钥解密,java端私钥加密公钥解密都容易做到,iOS不

MD5加密和sha加密

sha加密原理Algorithm)又叫安全哈希加密技术,是当今世界最先近的加密算法.主要用于文件身份识别.数字签名和口令加密等. 对于明文信息A,通过SHA1算法,生成一条160位长的识别码B.且明文信息A和识别码B之间同时满足以下条件: 1.对于任意两条不同的明文信息A1.A2,其识别码B1.B2都不相同. 2.无法通过逆向算法由识别码B倒推出明文信息A. MOONCRM的用户密码采用SHA1加密存储,即服务器上存储的只是 由用户密码生成的识别码,而用户密码本身并没有存储在服务器上.用户输入登

MD5加密相关

demo效果 Md5类 其中有一个引用   using System.Security.Cryptography; using System; using System.Collections.Generic; using System.Linq; using System.Security.Cryptography; using System.Text; using System.Threading.Tasks; namespace MD5加密 { public class MD5Fun {

IOS中把字符串加密/IOS中怎么样MD5加密/IOS中NSString分类的实现

看完过后,你会学到: 1学习IOS开发中的分类实现, 2以及类方法的书写, 3以及字符串的MD5加密/解密. ---------------------------wolfhous------------------ [1]新建工程,新建分类 [2]分类的命名方式以及类的选择 [3]书写NSString分类的类方法,以及实现类方法,以及MD5如何加密 [4]测试加密结果 [5]解密:直接百度MD5解密,随便点歌网站进去,输入解密KEY,在我这个Demo中, wolfhous正常加密44bf025

Android之简单加密–MD5 加密

在Android中需要对各种数据进行加密的操作,比如用户短信备份的数据加密.用户账户登陆的密码加密以及应用于服务器连接传递重要数据的加密,用处非常的多这里介绍一下MD5加密: 案例驱动: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 public class MD5Utils {      // 进行md5的加密运算      public static String encode(Strin

SpringSecurity 登录 - 以及Md5加密

我们现在开放一个链接给其他系统,来访问我们的系统 http://localhost:8080/hulk-teller-web/haihui!init.jspa?loginId=teller01&key=SD33OH45O3HJ21O34N34O5 这样的方式登录. 1)按照约定的规则生成key package hulk.frame.haihui.service; import hulk.frame.haihui.entity.HaiHuiLogin; import hulk.frame.haih

iOS MD5加密

1.MD5加密 Message Digest Algorithm MD5(中文名为消息摘要算法第五版)为计算机安全领域广泛使用的一种散列函数,用以提供消息的完整性保护.该算法的文件号为RFC 1321(R.Rivest,MIT Laboratory for Computer Science and RSA Data Security Inc. April 1992) 2.MD5加密作用 一致性验证 MD5的典型应用是对一段信息(Message)产生信息摘要(Message-Digest),以防止

Java实现MD5加密及解密的代码实例分享

链接:http://www.jb51.net/article/86027.htm Java实现MD5加密及解密的代码实例分享 作者:厦门大学陈黎栋 字体:[增加 减小] 类型:转载 时间:2016-06-07我要评论 如果对安全性的需求不是太高,MD5仍是使用非常方便和普及的加密方式,比如Java中自带的MessageDigest类就提供了支持,这里就为大家带来Java实现MD5加密及解密的代码实例分享: 基础:MessageDigest类的使用 其实要在Java中完成MD5加密,Message